Esquema de eventos do Log de Atividades do Azure
O log de atividades do Azure fornece informações sobre quaisquer eventos de nível de assinatura que ocorreram no Azure. Este artigo descreve as categorias do log de atividades e o esquema de cada uma.
O esquema varia dependendo de como você acessa o log:
- Os esquemas descritos neste artigo são quando você acessa o log de atividades da API REST. O esquema também é usado quando você seleciona a opção JSON ao exibir um evento no portal do Azure.
- Consulte a seção final Esquema da conta de armazenamento e hubs de eventos para obter o esquema quando você usa uma configuração de diagnóstico para enviar o log de atividades para o Armazenamento do Azure ou Hubs de Eventos do Azure.
- Consulte Referência de dados do Azure Monitor para o esquema quando você usa uma configuração de diagnóstico para enviar o log de atividades para um espaço de trabalho do Log Analytics.
Nível de severidade
Cada entrada no registro de atividades tem um nível de gravidade. O nível de severidade pode ter um dos seguintes valores:
| Gravidade | Description |
|---|---|
| Crítico | Eventos que exigem a atenção imediata de um administrador de sistema. Pode indicar que um aplicativo ou sistema falhou ou parou de responder. |
| Erro | Eventos que indicam um problema, mas não requerem atenção imediata. |
| Aviso | Eventos que fornecem aviso prévio de problemas potenciais, embora não seja um erro real. Indique que um recurso não está em um estado ideal e pode se degradar mais tarde para mostrar erros ou eventos críticos. |
| Informativo | Eventos que passam informações não críticas para o administrador. Semelhante a uma nota que diz: "Para sua informação". |
Os desenvolvedores de cada provedor de recursos escolhem os níveis de gravidade de suas entradas de recursos. Como resultado, a gravidade real para você pode variar dependendo de como seu aplicativo é criado. Por exemplo, os itens que são "críticos" para um recurso específico tomado isoladamente podem não ser tão importantes quanto "erros" em um tipo de recurso que é central para seu aplicativo do Azure. Certifique-se de considerar esse fato ao decidir quais eventos alertar.
Categorias
Cada evento no Registro de Atividades tem uma categoria específica descrita na tabela a seguir. Consulte as seções abaixo para obter mais detalhes sobre cada categoria e seu esquema ao acessar o log de atividades do portal, PowerShell, CLI e API REST. O esquema é diferente quando você transmite o log de atividades para o armazenamento ou Hubs de Eventos. Um mapeamento das propriedades para o esquema de logs de recursos é fornecido na última seção do artigo.
| Categoria | Description |
|---|---|
| Administrativo | Contém o registro de todas as operações de criação, atualização, exclusão e ação executadas por meio do Gerenciador de Recursos. Exemplos de eventos administrativos incluem criar máquina virtual e excluir grupo de segurança de rede. Cada ação executada por um usuário ou aplicativo usando o Gerenciador de Recursos é modelada como uma operação em um tipo de recurso específico. Se o tipo de operação for Gravação, Exclusão ou Ação, os registros do início e do sucesso ou falha dessa operação serão registrados na categoria Administrativo. Os eventos administrativos também incluem quaisquer alterações no controle de acesso baseado em função do Azure em uma assinatura. |
| Estado de funcionamento dos serviços | Contém o registro de quaisquer incidentes de integridade do serviço que ocorreram no Azure. Um exemplo de um evento de Integridade do Serviço SQL Azure no Leste dos EUA está enfrentando tempo de inatividade. Os eventos de integridade do serviço vêm em seis variedades: Ação necessária, Recuperação assistida, Incidente, Manutenção, Informação ou Segurança. Esses eventos só são criados se você tiver um recurso na assinatura impactado pelo evento. |
| Estado de funcionamento dos recursos | Contém o registro de quaisquer eventos de integridade de recursos que ocorreram em seus recursos do Azure. Um exemplo de um evento de Integridade do Recurso é o status de integridade da Máquina Virtual alterado para indisponível. Os eventos de integridade do recurso podem representar um dos quatro status de integridade: Disponível, Indisponível, Degradado e Desconhecido. Além disso, os eventos de Integridade de Recursos podem ser categorizados como Iniciados pela Plataforma ou Iniciados pelo Usuário. |
| Alert | Contém o registro de ativações para alertas do Azure. Um exemplo de um evento de alerta é % de CPU em myVM acima de 80 nos últimos 5 minutos. |
