Skema kejadian Log Aktivitas Azure
Log Aktivitas Azure memberikan wawasan tentang peristiwa tingkat langganan apa pun yang terjadi di Azure. Artikel ini menjelaskan kategori log Aktivitas serta skema untuk masing-masing kategori.
Skema bervariasi tergantung pada cara Anda mengakses log:
- Skema yang dijelaskan dalam artikel ini adalah ketika Anda mengakses log Aktivitas dari REST API. Skema juga digunakan saat Anda memilih opsi JSON saat melihat peristiwa di portal Azure.
- Lihat bagian akhir Skema dari akun penyimpanan dan hub peristiwa untuk skema saat Anda menggunakan pengaturan diagnostik untuk mengirim log Aktivitas ke Azure Storage atau Azure Event Hubs.
- Lihat Referensi data Azure Monitor untuk skema saat Anda menggunakan pengaturan diagnostik untuk mengirim log Aktivitas ke ruang kerja Log Analytics.
Tingkat keparahan
Setiap entri dalam log aktivitas memiliki tingkat keparahan. Tingkat keparahan dapat memiliki salah satu nilai berikut:
| Tingkat keparahan | Deskripsi |
|---|---|
| Kritis | Peristiwa yang menuntut perhatian langsung dari administrator sistem. Mungkin menunjukkan bahwa aplikasi atau sistem gagal atau berhenti merespons. |
| Error | Peristiwa yang menunjukkan masalah, tetapi tidak memerlukan perhatian segera. |
| Peringatan | Peristiwa yang memberikan peringatan awal tentang potensi masalah, meskipun bukan kesalahan yang sebenarnya. Tunjukkan bahwa sumber daya tidak dalam keadaan ideal dan dapat diturunkan nanti menjadi menampilkan kesalahan atau peristiwa penting. |
| Informasi | Peristiwa yang meneruskan informasi nonkritis kepada administrator. Mirip dengan catatan yang tertera: "Sekadar informasi". |
Pengembang dari setiap penyedia sumber memilih tingkat keparahan entri sumber daya mereka. Akibatnya, tingkat keparahan sebenarnya bagi Anda dapat bervariasi tergantung pada bagaimana aplikasi Anda dibangun. Misalnya, item yang "penting" ke sumber daya tertentu yang diambil dalam isolasi mungkin tidak sepenting "kesalahan" dalam jenis sumber daya yang merupakan pusat aplikasi Azure Anda. Pastikan untuk mempertimbangkan fakta ini saat memutuskan peristiwa apa yang harus diwaspadai.
Kategori
Setiap peristiwa dalam Log Aktivitas memiliki kategori tertentu yang dijelaskan dalam tabel berikut. Lihat bagian di bawah ini untuk detail lebih lanjut tentang setiap kategori dan skemanya saat Anda mengakses log Aktivitas dari portal, PowerShell, CLI, dan REST API. Skema ini berbeda saat Anda mengalirkan log Aktivitas ke penyimpanan atau Azure Event Hubs. Pemetaan properti ke skema log sumber daya disediakan di bagian terakhir artikel.
