Freigeben über


Ereignisschema des Azure-Aktivitätsprotokolls

Das Azure Activity-Protokoll bietet Einblicke in alle Ereignisse auf Abonnementebene, die in Azure aufgetreten sind. Dieser Artikel beschreibt die Kategorien des Aktivitätsprotokolls und das jeweils zugehörige Schema.

Das Schema variiert je nach Zugriff auf das Protokoll:

  • Die in diesem Artikel beschriebenen Schemas gelten für den Zugriff auf das Aktivitätsprotokoll über die REST-API. Das Schema wird auch verwendet, wenn Sie die JSON-Option beim Anzeigen eines Ereignisses im Azure-Portal auswählen.
  • Im letzten Abschnitt, Schema aus Speicherkonto und Event Hubs finden Sie Informationen zum Schema für eine Diagnoseeinstellung zum Senden des Aktivitätsprotokolls an Azure Storage oder Azure Event Hubs.
  • Unter Azure Monitor-Datenreferenz finden Sie das Schema, das zur Anwendung kommt, wenn Sie das Aktivitätsprotokoll über eine Diagnoseeinstellung an einen Log Analytics-Arbeitsbereich senden.

Schweregrad

Jeder Eintrag im Aktivitätsprotokoll weist einen Schweregrad auf. Der Schweregrad kann einen der folgenden Werte haben:

Schweregrad Beschreibung
Kritisch Ereignisse, die die sofortige Aufmerksamkeit eines Systemadministrators erfordern. Gibt möglicherweise an, dass eine Anwendung oder ein System fehlgeschlagen ist oder nicht mehr reagiert.
Fehler Ereignisse, die auf ein Problem hinweisen, erfordern jedoch keine sofortige Aufmerksamkeit.
Warnung Ereignisse, die eine Vorwarnung für potenzielle Probleme sind, obwohl es sich nicht um einen tatsächlichen Fehler handelt. Geben Sie an, dass sich eine Ressource nicht in einem idealen Zustand befindet und später zu Fehlern oder kritischen Ereignissen herabgesetzt werden kann.
Informational Ereignisse, die nicht kritische Informationen an den Administrator weitergeben. Ähnelt einer Anmerkung vom Typ „Zu Ihrer Information“.

Die Entwickler der einzelnen Ressourcenanbieter wählen den Schweregrad ihrer Ressourceneinträge aus. Je nachdem, wie Ihre Anwendung aufgebaut ist, kann der tatsächliche Schweregrad für Sie variieren. Beispielsweise sind Elemente, die für eine bestimmte, isolierte Ressource "kritisch" sind, in einem Ressourcentyp, der für Ihre Azure-Anwendung zentral ist, möglicherweise nicht so wichtig wie "Fehler". Berücksichtigen Sie dies bei der Entscheidung, für welche Ereignisse eine Warnung ausgegeben werden soll.

Kategorien

Jedes Ereignis im Aktivitätsprotokoll verfügt über eine bestimmte Kategorie, die in der folgenden Tabelle beschrieben ist. In den folgenden Abschnitten finden Sie detaillierte Informationen zu jeder Kategorie und dem zugehörigen Schema, wenn Sie über PowerShell, die CLI, das Portal oder die REST-API auf das Aktivitätsprotokoll zugreifen. Das Schema ist unterschiedlich, wenn Sie das Aktivitätsprotokoll in den Speicher oder an Event Hubs streamen. Eine Zuordnung der Eigenschaften zum Ressourcenprotokollschema befindet sich im letzten Abschnitt dieses Artikels.

Category BESCHREIBUNG
Verwaltung Enthält die Datensätze aller Erstellungs-, Aktualisierungs-, Lösch- und Aktionsvorgänge, die über Resource Manager ausgeführt wurden. Beispiele für Verwaltungsereignisse sind das Erstellen des virtuellen Computers und das Löschen der Netzwerksicherheitsgruppe.

Jede Aktion, die von einem Benutzer oder einer Anwendung mit Resource Manager durchgeführt wird, wird als Vorgang basierend auf einem bestimmten Ressourcentyp modelliert. Wenn der Vorgangstyp Schreiben, Löschen oder Aktion lautet, werden die Datensätze zum Start und zum Erfolg oder Fehler dieses Vorgangs in der Kategorie „Verwaltung“ aufgezeichnet. Verwaltungsereignisse umfassen außerdem alle Änderungen an der rollenbasierten Zugriffssteuerung in Azure in einem Abonnement.
Dienstintegrität Enthält den Datensatz aller Dienstintegritätsvorfälle, die in Azure aufgetreten sind. Beispiel für ein Service Health-Ereignis: Ausfallzeiten bei SQL Azure in der Region „USA, Osten“ .

Es gibt sechs Typen von Service Health-Ereignissen: Aktion erforderlich, Unterstützte Wiederherstellung, Incident, Wartung, Informationen und Sicherheit. Diese Ereignisse werden nur erstellt, wenn sie eine Ressource im Abonnement haben, die von dem Ereignis betroffen ist.
Resource Health Enthält den Datensatz aller Ressourcenintegritätsereignisse, die in Ihren Azure-Ressourcen aufgetreten sind. Ein Beispiel für ein Resource Health-Ereignis ist Integritätsstatus des virtuellen Computers ist zu „Nicht verfügbar“ gewechselt.