| Dimensionamento Automático | Contém o registo de quaisquer eventos relacionados com o funcionamento do motor de escala automática com base em quaisquer definições de dimensionamento automático definidas na sua subscrição. Um exemplo de um evento de dimensionamento automático é a falha na ação de dimensionamento automático. |
| Recomendação | Contém eventos de recomendação do Azure Advisor. |
| Segurança | Contém o registro de todos os alertas gerados pelo Microsoft Defender for Cloud. Um exemplo de um evento de segurança é o arquivo de extensão dupla suspeito executado. |
| Política | Contém registros de todas as operações de ação de efeito executadas pela Política do Azure. Exemplos de eventos de Política incluem Auditoria e Negar. Cada ação tomada pela Política é modelada como uma operação em um recurso. |
Categoria administrativa
Esta categoria contém o registo de todas as operações de criação, atualização, eliminação e ação executadas através do Gestor de Recursos. Exemplos dos tipos de eventos que você veria nesta categoria incluem "criar máquina virtual" e "excluir grupo de segurança de rede". Cada ação executada por um usuário ou aplicativo usando o Gerenciador de Recursos é modelada como uma operação em um tipo de recurso específico. Se o tipo de operação for Gravação, Exclusão ou Ação, os registros do início e do sucesso ou falha dessa operação serão registrados na categoria Administrativo. A categoria Administrativo também inclui quaisquer alterações no controle de acesso baseado em função do Azure em uma assinatura.
Exemplo de evento
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Descrição dos imóveis
| Nome do Elemento | Description |
|---|---|
| autorização | Blob das propriedades do RBAC do Azure do evento. Geralmente inclui as propriedades "action", "role" e "scope". |
| chamador | Endereço de e-mail do usuário que executou a operação, reivindicação UPN ou reivindicação SPN com base na disponibilidade. |
| canais | Um dos seguintes valores: "Admin", "Operation" |
| afirmações | O token JWT usado pelo Ative Directory para autenticar o usuário ou aplicativo para executar essa operação no Gerenciador de Recursos. |
| correlationId | Normalmente, um GUID no formato de cadeia de caracteres. Os eventos que compartilham um correlationId pertencem à mesma ação uber. |
| descrição | Descrição de texto estático de um evento. |
| eventDataId | Identificador exclusivo de um evento. |
| eventName | Nome amigável do evento Administrativo. |
| category | Sempre "Administrativo" |
| Pedido http | Blob descrevendo a solicitação Http. Geralmente inclui o "clientRequestId", "clientIpAddress" e "method" (método HTTP. Por exemplo, PUT). |
| nível | Nível de gravidade do evento. |
| resourceGroupName | Nome do grupo de recursos para o recurso afetado. |
| resourceProviderName | Nome do provedor de recursos para o recurso afetado |
| resourceType | O tipo de recurso afetado por um evento administrativo. |
| resourceId | ID do recurso afetado. |
| operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
| operationName | Nome da operação. |
| propriedades | Conjunto de <Key, Value> pares (ou seja, um dicionário) descrevendo os detalhes do evento. |
| status | String que descreve o status da operação. Alguns valores comuns são: Iniciado, Em andamento, Bem-sucedido, Falhado, Ativo, Resolvido. |
| subStatus | Normalmente, o código de status HTTP da chamada REST correspondente, mas também pode incluir outras cadeias de caracteres que descrevem um subStatus, como estes valores comuns: OK (Código de status HTTP: 200), Criado (Código de status HTTP: 201), Aceito (Código de status HTTP: 202), Sem conteúdo (Código de status HTTP: 204), Solicitação incorreta (Código de status HTTP: 400), Não encontrado (Código de status HTTP: 404), Conflito (Código de Status HTTP: 409), Erro Interno do Servidor (Código de Status HTTP: 500), Serviço Indisponível (Código de Status HTTP: 503), Tempo Limite do Gateway (Código de Status HTTP: 504). |
| eventTimestamp | Carimbo de data/hora quando o evento foi gerado pelo serviço do Azure que processa a solicitação correspondente ao evento. |
| envioCarimbo de data/hora | Carimbo de data/hora quando o evento ficou disponível para consulta. |
| subscriptionId | ID de Subscrição do Azure. |
Categoria de estado de funcionamento do serviço
Esta categoria contém o registo de quaisquer incidentes de estado de funcionamento do serviço que tenham ocorrido no Azure. Um exemplo do tipo de evento que você veria nesta categoria é "O SQL Azure no Leste dos EUA está enfrentando tempo de inatividade". Os eventos de integridade do serviço vêm em cinco variedades: Ação necessária, Incidente, Manutenção, Informações ou Segurança e só aparecem se você tiver um recurso na assinatura que seria afetado pelo evento.