| Category | Deskripsi |
|---|---|
| Administrasi | Berisi catatan semua operasi buat, perbarui, hapus, dan tindakan yang dijalankan melalui Resource Manager. Contoh peristiwa Administratif termasuk membuat komputer virtual dan menghapus grup keamanan jaringan. Setiap tindakan yang diambil oleh pengguna atau aplikasi yang menggunakan Resource Manager dimodelkan sebagai operasi pada jenis sumber daya tertentu. Jika jenis operasi adalah Tulis, Hapus, atau Tindakan, catatan mulai dan keberhasilan atau kegagalan operasi tersebut dicatat dalam kategori Administratif. Peristiwa administratif juga menyertakan semua perubahan pada kontrol akses berbasis peran Azure dalam langganan. |
| Service Health | Berisi catatan insiden kesehatan layanan apa pun yang terjadi di Azure. Contoh peristiwa Service Health SQL Azure di AS Timur adalah mengalami downtime. Peristiwa Service Health hadir dalam Enam variasi: Tindakan Diperlukan, Pemulihan Terbantu, Insiden, Pemeliharaan, Informasi, atau Keamanan. Peristiwa ini hanya dibuat jika Anda memiliki sumber daya dalam langganan yang terpengaruh oleh peristiwa tersebut. |
| Resource Health | Berisi catatan peristiwa kesehatan sumber daya apa pun yang terjadi pada sumber daya Azure Anda. Contoh peristiwa Resource Health adalah status kesehatan Virtual Machine berubah menjadi tidak tersedia. Peristiwa Resource Health dapat mewakili salah satu dari empat status kesehatan: Tersedia, Tidak Tersedia, Terdegradasi, dan Tidak Diketahui. Selain itu, peristiwa Resource Health dapat dikategorikan sebagai Dimulai oleh Platform atau Dimulai oleh pengguna. |
| Peringatan | Berisi catatan aktivasi untuk pemberitahuan Azure. Contoh peristiwa Pemberitahuan adalah CPU % pada myVM di atas 80 selama 5 menit terakhir. |
| Skala Otomatis | Berisi catatan peristiwa apa pun yang terkait dengan pengoperasian mesin skala otomatis berdasarkan pengaturan skala otomatis apa pun yang Anda tentukan dalam langganan Anda. Contoh peristiwa Penskalaan otomatis adalah Tindakan penskalaan otomatis ke atas gagal. |
| Rekomendasi | Berisi peristiwa rekomendasi dari Azure Advisor. |
| Keamanan | Berisi catatan semua peringatan yang dihasilkan oleh Pertahanan Microsoft untuk Cloud. Contoh peristiwa Keamanan adalah File ekstensi ganda mencurigakan yang dijalankan. |
| Kebijakan | Berisi catatan semua operasi tindakan efek yang dilakukan oleh Azure Policy. Contoh peristiwa Policy termasuk Audit dan Tolak. Setiap tindakan yang diambil oleh Policy dimodelkan sebagai operasi pada sumber daya. |
Kategori administratif
Kategori ini berisi catatan semua operasi buat, perbarui, hapus, dan tindakan yang dijalankan melalui Resource Manager. Contoh jenis peristiwa yang akan Anda lihat dalam kategori ini termasuk "buat komputer virtual" dan "hapus grup keamanan jaringan". Setiap tindakan yang diambil oleh pengguna atau aplikasi yang menggunakan Resource Manager dimodelkan sebagai operasi pada jenis sumber daya tertentu. Jika jenis operasi adalah Tulis, Hapus, atau Tindakan, catatan mulai dan keberhasilan atau kegagalan operasi tersebut dicatat dalam kategori Administratif. Kategori Administratif juga termasuk semua perubahan pada kontrol akses berbasis peran Azure dalam langganan.