Resource Health-Ereignisse können über einen von vier Integritätsstatus verfügen: Verfügbar, Nicht verfügbar, Heruntergestuft und Unbekannt. Darüber hinaus können Resource Health-Ereignisse kategorisiert werden. Hierbei sind die Kategorien Von der Plattform initiiert und Vom Benutzer initiiert verfügbar.
Warnung Enthält den Datensatz mit den Aktivierungen für Azure-Warnungen. Ein Beispiel für ein Alert-Ereignis ist CPU % auf myVM über 80 für die letzten 5 Minuten.
Automatische Skalierung Enthält den Datensatz aller Ereignisse, die sich auf den Vorgang des AutoScale-Moduls beziehen, basierend auf allen Einstellungen der autoskalen, die Sie in Ihrem Abonnement definiert haben. Ein Beispiel für ein Ereignis der Autoskalierung ist Fehler beim automatischen Hochskalieren.
Empfehlung Enthält Empfehlungsereignisse von Azure Advisor.
Security Enthält die Aufzeichnung aller von Microsoft Defender für Cloud generierten Warnungen. Ein Beispiel für ein Sicherheitsereignis ist Verdächtige Datei mit doppelter Erweiterung ausgeführt.
Richtlinie Enthält Datensätze aller Aktionsvorgänge für Auswirkungen, die von Azure Policy ausgeführt werden. Beispiele für Policy-Ereignisse sind Überwachen und Ablehnen. Jede Aktion, die von Policy ausgeführt wird, ist als ein Vorgang für eine Ressource modelliert.

Kategorie „Verwaltung“

Diese Kategorie enthält die Datensätze aller Erstellungs-, Aktualisierungs-, Lösch- und Aktionsvorgänge, die über Resource Manager ausgeführt wurden. Beispiele für die In dieser Kategorie angezeigten Ereignistypen sind "Erstellen eines virtuellen Computers" und "Netzwerksicherheitsgruppe löschen". Jede Aktion, die von einem Benutzer oder einer Anwendung mit Resource Manager durchgeführt wird, wird als Vorgang basierend auf einem bestimmten Ressourcentyp modelliert. Wenn der Vorgangstyp „Schreiben“, „Löschen“ oder „Aktion“ ist, werden die Datensätze zum Start und zum Erfolg oder Fehler dieses Vorgangs in der Kategorie „Administration“ aufgezeichnet. Die Kategorie „Administration“ enthält außerdem alle Änderungen an der rollenbasierten Zugriffssteuerung in Azure in einem Abonnement.

Beispielereignis

{
    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/write",
        "scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
    },
    "caller": "rob@contoso.com",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "_claim_names": "{\"groups\":\"src1\"}",
        "_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
        "http://schemas.microsoft.com/claims/authnclassreference": "1",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
        "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "appidacr": "2",
        "http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
        "e_exp": "262800",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
        "ipaddr": "111.111.1.111",
        "name": "Rob Robertson",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
        "puid": "18247BBD84827C6D",
        "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2018-01-29T20:42:31.3810679Z",
    "id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
    "level": "Informational",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Network/networkSecurityGroups/write",
        "localizedValue": "Microsoft.Network/networkSecurityGroups/write"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Network",
        "localizedValue": "Microsoft.Network"
    },
    "resourceType": {
        "value": "Microsoft.Network/networkSecurityGroups",
        "localizedValue": "Microsoft.Network/networkSecurityGroups"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "statusCode": "Created",
        "serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
        "responseBody": "",
        "requestbody": ""
    },
    "relatedEvents": []
}

Beschreibungen der Eigenschaften

Elementname BESCHREIBUNG
authorization Blob mit Azure RBAC-Eigenschaften des Ereignisses. Enthält normalerweise die Eigenschaften „action“, „role“ und „scope“.
caller E-Mail-Adresse des Benutzers, der den Vorgang, UPN-Anspruch oder SPN-Anspruch auf Grundlage der Verfügbarkeit ausgeführt hat.
channels Einer der folgenden Werte: „Admin“, „Operation“
claims Das JWT-Token, das von Active Directory zum Authentifizieren des Benutzers oder der Anwendung zur Ausführung dieses Vorgangs in Resource Manager verwendet wird.
correlationId Normalerweise eine GUID im Zeichenfolgenformat. Ereignisse, die über die gleiche correlationId verfügen, gehören zu derselben übergeordneten Aktion.
description Statische Beschreibung eines Ereignisses in Textform.
eventDataId Eindeutiger Bezeichner eines Ereignisses.
eventName Anzeigename des Administrative-Ereignisses.
category Immer „Administrative“
httpRequest Blob, das die HTTP-Anforderung beschreibt. Umfasst üblicherweise „clientRequestId“, „clientIpAddress“ und „method“ (HTTP-Methode, zum Beispiel PUT).
level Schweregrad des Ereignisses.
resourceGroupName Name der Ressourcengruppe für die betroffene Ressource.
resourceProviderName Name des Ressourcenanbieters für die betroffene Ressource.
resourceType Der Typ der Ressource, die von einem Administrativen Ereignis betroffen ist.
resourceId Ressourcen-ID der betroffenen Ressource.
operationId Eine GUID, die von den Ereignissen eines einzelnen Vorgangs gemeinsam genutzt wird.
operationName Name des Vorgangs.
properties Satz mit <Key, Value>-Paaren (Wörterbuch), die Details des Ereignisses beschreiben.
status Zeichenfolge, die den Status des Vorgangs beschreibt. Gängige Werte: „Started“, „In Progress“, „Succeeded“, „Failed“, „Active“, „Resolved“.
subStatus Normalerweise kann der HTTP-Statuscode des entsprechenden REST-Aufrufs, aber auch andere Zeichenfolgen enthalten, die einen SubStatus beschreiben, z. B. die folgenden allgemeinen Werte: OK (HTTP-Statuscode: 200), Created (HTTP Status Code: 201), Accepted (HTTP Status Code: 202), No Content (HTTP Status Code: 204), Bad Request (HTTP Status Code: 400), Not Found (HTTP Status Code: 404), Konflikt (HTTP-Statuscode: 409), Interner Serverfehler (HTTP-Statuscode: 500), Dienst nicht verfügbar (HTTP-Statuscode: 503), Gatewaytimeout (HTTP-Statuscode: 504).
eventTimestamp Zeitstempel der Ereignisgenerierung durch den Azure-Dienst, der die zum Ereignis gehörende Anforderung verarbeitet hat.
submissionTimestamp Zeitstempel des Zeitpunkts, ab dem das Ereignis für Abfragen verfügbar war.
subscriptionId Die Azure-Abonnement-ID.