Exemplo de evento
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Consulte o artigo de notificações de integridade do serviço para obter documentação sobre os valores nas propriedades.
Categoria de integridade do recurso
Esta categoria contém o registro de eventos de integridade de recursos que ocorreram em seus recursos do Azure. Um exemplo do tipo de evento que você veria nesta categoria é "Status de integridade da máquina virtual alterado para indisponível". Os eventos de integridade do recurso podem representar um dos quatro status de integridade: Disponível, Indisponível, Degradado e Desconhecido. Além disso, os eventos de integridade do recurso podem ser categorizados como Iniciados pela Plataforma ou Iniciados pelo Usuário.
Um evento de integridade do recurso é registrado no log de atividades quando:
- Uma anotação, por exemplo "ResourceDegraded" ou "AccountClientThrottling", é enviada para um recurso.
- Um recurso transitou de ou para Não íntegro.
- Um recurso ficou insalubre por mais de 15 minutos.
As seguintes transições de integridade de recursos não são registradas no log de atividades:
- Uma transição para o estado Desconhecido.
- Uma transição do estado Desconhecido se:
- Esta é a primeira transição.
- Se o estado anterior a Desconhecido for o mesmo que o novo estado depois. (Por exemplo, se o recurso transitou de Saudável para Desconhecido e de volta para Íntegro).
- Para recursos de computação: VMs que transitam de Íntegro para Não Íntegro e de volta para Íntegro, quando o tempo de Íntegro é inferior a 35 segundos.
Exemplo de evento
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Descrição dos imóveis
| Nome do Elemento | Description |
|---|---|
| canais | Sempre "Admin, Operação" |
| correlationId | Um GUID no formato de cadeia de caracteres. |
| descrição | Descrição de texto estático do evento de alerta. |
| eventDataId | Identificador exclusivo do evento de alerta. |
| category | Sempre "ResourceHealth" |
| eventTimestamp | Carimbo de data/hora quando o evento foi gerado pelo serviço do Azure que processa a solicitação correspondente ao evento. |
| nível | Nível de gravidade do evento. |
| operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
| operationName | Nome da operação. |
| resourceGroupName | Nome do grupo de recursos que contém o recurso. |
| resourceProviderName | Sempre "Microsoft.Resourcehealth/healthevent/action". |
| resourceType | O tipo de recurso afetado por um evento de Integridade do Recurso. |
| resourceId | Nome da ID do recurso afetado. |
| status | String que descreve o status do evento de integridade. Os valores podem ser: Ativo, Resolvido, InProgress, Atualizado. |
| subStatus | Geralmente nulo para alertas. |
| envioCarimbo de data/hora | Carimbo de data/hora quando o evento ficou disponível para consulta. |
| subscriptionId | ID de Subscrição do Azure. |
| propriedades | Conjunto de <Key, Value> pares (ou seja, um dicionário) descrevendo os detalhes do evento. |
| propriedades.título | Uma cadeia de caracteres amigável que descreve o status de integridade do recurso. |
| propriedades.detalhes | Uma cadeia de caracteres amigável que descreve mais detalhes sobre o evento. |
| propriedades.currentHealthStatus | O status de integridade atual do recurso. Um dos seguintes valores: "Disponível", "Indisponível", "Degradado" e "Desconhecido". |
| properties.previousHealthStatus | O status de integridade anterior do recurso. Um dos seguintes valores: "Disponível", "Indisponível", "Degradado" e "Desconhecido". |
| propriedades.type | Uma descrição do tipo de evento de integridade do recurso. |
| propriedades.causa | Uma descrição da causa do evento de integridade do recurso. "UserInitiated" e "PlatformInitiated". |
Categoria de alerta
Esta categoria contém o registro de todas as ativações de alertas clássicos do Azure. Um exemplo do tipo de evento que você veria nesta categoria é "% de CPU em myVM é superior a 80 nos últimos 5 minutos". Vários sistemas do Azure têm um conceito de alerta: você pode definir uma regra de algum tipo e receber uma notificação quando as condições corresponderem a essa regra. Sempre que um tipo de alerta do Azure com suporte 'ativa' ou as condições são atendidas para gerar uma notificação, um registro da ativação também é enviado por push para essa categoria do Log de atividades.