Contoh peristiwa
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "355249ed-15d9-460d-8481-84026b065942",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Deskripsi properti
| Nama Elemen | Deskripsi |
|---|---|
| authorization | Blob properti Azure RBAC dari acara tersebut. Biasanya mencakup properti "action", "role" dan "scope". |
| pemanggil | Alamat email pengguna yang telah melakukan operasi, klaim UPN, atau klaim SPN berdasarkan ketersediaan. |
| channels | Salah satu nilai berikut: "Admin", "Operation" |
| claims | Token JWT yang digunakan oleh Active Directory untuk mengautentikasi pengguna atau aplikasi untuk melakukan operasi ini di Resource Manager. |
| correlationId | Biasanya, GUID dalam format string. Peristiwa yang berbagi correlationId termasuk dalam tindakan uber yang sama. |
| description | Deskripsi teks statis suatu peristiwa. |
| eventDataId | Pengidentifikasi unik suatu peristiwa. |
| eventName | Nama yang ramah dari peristiwa Administratif. |
| category | Selalu "Administrative" |
| httpRequest | Blob yang menjelaskan Permintaan Http. Biasanya mencakup “clientRequestId”, “clientIpAddress” dan “method” (metode HTTP. Misalnya, PUT). |
| tingkat | Tingkat keparahan peristiwa. |
| resourceGroupName | Nama grup sumber daya untuk sumber daya yang terkena dampak. |
| resourceProviderName | Nama penyedia sumber daya untuk sumber daya yang terkena dampak |
| resourceType | Jenis sumber daya yang terpengaruh oleh peristiwa Administratif. |
| resourceId | ID sumber daya dari sumber daya yang terkena dampak. |
| operationId | GUID yang dibagikan di antara peristiwa yang sesuai dengan operasi tunggal. |
| operationName | Nama operasi. |
| properti | Set pasangan <Key, Value> (yaitu Kamus) yang menjelaskan detail peristiwa. |
| status | String yang menjelaskan status operasi. Beberapa nilai yang umum adalah: Memulai, Sedang Berlangsung, Berhasil, Gagal, Aktif, Diselesaikan. |
| subStatus | Biasanya kode status HTTP dari panggilan REST yang sesuai, tetapi juga dapat menyertakan string lain yang menjelaskan subStatus, seperti nilai umum ini: OK (Kode Status HTTP: 200), Dibuat (Kode Status HTTP: 201), Diterima (Kode Status HTTP: 202), Tidak Ada Konten (Kode Status HTTP: 204), Permintaan Buruk (Kode Status HTTP: 400), Tidak Ditemukan (Kode Status HTTP: 404), Konflik (Kode Status HTTP: 409), Kesalahan Server Internal (Kode Status HTTP: 500), Layanan Tidak Tersedia (Kode Status HTTP: 503), Batas Waktu Gateway (Kode Status HTTP: 504). |
| eventTimestamp | Tanda waktu ketika peristiwa dihasilkan oleh layanan Azure yang memproses permintaan terkait peristiwa. |
| submissionTimestamp | Tanda waktu saat peristiwa tersedia untuk kueri. |
| subscriptionId | ID Langganan Azure. |
Kategori kesehatan layanan
Kategori ini berisi catatan insiden kesehatan layanan apa pun yang terjadi di Azure. Contoh jenis peristiwa yang akan Anda lihat dalam kategori ini adalah "SQL Azure di US Timur mengalami waktu henti." Peristiwa kesehatan layanan ada lima jenis: Tindakan yang Diperlukan, Insiden, Pemeliharaan, Informasi, atau Keamanan, dan hanya muncul jika Anda memiliki sumber daya dalam langganan yang akan terpengaruh oleh peristiwa tersebut.
Contoh peristiwa
{
"channels": "Admin",
"correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Merujuk ke artikel pemberitahuan layanan kesehatan untuk dokumentasi tentang nilai dalam properti.
Kategori kesehatan sumber daya
Kategori ini berisi catatan peristiwa kesehatan sumber daya yang telah terjadi pada sumber daya Azure Anda. Contoh jenis peristiwa yang akan Anda lihat dalam kategori ini adalah "Status kesehatan Mesin Virtual diubah menjadi tidak tersedia". Peristiwa kesehatan sumber daya dapat mewakili salah satu dari empat status kesehatan: Tersedia, Tidak Tersedia, Terdegradasi, dan Tidak Diketahui. Selain itu, peristiwa kesehatan sumber daya dapat dikategorikan sebagai Dimulai oleh Platform atau Dimulai oleh Pengguna.
Peristiwa kesehatan sumber daya dicatat dalam log aktivitas saat:
- Anotasi, misalnya "ResourceDegraded" atau "AccountClientThrottling", dikirimkan untuk sumber daya.
- Sumber daya yang ditransisikan ke atau dari Tidak Sehat.
- Sumber daya tidak sehat selama lebih dari 15 menit.
Transisi kesehatan sumber daya berikut ini tidak dicatat dalam log aktivitas:
- Transisi ke status Tidak Diketahui.
- Transisi dari status Tidak Diketahui jika:
- Ini adalah transisi pertama.