Kategorie „Dienstintegrität“

Diese Kategorie enthält den Datensatz aller Dienstintegritätsvorfälle, die in Azure aufgetreten sind. Ein Beispiel für ein Ereignis in dieser Kategorie ist „Ausfallzeiten bei SQL Azure in der Region ‚USA, Osten‘“. Für Ereignisse zur Dienstintegrität gibt es fünf Varianten: Aktion erforderlich, Incident, Wartung, Information oder Sicherheit. Sie werden nur angezeigt, wenn eine Ressource in Ihrem Abonnement von dem Ereignis betroffen wäre.

Beispielereignis

{
  "channels": "Admin",
  "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/<subscription ID>",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "<subscription ID>",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

Informationen zu den Werten in den Eigenschaften finden Sie im Artikel Anzeigen von Dienstintegritätsbenachrichtigungen im Azure-Portal.

Kategorie „Ressourcenintegrität“

Diese Kategorie enthält den Datensatz der Ressourcenintegritätsereignisse, die für Ihre Azure-Ressourcen aufgetreten sind. Ein Beispiel für die Art der Ereignisse, die in dieser Kategorie angezeigt werden, ist „Integritätsstatus des virtuellen Computers ist zu ‚Nicht verfügbar‘ gewechselt“. Ereignisse zur Ressourcenintegrität können einen von vier Integritätsstatus darstellen: „Verfügbar“, „Nicht verfügbar“, „Heruntergestuft“ und „Unbekannt“. Darüber hinaus können Ereignisse zur Ressourcenintegrität kategorisiert werden. Dabei sind die Kategorien „Von der Plattform initiiert“ oder „Vom Benutzer initiiert“ verfügbar.

Ein Ereignis zur Ressourcenintegrität wird im Aktivitätsprotokoll erfasst, wenn:

  • Eine Anmerkung, z. B. „ResourceDegraded“ oder „AccountClientThrottling“, für eine Ressource übermittelt wird.
  • Eine Ressource von „Fehlerfrei“ zu „Fehlerhaft“ oder von „Fehlerhaft“ zu „Fehlerfrei“ wechselt.
  • Eine Ressource länger als 15 Minuten „Fehlerhaft“ war.

Die folgenden Ressourcenintegritätsübergänge werden nicht im Aktivitätsprotokoll erfasst:

  • Ein Übergang zum Status „Unbekannt“.
  • Ein Übergang zum Status „Unbekannt“, wenn:
    • Dies der erste Übergang ist.
    • Der Status vor „Unbekannt“ mit dem neuen Status nach „Unbekannt“ übereinstimmt. (Beispiel: Wenn die Ressource von „Fehlerfrei“ zu „Unbekannt“ und zurück zu „Fehlerfrei" wechselt).
    • Für Computeressourcen: Wenn Virtuelle Computer von „Fehlerfrei“ zu „Fehlerhaft“ und zurück zu „Fehlerfrei“ wechseln und die Dauer für den Status „Fehlerhaft“ weniger als 35 Sekunden beträgt.