Exemplo de evento
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Descrição dos imóveis
| Nome do Elemento | Description |
|---|---|
| chamador | Sempre Microsoft.Insights/alertRules |
| canais | Sempre "Admin, Operação" |
| afirmações | Blob JSON com o SPN (nome da entidade de serviço), ou tipo de recurso, do mecanismo de alerta. |
| correlationId | Um GUID no formato de cadeia de caracteres. |
| descrição | Descrição de texto estático do evento de alerta. |
| eventDataId | Identificador exclusivo do evento de alerta. |
| category | Sempre "Alerta" |
| nível | Nível de gravidade do evento. |
| resourceGroupName | Nome do grupo de recursos para o recurso afetado, se for um alerta de métrica. Para outros tipos de alerta, é o nome do grupo de recursos que contém o próprio alerta. |
| resourceProviderName | Nome do provedor de recursos para o recurso afetado, se for um alerta de métrica. Para outros tipos de alerta, é o nome do provedor de recursos para o próprio alerta. |
| resourceId | Nome do ID do recurso afetado, se for um alerta de métrica. Para outros tipos de alerta, é a ID do recurso do próprio recurso de alerta. |
| operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
| operationName | Nome da operação. |
| propriedades | Conjunto de <Key, Value> pares (ou seja, um dicionário) descrevendo os detalhes do evento. |
| status | String que descreve o status da operação. Alguns valores comuns são: Iniciado, Em andamento, Bem-sucedido, Falhado, Ativo, Resolvido. |
| subStatus | Geralmente nulo para alertas. |
| eventTimestamp | Carimbo de data/hora quando o evento foi gerado pelo serviço do Azure que processa a solicitação correspondente ao evento. |
| envioCarimbo de data/hora | Carimbo de data/hora quando o evento ficou disponível para consulta. |
| subscriptionId | ID de Subscrição do Azure. |
Campo Propriedades por tipo de alerta
O campo de propriedades conterá valores diferentes, dependendo da origem do evento de alerta. Dois provedores de eventos de alerta comuns são alertas de registro de atividades e alertas métricos.
Propriedades para alertas do Registro de Atividades
| Nome do Elemento | Description |
|---|---|
| properties.subscriptionId | A ID de assinatura do evento de registro de atividades que causou a ativação dessa regra de alerta de log de atividades. |
| propriedades.eventDataId | A ID de dados do evento do registro de atividades que causou a ativação dessa regra de alerta do log de atividades. |
| propriedades.resourceGroup | O grupo de recursos do evento do log de atividades que causou a ativação dessa regra de alerta do log de atividades. |
| propriedades.resourceId | O ID do recurso do evento do log de atividades que causou a ativação dessa regra de alerta do log de atividades. |
| propriedades.eventTimestamp | O carimbo de data/hora do evento do log de atividades que causou a ativação dessa regra de alerta do log de atividades. |
| propriedades.operationName | O nome da operação do evento do log de atividades que fez com que essa regra de alerta do log de atividades fosse ativada. |
| propriedades.status | O status do evento de registro de atividades que causou a ativação dessa regra de alerta de log de atividades. |
Propriedades para alertas de métricas
| Nome do Elemento | Description |
|---|---|
| propriedades. RuleUri | ID do recurso da própria regra de alerta de métrica. |
| propriedades. RuleName | O nome da regra de alerta métrico. |
| propriedades. Descrição da regra | A descrição da regra de alerta métrico (conforme definido na regra de alerta). |
| propriedades. Limiar | O valor limite usado na avaliação da regra métrica de alerta. |
| propriedades. WindowSizeInMinutes | O tamanho da janela usado na avaliação da regra de alerta métrico. |
| propriedades. Agregação | O tipo de agregação definido na regra de alerta métrico. |
| propriedades. Operador | O operador condicional usado na avaliação da regra métrica de alerta. |
| propriedades. MetricName | O nome da métrica usada na avaliação da regra de alerta métrico. |
| propriedades. Unidade Métrica | A unidade métrica para a métrica usada na avaliação da regra de alerta métrico. |
Categoria de dimensionamento automático
Esta categoria contém o registo de quaisquer eventos relacionados com o funcionamento do motor de escala automática com base em quaisquer definições de escala automática que tenha definido na sua subscrição. Um exemplo do tipo de evento que você veria nesta categoria é "Falha na ação de dimensionamento automático". Usando o dimensionamento automático, você pode expandir ou dimensionar automaticamente o número de instâncias em um tipo de recurso suportado com base na hora do dia e/ou carregar dados (métricos) usando uma configuração de dimensionamento automático. Quando as condições são atendidas para aumentar ou diminuir a escala, os eventos de início e bem-sucedidos ou reprovados são registrados nesta categoria.