- Jika status sebelum Tidak Diketahui sama dengan status baru setelahnya. (Misalnya, jika sumber daya beralih dari Sehat ke Tidak Diketahui dan kembali ke Sehat).
- Untuk sumber daya komputasi: VM yang beralih dari Sehat ke Tidak Sehat, dan kembali ke Sehat, ketika waktu Tidak Sehat kurang dari 35 detik.
Contoh peristiwa
{
"channels": "Admin, Operation",
"correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Deskripsi properti
| Nama Elemen | Deskripsi |
|---|---|
| channels | Selalu "Admin, Operation" |
| correlationId | GUID dalam format string. |
| description | Deskripsi teks statis dari peristiwa pemberitahuan. |
| eventDataId | Pengidentifikasi unik peristiwa pemberitahuan. |
| category | Selalu "ResourceHealth" |
| eventTimestamp | Tanda waktu ketika peristiwa dihasilkan oleh layanan Azure yang memproses permintaan terkait peristiwa. |
| tingkat | Tingkat keparahan peristiwa. |
| operationId | GUID yang dibagikan di antara peristiwa yang sesuai dengan operasi tunggal. |
| operationName | Nama operasi. |
| resourceGroupName | Nama grup sumber daya yang berisi sumber daya. |
| resourceProviderName | Selalu "Microsoft.Resourcehealth/healthevent/action". |
| resourceType | Jenis sumber daya yang terpengaruh oleh peristiwa Resource Health. |
| resourceId | Nama ID sumber daya untuk sumber daya yang terkena dampak. |
| status | String yang menjelaskan status peristiwa kesehatan. Nilai dapat berisi: Aktif, Diselesaikan, InProgress, Diperbarui. |
| subStatus | Biasanya null untuk pemberitahuan. |
| submissionTimestamp | Tanda waktu saat peristiwa tersedia untuk kueri. |
| subscriptionId | ID Langganan Azure. |
| properti | Set pasangan <Key, Value> (yaitu Kamus) yang menjelaskan detail peristiwa. |
| properties.title | String yang mudah digunakan yang menjelaskan status kesehatan sumber daya. |
| properties.details | String yang mudah digunakan yang menjelaskan detail lebih lanjut tentang peristiwa tersebut. |
| properties.currentHealthStatus | Status kesehatan sumber daya saat ini. Salah satu nilai berikut: "Available", "Unavailable", "Degraded", dan "Unknown". |
| properties.previousHealthStatus | Status kesehatan sumber daya sebelumnya. Salah satu nilai berikut: "Available", "Unavailable", "Degraded", dan "Unknown". |
| properties.type | Deskripsi jenis peristiwa kesehatan sumber daya. |
| properties.cause | Deskripsi penyebab peristiwa kesehatan sumber daya. Antara "UserInitiated" dan "PlatformInitiated". |
Kategori pemberitahuan
Kategori ini berisi catatan semua aktivasi pemberitahuan Azure klasik. Contoh jenis peristiwa yang akan Anda lihat dalam kategori ini adalah "CPU % pada myVM lebih dari 80 selama 5 menit terakhir." Berbagai sistem Azure memiliki konsep pemberitahuan: Anda dapat menentukan aturan semacam itu dan menerima pemberitahuan saat kondisi cocok dengan aturan tersebut. Setiap kali suatu jenis pemberitahuan Azure yang didukung 'mengaktifkan', atau kondisi untuk menghasilkan pemberitahuan tercapai, catatan aktivasi juga dimasukkan ke dalam kategori log Aktivitas ini.