Beispielereignis

{
    "channels": "Admin, Operation",
    "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
    "description": "",
    "eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "ResourceHealth",
        "localizedValue": "Resource Health"
    },
    "eventTimestamp": "2018-09-04T15:33:43.65Z",
    "id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
    "level": "Critical",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Resourcehealth/healthevent/Activated/action",
        "localizedValue": "Health Event Activated"
    },
    "resourceGroupName": "<resource group>",
    "resourceProviderName": {
        "value": "Microsoft.Resourcehealth/healthevent/action",
        "localizedValue": "Microsoft.Resourcehealth/healthevent/action"
    },
    "resourceType": {
        "value": "Microsoft.Compute/virtualMachines",
        "localizedValue": "Microsoft.Compute/virtualMachines"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "stage": "Active",
        "title": "Virtual Machine health status changed to unavailable",
        "details": "Virtual machine has experienced an unexpected event",
        "healthStatus": "Unavailable",
        "healthEventType": "Downtime",
        "healthEventCause": "PlatformInitiated",
        "healthEventCategory": "Unplanned"
    },
    "relatedEvents": []
}

Beschreibungen der Eigenschaften

Elementname BESCHREIBUNG
channels Immer „Admin, Operation“
correlationId Eine GUID im Zeichenfolgenformat.
description Statische Beschreibung des Warnungsereignisses.
eventDataId Eindeutiger Bezeichner des Warnungsereignisses.
category Immer „ResourceHealth“
eventTimestamp Zeitstempel der Ereignisgenerierung durch den Azure-Dienst, der die zum Ereignis gehörende Anforderung verarbeitet hat.
level Schweregrad des Ereignisses.
operationId Eine GUID, die von den Ereignissen eines einzelnen Vorgangs gemeinsam genutzt wird.
operationName Name des Vorgangs.
resourceGroupName Der Name der Ressourcengruppe, die die Ressource enthält.
resourceProviderName Immer „Microsoft.Resourcehealth/healthevent/action“.
resourceType Der Typ der Ressource, die von einem Ressourcenintegritätsereignis betroffen ist.
resourceId Der Name der Ressourcen-ID für die betroffene Ressource.
status Zeichenfolge, die den Status des Integritätsereignisses beschreibt. Mögliche Werte: „Active“, „Resolved“, „InProgress“, „Updated“.
subStatus In der Regel für Warnungen null.
submissionTimestamp Zeitstempel des Zeitpunkts, ab dem das Ereignis für Abfragen verfügbar war.
subscriptionId Die Azure-Abonnement-ID.
properties Satz mit <Key, Value>-Paaren (Wörterbuch), die Details des Ereignisses beschreiben.
properties.title Eine benutzerfreundliche Zeichenfolge, die den Integritätsstatus der Ressource beschreibt.
properties.details Eine benutzerfreundliche Zeichenfolge, die weitere Details zum Ereignis beschreibt.
properties.currentHealthStatus Der aktuelle Integritätsstatus der Ressource. Einer der folgenden Werte: „Available“, „Unavailable“, „Degraded“ und „Unknown“.
properties.previousHealthStatus Der vorherige Integritätsstatus der Ressource. Einer der folgenden Werte: „Available“, „Unavailable“, „Degraded“ und „Unknown“.
properties.type Eine Beschreibung des Typs des Resource Health-Ereignisses.
properties.cause Eine Beschreibung der Ursache des Resource Health-Ereignisses. Entweder „UserInitiated“ oder „PlatformInitiated“.

Kategorie „Warnung“

Diese Kategorie enthält die Datensätze zu allen Aktivierungen von klassischen Azure-Warnungen. Ein Beispiel für den Ereignistyp, den Sie in dieser Kategorie sehen würden, lautet "CPU % auf myVM ist für die letzten 5 Minuten über 80". Verschiedene Azure-Systeme verfügen über ein Warnungskonzept: Sie können eine Regel einer Art definieren und eine Benachrichtigung erhalten, wenn Bedingungen mit dieser Regel übereinstimmen. Jedes Mal, wenn ein unterstützter Azure-Warnungstyp „aktiviert“ wird oder die Bedingungen erfüllt sind, sodass eine Benachrichtigung generiert wird, wird ein Datensatz der Aktivierung auch in dieser Kategorie des Aktivitätsprotokolls abgelegt.

Beispielereignis

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "<subscription ID>"
}

Beschreibungen der Eigenschaften

Elementname BESCHREIBUNG
caller Immer „Microsoft.Insights/alertRules“
channels Immer „Admin, Operation“
claims JSON-Blob mit dem Dienstprinzipalnamen (Service Principal Name, SPN) oder dem Ressourcentyp der Warnungs-Engine.
correlationId Eine GUID im Zeichenfolgenformat.
description Statische Beschreibung des Warnungsereignisses.
eventDataId Eindeutiger Bezeichner des Warnungsereignisses.
category Immer „Alert“
level Schweregrad des Ereignisses.
resourceGroupName Name der Ressourcengruppe für die betroffene Ressource, wenn es sich um eine Metrikwarnung handelt. Bei anderen Warnungstypen ist es der Name der Ressourcengruppe, die die Warnung selbst enthält.
resourceProviderName Name des Ressourcenanbieters für die betroffene Ressource, wenn es sich um eine Metrikwarnung handelt. Bei anderen Warnungstypen ist dies der Name des Ressourcenanbieters für die Warnung selbst.
Ressourcen-ID Name der Ressourcen-ID für die betroffene Ressource, wenn es sich um eine Metrikwarnung handelt. Bei anderen Warnungstypen ist es die Ressourcen-ID der Warnungsressource selbst.
operationId Eine GUID, die von den Ereignissen eines einzelnen Vorgangs gemeinsam genutzt wird.
operationName Name des Vorgangs.
properties Satz mit <Key, Value>-Paaren (Wörterbuch), die Details des Ereignisses beschreiben.
status Zeichenfolge, die den Status des Vorgangs beschreibt. Gängige Werte: „Started“, „In Progress“, „Succeeded“, „Failed“, „Active“, „Resolved“.
subStatus In der Regel für Warnungen null.
eventTimestamp Zeitstempel der Ereignisgenerierung durch den Azure-Dienst, der die zum Ereignis gehörende Anforderung verarbeitet hat.
submissionTimestamp Zeitstempel des Zeitpunkts, ab dem das Ereignis für Abfragen verfügbar war.
subscriptionId Die Azure-Abonnement-ID.