Exemplo de evento
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Descrição dos imóveis
| Nome do Elemento | Description |
|---|---|
| chamador | Sempre Microsoft.Insights/autoscaleSettings |
| canais | Sempre "Admin, Operação" |
| afirmações | Blob JSON com o SPN (nome da entidade de serviço), ou tipo de recurso, do mecanismo de dimensionamento automático. |
| correlationId | Um GUID no formato de cadeia de caracteres. |
| descrição | Descrição de texto estático do evento de dimensionamento automático. |
| eventDataId | Identificador exclusivo do evento de dimensionamento automático. |
| nível | Nível de gravidade do evento. |
| resourceGroupName | Nome do grupo de recursos para a configuração de dimensionamento automático. |
| resourceProviderName | Nome do provedor de recursos para a configuração de dimensionamento automático. |
| resourceId | ID do recurso da configuração de dimensionamento automático. |
| operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
| operationName | Nome da operação. |
| propriedades | Conjunto de <Key, Value> pares (ou seja, um dicionário) descrevendo os detalhes do evento. |
| propriedades. Descrição | Descrição detalhada do que o motor de escala automática estava fazendo. |
| propriedades. ResourceName | ID do recurso afetado (o recurso no qual a ação de escala estava sendo executada) |
| propriedades. OldInstancesCount | O número de instâncias antes da ação de dimensionamento automático entrar em vigor. |
| propriedades. NewInstancesCount | O número de instâncias depois que a ação de dimensionamento automático entrou em vigor. |
| propriedades. LastScaleActionTime | O carimbo de data/hora de quando a ação de dimensionamento automático ocorreu. |
| status | String que descreve o status da operação. Alguns valores comuns são: Iniciado, Em andamento, Bem-sucedido, Falhado, Ativo, Resolvido. |
| subStatus | Geralmente nulo para escala automática. |
| eventTimestamp | Carimbo de data/hora quando o evento foi gerado pelo serviço do Azure que processa a solicitação correspondente ao evento. |
| envioCarimbo de data/hora | Carimbo de data/hora quando o evento ficou disponível para consulta. |
| subscriptionId | ID de Subscrição do Azure. |
Categoria de segurança
Esta categoria contém o registro de todos os alertas gerados pelo Microsoft Defender for Cloud. Um exemplo do tipo de evento que você veria nesta categoria é "Arquivo de extensão dupla suspeito executado".