Contoh peristiwa
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Deskripsi properti
| Nama Elemen | Deskripsi |
|---|---|
| pemanggil | Selalu Microsoft.Insights/alertRules |
| channels | Selalu "Admin, Operation" |
| claims | Blob JSON dengan SPN (nama prinsipal layanan), atau jenis sumber daya, dari mesin pemberitahuan. |
| correlationId | GUID dalam format string. |
| description | Deskripsi teks statis dari peristiwa pemberitahuan. |
| eventDataId | Pengidentifikasi unik peristiwa pemberitahuan. |
| category | Selalu "Pemberitahuan" |
| tingkat | Tingkat keparahan peristiwa. |
| resourceGroupName | Nama grup sumber daya untuk sumber daya yang terkena dampak jika merupakan pemberitahuan metrik. Untuk jenis pemberitahuan lainnya, ini adalah nama grup sumber daya yang berisi pemberitahuan itu sendiri. |
| resourceProviderName | Nama penyedia sumber daya untuk sumber daya yang terkena dampak jika merupakan pemberitahuan metrik. Untuk jenis pemberitahuan lainnya, ini adalah nama penyedia sumber daya untuk pemberitahuan itu sendiri. |
| resourceId | Nama ID sumber daya untuk sumber daya yang terkena dampak jika merupakan pemberitahuan metrik. Untuk jenis pemberitahuan lainnya, ini adalah ID sumber daya sumber daya pemberitahuan itu sendiri. |
| operationId | GUID yang dibagikan di antara peristiwa yang sesuai dengan operasi tunggal. |
| operationName | Nama operasi. |
| properti | Set pasangan <Key, Value> (yaitu Kamus) yang menjelaskan detail peristiwa. |
| status | String yang menjelaskan status operasi. Beberapa nilai yang umum adalah: Memulai, Sedang Berlangsung, Berhasil, Gagal, Aktif, Diselesaikan. |
| subStatus | Biasanya null untuk pemberitahuan. |
| eventTimestamp | Tanda waktu ketika peristiwa dihasilkan oleh layanan Azure yang memproses permintaan terkait peristiwa. |
| submissionTimestamp | Tanda waktu saat peristiwa tersedia untuk kueri. |
| subscriptionId | ID Langganan Azure. |
Bidang properti per jenis pemberitahuan
Bidang properti akan berisi nilai yang berbeda, tergantung pada sumber peristiwa pemberitahuan. Dua penyedia peristiwa pemberitahuan umum adalah pemberitahuan Log Aktivitas dan pemberitahuan metrik.
Properti untuk pemberitahuan Log Aktivitas
| Nama Elemen | Deskripsi |
|---|---|
| properties.subscriptionId | ID langganan dari peristiwa log aktivitas yang menyebabkan aturan pemberitahuan log aktivitas ini diaktifkan. |
| properties.eventDataId | ID data peristiwa dari peristiwa log aktivitas yang menyebabkan aturan pemberitahuan log aktivitas ini diaktifkan. |
| properties.resourceGroup | Grup sumber daya dari peristiwa log aktivitas yang menyebabkan aturan pemberitahuan log aktivitas ini diaktifkan. |
| properties.resourceId | ID sumber daya dari peristiwa log aktivitas yang menyebabkan aturan pemberitahuan log aktivitas ini diaktifkan. |
| properties.eventTimestamp | Tanda waktu peristiwa peristiwa log aktivitas yang menyebabkan aturan pemberitahuan log aktivitas ini diaktifkan. |
| properties.operationName | Nama operasi dari peristiwa log aktivitas yang menyebabkan aturan pemberitahuan log aktivitas ini diaktifkan. |
| properties.status | Status dari peristiwa log aktivitas yang menyebabkan aturan pemberitahuan log aktivitas ini diaktifkan. |
Properti untuk pemberitahuan metrik
| Nama Elemen | Deskripsi |
|---|---|
| properties.RuleUri | ID sumber daya dari aturan pemberitahuan metrik itu sendiri. |
| properties.RuleName | Nama aturan pemberitahuan metrik. |
| properties.RuleDescription | Deskripsi aturan pemberitahuan metrik (sebagaimana didefinisikan dalam aturan pemberitahuan). |
| properties.Threshold | Nilai ambang batas yang digunakan dalam evaluasi aturan pemberitahuan metrik. |