Feld „properties“ pro Warnungstyp

Das Feld „properties“ enthält abhängig von der Quelle des Warnungsereignisses unterschiedliche Werte. Zwei allgemeine Ereignisanbieter für Warnungen sind Aktivitätsprotokollwarnungen und Metrikwarnungen.

Eigenschaften für Aktivitätsprotokollwarnungen

Elementname BESCHREIBUNG
properties.subscriptionId Die Abonnement-ID aus dem Aktivitätsprotokollereignis, das dazu führte, dass diese Warnungsregel für das Aktivitätsprotokoll aktiviert wurde.
properties.eventDataId Die Ereignisdaten-ID aus dem Aktivitätsprotokollereignis, das dazu führte, dass diese Warnungsregel für das Aktivitätsprotokoll aktiviert wurde.
properties.resourceGroup Die Ressourcengruppe aus dem Aktivitätsprotokollereignis, das dazu führte, dass diese Warnungsregel für das Aktivitätsprotokoll aktiviert wurde.
properties.resourceId Die Ressourcen-ID aus dem Aktivitätsprotokollereignis, das dazu führte, dass diese Warnungsregel für das Aktivitätsprotokoll aktiviert wurde.
properties.eventTimestamp Der Ereigniszeitstempel des Aktivitätsprotokollereignisses, das dazu führte, dass diese Warnungsregel für das Aktivitätsprotokoll aktiviert wurde.
properties.operationName Der Vorgangsname aus dem Aktivitätsprotokollereignis, das dazu führte, dass diese Warnungsregel für das Aktivitätsprotokoll aktiviert wurde.
properties.status Der Status des Aktivitätsprotokollereignisses, das dazu führte, dass diese Warnungsregel für das Aktivitätsprotokoll aktiviert wurde.

Eigenschaften für Metrikwarnungen

Elementname BESCHREIBUNG
properties.RuleUri Ressourcen-ID der Metrikwarnungsregel selbst.
properties.RuleName Der Name der Metrikwarnungsregel.
properties.RuleDescription Die Beschreibung der Metrikwarnungsregel (wie in der Warnungsregel definiert).
properties.Threshold Der Schwellenwert, der bei der Auswertung der Metrikwarnungsregel verwendet wird.
properties.WindowSizeInMinutes Die Fenstergröße, die bei der Auswertung der Metrikwarnungsregel verwendet wird.
properties.Aggregation Der Aggregationstyp, der in der Metrikwarnungsregel definiert ist.
properties.Operator Der bedingte Operator, der bei der Auswertung der Metrikwarnungsregel verwendet wird.
properties.MetricName Der Metrikname der Metrik, die bei der Auswertung der Metrikwarnungsregel verwendet wird.
properties.MetricUnit Die Metrikeinheit für die Metrik, die bei der Auswertung der Metrikwarnungsregel verwendet wird.

Kategorie „Autoskalierung“

Diese Kategorie enthält Datensätze zu Ereignissen im Zusammenhang mit der Engine für die automatische Skalierung – basierend auf den Einstellungen für die automatische Skalierung, die Sie in Ihrem Abonnement definiert haben. Ein Beispiel für Ereignisse in dieser Kategorie ist „Fehler beim automatischen Hochskalieren“. Mit der automatischen Skalierung können Sie die Anzahl der Instanzen eines unterstützten Ressourcentyps basierend auf der Tageszeit und/oder Lastdaten (Metrik) mithilfe einer Einstellung für die automatische Skalierung automatisch hoch- oder herunterskalieren. Wenn die Bedingungen zum Hoch- oder Herunterskalieren erfüllt sind, werden Ereignisse zum Start und zum Erfolg bzw. Fehler in dieser Kategorie aufgezeichnet.