Exemplo de evento
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Descrição dos imóveis
| Nome do Elemento | Description |
|---|---|
| canais | Sempre "Operação" |
| correlationId | Um GUID no formato de cadeia de caracteres. |
| descrição | Descrição em texto estático do evento de segurança. |
| eventDataId | Identificador exclusivo do evento de segurança. |
| eventName | Nome amigável do evento de segurança. |
| category | Sempre "Segurança" |
| ID | Identificador de recurso exclusivo do evento de segurança. |
| nível | Nível de gravidade do evento. |
| resourceGroupName | Nome do grupo de recursos para o recurso. |
| resourceProviderName | Nome do provedor de recursos do Microsoft Defender for Cloud. Sempre "Microsoft.Security". |
| resourceType | O tipo de recurso que gerou o evento de segurança, como "Microsoft.Security/locations/alerts" |
| resourceId | ID do recurso do alerta de segurança. |
| operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
| operationName | Nome da operação. |
| propriedades | Conjunto de <Key, Value> pares (ou seja, um dicionário) descrevendo os detalhes do evento. Essas propriedades variam dependendo do tipo de alerta de segurança. Consulte esta página para obter uma descrição dos tipos de alertas provenientes do Defender for Cloud. |
| propriedades. Gravidade | O nível de gravidade. Os valores possíveis são "Alto", "Médio" ou "Baixo". |
| status | String que descreve o status da operação. Alguns valores comuns são: Iniciado, Em andamento, Bem-sucedido, Falhado, Ativo, Resolvido. |
| subStatus | Geralmente nulo para eventos de segurança. |
| eventTimestamp | Carimbo de data/hora quando o evento foi gerado pelo serviço do Azure que processa a solicitação correspondente ao evento. |
| envioCarimbo de data/hora | Carimbo de data/hora quando o evento ficou disponível para consulta. |
| subscriptionId | ID de Subscrição do Azure. |
Categoria de recomendação
Esta categoria contém o registo de quaisquer novas recomendações geradas para os seus serviços. Um exemplo de recomendação seria "Use conjuntos de disponibilidade para melhorar a tolerância a falhas". Há quatro tipos de eventos de Recomendação que podem ser gerados: Alta Disponibilidade, Desempenho, Segurança e Otimização de Custos.
Exemplo de evento
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Descrição dos imóveis
| Nome do Elemento | Description |
|---|---|
| canais | Sempre "Operação" |
| correlationId | Um GUID no formato de cadeia de caracteres. |
| descrição | Descrição em texto estático do evento de recomendação |
| eventDataId | Identificador exclusivo do evento de recomendação. |
| category | Sempre "Recomendação" |
| ID | Identificador de recurso exclusivo do evento de recomendação. |
| nível | Nível de gravidade do evento. |
| operationName | Nome da operação. Sempre "Microsoft.Advisor/generateRecommendations/action" |
| resourceGroupName | Nome do grupo de recursos para o recurso. |
| resourceProviderName | Nome do provedor de recursos para o recurso ao qual esta recomendação se aplica, como "MICROSOFT. COMPUTAR" |
| resourceType | Nome do tipo de recurso para o recurso ao qual esta recomendação se aplica, como "MICROSOFT. COMPUTAÇÃO/máquinas virtuais" |
| resourceId | ID do recurso ao qual a recomendação se aplica |
| status | Sempre "Ativo" |
| envioCarimbo de data/hora | Carimbo de data/hora quando o evento ficou disponível para consulta. |
| subscriptionId | ID de Subscrição do Azure. |
| propriedades | Conjunto de <Key, Value> pares (ou seja, um dicionário) descrevendo os detalhes da recomendação. |
| properties.recommendationSchemaVersion | Versão do esquema das propriedades de recomendação publicadas na entrada do Registro de Atividades |
| propriedades.recomendaçãoCategoria | Categoria da recomendação. Os valores possíveis são "Alta Disponibilidade", "Desempenho", "Segurança" e "Custo" |
| propriedades.recomendaçãoImpacto | Impacto da recomendação. Os valores possíveis são "Alto", "Médio", "Baixo" |
| propriedades.recomendaçãoRisco | Risco da recomendação. Os valores possíveis são "Error", "Warning", "None" |
Categoria de política
Esta categoria contém registos de todas as operações de ação de efeito executadas pela Política do Azure. Exemplos dos tipos de eventos que você veria nesta categoria incluem Auditoria e Negar. Cada ação tomada pela Política é modelada como uma operação em um recurso.
