Schémas communs et spécifiques de services pour les journaux de ressources Azure
Notes
Les journaux de ressource étaient auparavant appelés journaux de diagnostic. Le nom a été modifié en octobre 2019 parce que les types de journaux collectés par Azure Monitor ont évolué pour inclure plus que la seule ressource Azure.
Cet article répertoriait les catégories de journaux de ressources que vous pouvez collecter. Cette liste se trouve à présent dans les Catégories de journaux de ressources.
Les journaux de ressource Azure Monitor sont des journaux d’activité générés par les services Azure, qui décrivent le fonctionnement de ces services ou ressources. Tous les journaux de ressources disponibles via Azure Monitor partagent un schéma de niveau supérieur commun. Chaque service a la possibilité d’émettre des propriétés uniques pour ses propres événements.
Une combinaison du type de ressource (disponible dans la propriété resourceId) et la catégorie identifient de manière unique un schéma. Cet article décrit les schémas de niveau supérieur pour les journaux de ressources et les liens vers les schémas pour chaque service.
Schéma commun de niveau supérieur
Notes
Le schéma décrit ici est valide lorsque des journaux de ressources sont envoyés à Stockage Azure ou à un Event Hub. Lorsque les journaux sont envoyés à un espace de travail Log Analytics, les noms des colonnes peuvent être différents. Pour plus d’informations sur les colonnes communes à toutes les tables d’un espace de travail Log Analytics et sur la référence de données Azure Monitor pour une référence de tables différentes, consultez Colonnes standard dans les journaux Azure Monitor.
| Nom | Obligatoire ou facultatif | Description |
|---|---|---|
time |
Obligatoire | L’horodatage (UTC) de l’événement en cours de journalisation. |
resourceId |
Requis | ID de la ressource qui a émis l’événement. Pour les services abonnés, cet ID prend la forme /tenants/tenant-id/providers/provider-name. |
tenantId |
Obligatoire pour les journaux d’activité de l’abonné | ID d’abonné de l’abonné Active Directory auquel cet événement est lié. Cette propriété est utilisée uniquement pour les journaux au niveau du locataire. Elle n’apparaît pas dans les journaux au niveau de la ressource. |
operationName |
Requis | Nom de l’opération que cet événement journalise, par exemple Microsoft.Storage/storageAccounts/blobServices/blobs/Read. Ce operationName est généralement modélisé sous la forme d’une opération d’Azure Resource Manager, Microsoft.<providerName>/<resourceType>/<subtype>/<Write|Read|Delete|Action>, même s’il ne s’agit pas d’une opération Resource Manager documentée. |
operationVersion |
Facultatif | Version d’API associée à l’opération, si operationName a été effectué à l’aide d’une API (par exemple http://myservice.windowsazure.net/object?api-version=2016-06-01). Si aucune API ne correspond à cette opération, la version représente la version de cette opération si les propriétés associées à l’opération viennent à changer. |
category |
Requis | La catégorie de journal de l’événement en cours de journalisation. La catégorie est la granularité selon laquelle vous pouvez activer ou désactiver des journaux d’activité sur une ressource particulière. Les propriétés qui apparaissent dans l’objet blob de propriétés d’un événement sont les mêmes au sein d’un type de ressource et d’une catégorie de journal spécifique. Les catégories de journal standard sont Audit, Operational, Execution et Request. |
resultType |
Facultatif | L’état de l’événement journalisé, le cas échéant. Les valeurs comprennent Started, In Progress, Succeeded, Failed, Active et Resolved. |
resultSignature |
Facultatif | Sous-état de l’événement. Si cette opération correspond à un appel d’API REST, ce champ est le code d’état HTTP de l’appel REST correspondant. |
resultDescription |
Facultatif | Description textuelle statique de cette opération, par ex. Get storage file. |
durationMs |
Facultatif | Durée de l’opération en millisecondes. |
callerIpAddress |
Facultatif | Adresse IP de l’appelant, si l’opération correspond à un appel d’API qui provient d’une entité avec une adresse IP disponible publiquement. |
correlationId |
Facultatif | GUID utilisé pour regrouper un ensemble d’événements associés. En règle générale, si deux événements ont le même operationName, mais deux états différents (par exemple Started et Succeeded), ils partagent la même valeur correlationID. Cela peut également représenter d’autres relations entre les événements. |
identity |
Facultatif | Objet blob JSON qui décrit l’identité de l’utilisateur ou d’une application qui a effectué l’opération. En général, ce champ inclut l’autorisation et les revendications ou Jeton JWT issus d’Active Directory. |
level |
Facultatif | Niveau de gravité de l’événement. Doit être Informational, Warning, Error ou Critical. |
location |
Facultatif | Région de la ressource générant l’événement, par ex. East US ou France South. |
properties |
Facultatif | Toutes les propriétés étendues associées à cette catégorie d’événements. Toutes les propriétés personnalisées ou uniques doivent être placées à l’intérieur de cette « Partie B » du schéma. |
Schémas par service
Le schéma des journaux des ressources varie en fonction de la ressource et de la catégorie de journal d’activité. La liste suivante répertorie les services Azure qui mettent des journaux de ressources et des liens à disposition du service et des schémas spécifiques à la catégorie (lorsqu’ils sont disponibles). La liste change au fur et à mesure de l’ajout de services. Si vous ne voyez pas ce dont vous avez besoin, n’hésitez pas à ouvrir un problème GitHub dans cet article afin de pouvoir le mettre à jour.
Étapes suivantes
- Voir les catégories de journaux de ressources que vous pouvez collecter
- En savoir plus sur les journaux de ressources
- Diffuser en continu les journaux de ressource vers Event Hubs
- Modifier les paramètres de diagnostic de journal de ressources à l’aide de l’API REST Azure Monitor
- Analyser les journaux d’activité de Stockage Azure avec Log Analytics