Beispielereignis

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "<subscription ID>"
}

Beschreibungen der Eigenschaften

Elementname BESCHREIBUNG
caller Immer „Microsoft.Insights/autoscaleSettings“
channels Immer „Admin, Operation“
claims JSON-Blob mit dem Dienstprinzipalnamen (Service Principal Name, SPN) oder dem Ressourcentyp der Engine für die automatische Skalierung.
correlationId Eine GUID im Zeichenfolgenformat.
description Statische Beschreibung des Ereignisses der automatischen Skalierung.
eventDataId Eindeutiger Bezeichner des Ereignisses der automatischen Skalierung.
level Schweregrad des Ereignisses.
resourceGroupName Name der Ressourcengruppe der Einstellung für die automatische Skalierung.
resourceProviderName Name des Ressourcenanbieters der Einstellung für die automatische Skalierung.
resourceId Ressourcen-ID der Einstellung für die automatische Skalierung.
operationId Eine GUID, die von den Ereignissen eines einzelnen Vorgangs gemeinsam genutzt wird.
operationName Name des Vorgangs.
properties Satz mit <Key, Value>-Paaren (Wörterbuch), die Details des Ereignisses beschreiben.
properties.Description Detaillierte Beschreibung des Vorgangs der Engine für die automatische Skalierung.
properties.ResourceName Ressourcen-ID der betroffenen Ressource (die Ressource, für die die Skalierungsaktion ausgeführt wurde)
properties.OldInstancesCount Die Anzahl von Instanzen, bevor die automatische Skalierung wirksam war.
properties.NewInstancesCount Die Anzahl von Instanzen, nachdem die automatische Skalierung wirksam war.
properties.LastScaleActionTime Der Zeitstempel des Zeitpunkts, zu dem die automatische Skalierung aufgetreten ist.
status Zeichenfolge, die den Status des Vorgangs beschreibt. Gängige Werte: „Started“, „In Progress“, „Succeeded“, „Failed“, „Active“, „Resolved“.
subStatus In der Regel für die automatische Skalierung null.
eventTimestamp Zeitstempel der Ereignisgenerierung durch den Azure-Dienst, der die zum Ereignis gehörende Anforderung verarbeitet hat.
submissionTimestamp Zeitstempel des Zeitpunkts, ab dem das Ereignis für Abfragen verfügbar war.
subscriptionId Die Azure-Abonnement-ID.

Kategorie „Sicherheit“

Diese Kategorie enthält die Aufzeichnung aller von Microsoft Defender für Cloud generierten Warnungen. Ein Beispiel für den Typ der Ereignisse, die in dieser Kategorie angezeigt werden, ist „Verdächtige Datei mit doppelter Erweiterung ausgeführt“.

Beispielereignis

{
    "channels": "Operation",
    "correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

Beschreibungen der Eigenschaften

Elementname BESCHREIBUNG
channels Immer „Vorgang“
correlationId Eine GUID im Zeichenfolgenformat.
description Statische Beschreibung des Sicherheitsereignisses.
eventDataId Eindeutiger Bezeichner des Sicherheitsereignisses.
eventName Anzeigename des Sicherheitsereignisses.
category Immer „Security“
id Eindeutiger Ressourcenbezeichner des Sicherheitsereignisses.
level Schweregrad des Ereignisses.
resourceGroupName Name der Ressourcengruppe für die Ressource.
resourceProviderName Name des Ressourcenanbieters für Microsoft Defender für Cloud. Immer „Microsoft.Security“.
resourceType Der Typ der Ressource, die das Sicherheitsereignis generiert hat, z. B. „Microsoft.Security/locations/alerts“.
resourceId Ressourcen-ID der Sicherheitswarnung.
operationId Eine GUID, die von den Ereignissen eines einzelnen Vorgangs gemeinsam genutzt wird.
operationName Name des Vorgangs.
properties Satz mit <Key, Value>-Paaren (Wörterbuch), die Details des Ereignisses beschreiben. Diese Eigenschaften variieren je nach Sicherheitswarnungstyp. Eine Beschreibung der Warnungstypen, die aus Defender für Cloud stammen, finden Sie auf dieser Seite.
properties.Severity Der Schweregrad. Mögliche Werte sind „Hoch“, „Mittel“ oder „Niedrig“.
status Zeichenfolge, die den Status des Vorgangs beschreibt. Gängige Werte: „Started“, „In Progress“, „Succeeded“, „Failed“, „Active“, „Resolved“.
subStatus Für Sicherheitsereignisse in der Regel NULL.
eventTimestamp Zeitstempel der Ereignisgenerierung durch den Azure-Dienst, der die zum Ereignis gehörende Anforderung verarbeitet hat.
submissionTimestamp Zeitstempel des Zeitpunkts, ab dem das Ereignis für Abfragen verfügbar war.
subscriptionId Die Azure-Abonnement-ID.

Kategorie „Empfehlung“

Diese Kategorie enthält den Datensatz mit den neuen Empfehlungen, die für Ihre Dienste generiert werden. Ein Beispiel für eine Empfehlung wäre „Verwenden Sie für eine verbesserte Fehlertoleranz Verfügbarkeitsgruppen“. Vier Typen von Empfehlungsereignissen können generiert werden: „High Availability“, „Performance“, „Security“ und „Cost Optimization“.

Beispielereignis

{
    "channels": "Operation",
    "correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
    "description": "The action was successful.",
    "eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Recommendation",
        "localizedValue": "Recommendation"
    },
    "eventTimestamp": "2018-06-07T21:30:42.976919Z",
    "id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Advisor/generateRecommendations/action",
        "localizedValue": "Microsoft.Advisor/generateRecommendations/action"
    },
    "resourceGroupName": "MYRESOURCEGROUP",
    "resourceProviderName": {
        "value": "MICROSOFT.COMPUTE",
        "localizedValue": "MICROSOFT.COMPUTE"
    },
    "resourceType": {
        "value": "MICROSOFT.COMPUTE/virtualmachines",
        "localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
    },
    "resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-06-07T21:30:42.976919Z",
    "subscriptionId": "<Subscription ID>",
    "properties": {
        "recommendationSchemaVersion": "1.0",
        "recommendationCategory": "Security",
        "recommendationImpact": "High",
        "recommendationRisk": "None"
    },
    "relatedEvents": []
}