Exemplo de evento de política
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Descrições de propriedades de eventos de política
| Nome do Elemento | Description |
|---|---|
| autorização | Matriz de propriedades do Azure RBAC do evento. Para novos recursos, esta é a ação e o escopo da solicitação que desencadeou a avaliação. Para recursos existentes, a ação é "Microsoft.Resources/checkPolicyCompliance/read". |
| chamador | Para novos recursos, a identidade que iniciou uma implantação. Para recursos existentes, o GUID do RP do Microsoft Azure Policy Insights. |
| canais | Os eventos de política usam apenas o canal "Operação". |
| afirmações | O token JWT usado pelo Ative Directory para autenticar o usuário ou aplicativo para executar essa operação no Gerenciador de Recursos. |
| correlationId | Normalmente, um GUID no formato de cadeia de caracteres. Os eventos que compartilham um correlationId pertencem à mesma ação uber. |
| descrição | Este campo está em branco para eventos de política. |
| eventDataId | Identificador exclusivo de um evento. |
| eventName | "BeginRequest" ou "EndRequest". "BeginRequest" é usado para avaliações atrasadas auditIfNotExists e deployIfNotExists e quando um efeito deployIfNotExists inicia uma implantação de modelo. Todas as outras operações retornam "EndRequest". |
| category | Declara o evento do log de atividades como pertencente à "Política". |
| eventTimestamp | Carimbo de data/hora quando o evento foi gerado pelo serviço do Azure que processa a solicitação correspondente ao evento. |
| ID | Identificador exclusivo do evento no recurso específico. |
| nível | Nível de gravidade do evento. Auditoria usa "Aviso" e Negar usa "Erro". Um erro auditIfNotExists ou deployIfNotExists pode gerar "Aviso" ou "Erro", dependendo da gravidade. Todos os outros eventos da Política usam "Informativo". |
| operationId | Um GUID compartilhado entre os eventos que correspondem a uma única operação. |
| operationName | Nome da operação e está diretamente correlacionado com o efeito Política. |
| resourceGroupName | Nome do grupo de recursos para o recurso avaliado. |
| resourceProviderName | Nome do provedor de recursos para o recurso avaliado. |
| resourceType | Para novos recursos, é o tipo que está sendo avaliado. Para recursos existentes, retorna "Microsoft.Resources/checkPolicyCompliance". |
| resourceId | ID do recurso avaliado. |
| status | String que descreve o status do resultado da avaliação da política. A maioria das avaliações de política retorna "Succeeded", mas um efeito Deny retorna "Failed". Erros em auditIfNotExists ou deployIfNotExists também retornam "Failed". |
| subStatus | O campo está em branco para eventos de política. |
| envioCarimbo de data/hora | Carimbo de data/hora quando o evento ficou disponível para consulta. |
| subscriptionId | ID de Subscrição do Azure. |
| properties.isComplianceCheck | Retorna "False" quando um novo recurso é implantado ou as propriedades do Resource Manager de um recurso existente são atualizadas. Todos os outros gatilhos de avaliação resultam em "Verdadeiro". |
| propriedades.resourceLocation | A região do Azure do recurso que está sendo avaliado. |
| propriedades.antepassados | Uma lista separada por vírgulas de grupos de gerenciamento de pais ordenados de pais diretos para avós mais distantes. |
| propriedades.políticas | Inclui detalhes sobre a definição, atribuição, efeito e parâmetros da política de que esta avaliação de política é resultante. |
| relacionadosEventos | Este campo está em branco para eventos de política. |
Esquema da conta de armazenamento e hubs de eventos
Ao transmitir o log de atividades do Azure para uma conta de armazenamento ou hub de eventos, os dados seguem o esquema do log de recursos. A tabela abaixo fornece um mapeamento de propriedades dos esquemas acima para o esquema de logs de recursos.
Importante
O formato dos dados do log de atividades gravados em uma conta de armazenamento foi alterado para JSON Lines em 1º de novembro de 2018. Consulte Preparar para alteração de formato nos logs de recursos do Azure Monitor arquivados em uma conta de armazenamento para obter detalhes sobre essa alteração de formato.
| Propriedade do esquema de logs de recursos | Propriedade do esquema da API REST do Log de Atividades | Notas |
|---|---|---|
| hora | eventTimestamp | |
| resourceId | resourceId | subscriptionId, resourceType, resourceGroupName são todos inferidos a partir do resourceId. |
| operationName | operationName.value | |
| category | Parte do nome da operação | Sempre "Administrativo" |
| resultType | status.valor | |
| resultSignature | substatus.valor | |
| resultDescription | descrição | |
| durationMs | N/A | Sempre 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| de identidade | Propriedades de Reclamações e Autorização | |
| Level | Level | |
| localização | N/A | Local onde o evento foi processado. Este não é o local do recurso, mas sim onde o evento foi processado. Esta propriedade será removida em uma atualização futura. |
| Propriedades | propriedades.eventProperties | |
| properties.eventCategory | category | Se properties.eventCategory não estiver presente, a categoria será "Administrativa" |
| propriedades.nome_do_evento | eventName | |
| propriedades.operationId | operationId | |
| propriedades.eventProperties | propriedades |
Segue-se um exemplo de um evento que utiliza este esquema:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}