Beschreibungen der Eigenschaften

Elementname BESCHREIBUNG
channels Immer „Vorgang“
correlationId Eine GUID im Zeichenfolgenformat.
description Statische Beschreibung des Empfehlungsereignisses.
eventDataId Eindeutiger Bezeichner des Empfehlungsereignisses.
category Immer „Empfehlung“
id Eindeutiger Ressourcenbezeichner des Empfehlungsereignisses.
level Schweregrad des Ereignisses.
operationName Name des Vorgangs. Immer „Microsoft.Advisor/generateRecommendations/action“
resourceGroupName Name der Ressourcengruppe für die Ressource.
resourceProviderName Name des Ressourcenanbieters für die Ressource, für die diese Empfehlung gilt, z.B. „MICROSOFT.COMPUTE“.
resourceType Name des Ressourcentyps für die Ressource, für die diese Empfehlung gilt, z.B. „MICROSOFT.COMPUTE/virtualmachines“.
resourceId Ressourcen-ID der Ressource, für die die Empfehlung gilt.
status Immer „Aktiv“
submissionTimestamp Zeitstempel des Zeitpunkts, ab dem das Ereignis für Abfragen verfügbar war.
subscriptionId Die Azure-Abonnement-ID.
properties Satz mit <Key, Value>-Paaren (also ein Wörterbuch), die die Details der Empfehlung beschreiben.
properties.recommendationSchemaVersion Schemaversion der Empfehlungseigenschaften, die im Aktivitätsprotokolleintrag veröffentlicht werden.
properties.recommendationCategory Kategorie der Empfehlung. Mögliche Werte sind „Hochverfügbarkeit“, „Leistung“, „Sicherheit“ und „Kosten“.
properties.recommendationImpact Auswirkung der Empfehlung. Mögliche Werte sind „Hoch“, „Mittel“ oder „Niedrig“.
properties.recommendationRisk Risiko der Empfehlung. Mögliche Werte sind „Fehler“, „Warnung“, „Kein“.

Kategorie „Richtlinie“

Diese Kategorie enthält Datensätze aller Aktionsvorgänge für Auswirkungen, die von Azure Policy ausgeführt werden. Beispiele für Ereignistypen, die in dieser Kategorie angezeigt werden, sind Audit und Deny. Jede Aktion, die von Policy ausgeführt wird, ist als ein Vorgang für eine Ressource modelliert.

Beispiel eines Richtlinienereignisses

{
    "authorization": {
        "action": "Microsoft.Resources/checkPolicyCompliance/read",
        "scope": "/subscriptions/<subscriptionID>"
    },
    "caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.azure.com/",
        "iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
        "appidacr": "2",
        "http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "description": "",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Policy",
        "localizedValue": "Policy"
    },
    "eventTimestamp": "2019-01-15T13:19:56.1227642Z",
    "id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
    "level": "Warning",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Authorization/policies/audit/action",
        "localizedValue": "Microsoft.Authorization/policies/audit/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Sql",
        "localizedValue": "Microsoft SQL"
    },
    "resourceType": {
        "value": "Microsoft.Resources/checkPolicyCompliance",
        "localizedValue": "Microsoft.Resources/checkPolicyCompliance"
    },
    "resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
    "subscriptionId": "<subscriptionID>",
    "properties": {
        "isComplianceCheck": "True",
        "resourceLocation": "westus2",
        "ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
            Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
            onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
            policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
            /policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
            4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
            nmentParameters\":{}}]"
    },
    "relatedEvents": []
}

Beschreibungen der Richtlinienereigniseigenschaften

Elementname BESCHREIBUNG
authorization Array von Azure RBAC-Eigenschaften des Ereignisses. Bei neuen Ressourcen ist dies die Aktion und der Bereich der Anforderung, die eine Auswertung ausgelöst hat. Bei vorhandenen Ressourcen lautet die Aktion „Microsoft.Resources/checkPolicyCompliance/read“.
caller Bei neuen Ressourcen ist dies die Identität, die eine Bereitstellung initiiert hat. Bei vorhandenen Ressourcen ist dies die GUID des Microsoft Azure Policy Insights-Ressourcenanbieters.
channels Richtlinienereignisse verwenden nur den Kanal „Operation“.
claims Das JWT-Token, das von Active Directory zum Authentifizieren des Benutzers oder der Anwendung zur Ausführung dieses Vorgangs in Resource Manager verwendet wird.
correlationId Normalerweise eine GUID im Zeichenfolgenformat. Ereignisse, die über die gleiche correlationId verfügen, gehören zu derselben übergeordneten Aktion.
description Dieses Feld ist bei Richtlinienereignissen leer.
eventDataId Eindeutiger Bezeichner eines Ereignisses.
eventName Entweder „BeginRequest“ oder „EndRequest“. „BeginRequest“ wird für verzögerte Auswertungen des Typs „AuditIfNotExists“ und „DeployIfNotExists“ verwendet und wenn eine „DeployIfNotExists“-Auswirkung eine Vorlagenbereitstellung startet. Alle anderen Vorgänge geben „EndRequest“ zurück.
category Deklariert das Aktivitätsprotokollereignis als zu „Policy“ gehörend.
eventTimestamp Zeitstempel der Ereignisgenerierung durch den Azure-Dienst, der die zum Ereignis gehörende Anforderung verarbeitet hat.
id Eindeutiger Bezeichner des Ereignisses auf der jeweiligen Ressource.
level Schweregrad des Ereignisses. „Audit“ verwendet „Warning“ und „Deny“ verwendet „Error“. Ein „AuditIfNotExists“- oder „DeployIfNotExists“-Fehler kann je nach Schweregrad „Warning“ oder „Error“ generieren. Alle anderen Richtlinienereignisse verwenden „Informational“.
operationId Eine GUID, die von den Ereignissen eines einzelnen Vorgangs gemeinsam genutzt wird.
operationName Der Name des Vorgangs und korreliert direkt mit der Richtlinienauswirkung.
resourceGroupName Der Name der Ressourcengruppe für die ausgewertete Ressource.
resourceProviderName Der Name des Ressourcenanbieters für die ausgewertete Ressource.
resourceType Bei neuen Ressourcen wird der Typ ausgewertet. Bei vorhandenen Ressourcen wird „Microsoft.Resources/checkPolicyCompliance“ zurückgegeben.
resourceId Die Ressourcen-ID der ausgewerteten Ressource.
status Eine Zeichenfolge, die den Status des Ergebnisses der Richtlinienauswertung beschreibt. Die meisten Richtlinienauswertungen geben „Succeeded“ zurück, doch wird bei einer „Deny“-Auswirkung „Failed“ zurückgegeben. Fehler in „AuditIfNotExists“ oder „DeployIfNotExists“ geben ebenfalls „Failed“ zurück.
subStatus Das Feld ist bei Richtlinienereignissen leer.
submissionTimestamp Zeitstempel des Zeitpunkts, ab dem das Ereignis für Abfragen verfügbar war.
subscriptionId Die Azure-Abonnement-ID.
properties.isComplianceCheck Gibt „False“ zurück, wenn eine neue Ressource bereitgestellt wird oder Resource Manager-Eigenschaften einer vorhandenen Ressource aktualisiert werden. Alle anderen Auswertungsauslöser ergeben „True“.
properties.resourceLocation Die Azure-Region der ausgewerteten Ressource.
properties.ancestors Eine durch Trennzeichen getrennte Liste von übergeordneten Verwaltungsgruppen in der Reihenfolge von der direkt übergeordneten Gruppe bis zur entferntesten über-übergeordneten Gruppe.
properties.policies Enthält Details zur Richtliniendefinition, Zuweisung, Auswirkung und Parametern, deren Ergebnis diese Richtlinienauswertung ist.
relatedEvents Dieses Feld ist bei Richtlinienereignissen leer.

Schema aus Speicherkonto und Event Hubs

Beim Streamen des Azure-Aktivitätsprotokolls an ein Speicherkonto oder Event Hub entsprechen die Daten dem Ressourcenprotokollschema. Die folgende Tabelle zeigt die Zuordnung der Eigenschaften aus den oben genannten Schemas zum Ressourcenprotokollschema.

Wichtig

Das Format der Aktivitätsprotokolldaten, die in das Speicherkonto geschrieben werden, wurde am 1. November 2018 in JSON Lines geändert. Einzelheiten zu dieser Formatumstellung finden Sie unter Vorbereiten der Formatumstellung auf Azure Monitor-Ressourcenprotokolle, die in einem Speicherkonto archiviert werden.

Eigenschaft im Ressourcenprotokollschema Eigenschaft im REST-API-Schema des Aktivitätsprotokolls Notizen
time eventTimestamp
resourceId resourceId „subscriptionId“, „resourceType“ und „resourceGroupName“ werden alle aus der „resourceId“ abgeleitet.
operationName operationName.value
category Teil des Vorgangsnamens Immer „Administrative“
resultType status.value
resultSignature substatus.value
resultDescription description
durationMs Immer 0
callerIpAddress httpRequest.clientIpAddress
correlationId correlationId
identity Ansprüche und Autorisierungseigenschaften
Ebene Ebene
location Ort, an dem das Ereignis verarbeitet wurde. Dies ist nicht der Speicherort der Ressource, sondern der Ort, an dem das Ereignis verarbeitet wurde. Diese Eigenschaft wird in einem kommenden Update entfernt.
Eigenschaften properties.eventProperties
properties.eventCategory category Wenn properties.eventCategory nicht vorhanden ist, lautet die Kategorie "Administrative"
properties.eventName eventName
properties.operationId operationId
properties.eventProperties properties

Es folgt ein Beispiel für ein Ereignis mit diesem Schema:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
            "identity": {
               "authorization": {
                   "scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/       msftstorageaccount",
                   "action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
                   "evidence": {
                       "role": "Azure Eventhubs Service Role",
                       "roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
                       "roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
                       "roleDefinitionId": "123456789de042a6a64b29b123456789",
                       "principalId": "abcdef038c6444c18f1c31311fabcdef",
                       "principalType": "ServicePrincipal"
                   }
               },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "11112222-bbbb-3333-cccc-4444dddd5555",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Nächste Schritte