| properties.WindowSizeInMinutes | Ukuran jendela yang digunakan dalam evaluasi aturan pemberitahuan metrik. |
| properties.Aggregation | Jenis agregasi yang ditentukan dalam aturan pemberitahuan metrik. |
| properties.Operator | Operator bersyarat yang digunakan dalam evaluasi aturan pemberitahuan metrik. |
| properties.MetricName | Nama metrik yang digunakan dalam evaluasi aturan pemberitahuan metrik. |
| properties.MetricUnit | Unit metrik untuk metrik yang digunakan dalam evaluasi aturan pemberitahuan metrik. |
Kategori penskalaan otomatis
Kategori ini berisi catatan semua peristiwa terkait operasi mesin penskalaan otomatis berdasarkan setiap pengaturan penskalaan otomatis yang Anda tentukan dalam langganan. Contoh jenis peristiwa yang akan Anda lihat dalam kategori ini adalah "Tindakan peningkatan skala otomatis gagal.". Dengan menggunakan skala otomatis, Anda dapat secara otomatis menskalakan atau menskalakan jumlah instans dalam jenis sumber daya yang didukung berdasarkan waktu hari dan/atau memuat (metrik) data menggunakan pengaturan skala otomatis. Ketika kondisi terpenuhi untuk meningkatkan atau menurunkan skala, peristiwa mulai dan berhasil atau gagal dicatat dalam kategori ini.
Contoh peristiwa
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Deskripsi properti
| Nama Elemen | Deskripsi |
|---|---|
| pemanggil | Selalu Microsoft.Insights/autoscaleSettings |
| channels | Selalu "Admin, Operation" |
| claims | Blob JSON dengan SPN (nama prinsipal layanan), atau jenis sumber daya, dari mesin penskalaan otomatis. |
| correlationId | GUID dalam format string. |
| description | Deskripsi teks statis dari peristiwa penskalaan otomatis. |
| eventDataId | Pengidentifikasi unik peristiwa penskalaan otomatis. |
| tingkat | Tingkat keparahan peristiwa. |
| resourceGroupName | Nama grup sumber daya untuk pengaturan penskalaan otomatis. |
| resourceProviderName | Nama penyedia sumber daya untuk pengaturan penskalaan otomatis. |
| resourceId | ID sumber daya dari pengaturan penskalaan otomatis. |
| operationId | GUID yang dibagikan di antara peristiwa yang sesuai dengan operasi tunggal. |
| operationName | Nama operasi. |
| properti | Set pasangan <Key, Value> (yaitu Kamus) yang menjelaskan detail peristiwa. |
| properties.Description | Deskripsi detail tentang apa yang dilakukan mesin penskalaan otomatis. |
| properties.ResourceName | ID sumber daya dari sumber daya yang terkena dampak (sumber daya tempat tindakan penskalaan dijalankan) |
| properties.OldInstancesCount | Jumlah instans sebelum tindakan penskalaan otomatis berlaku. |
| properties.NewInstancesCount | Jumlah instans setelah tindakan penskalaan otomatis berlaku. |
| properties.LastScaleActionTime | Tanda waktu terjadinya tindakan penskalaan otomatis. |
| status | String yang menjelaskan status operasi. Beberapa nilai yang umum adalah: Memulai, Sedang Berlangsung, Berhasil, Gagal, Aktif, Diselesaikan. |
| subStatus | Biasanya null untuk penskalaan otomatis. |
| eventTimestamp | Tanda waktu ketika peristiwa dihasilkan oleh layanan Azure yang memproses permintaan terkait peristiwa. |
| submissionTimestamp | Tanda waktu saat peristiwa tersedia untuk kueri. |
| subscriptionId | ID Langganan Azure. |
Kategori keamanan
Kategori ini berisi catatan semua peringatan yang dihasilkan oleh Pertahanan Microsoft untuk Cloud. Contoh jenis peristiwa yang Anda temukan dalam kategori ini adalah "File ekstensi ganda mencurigakan dijalankan."
Contoh peristiwa
{
"channels": "Operation",
"correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
"level": "Informational",
"operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Deskripsi properti
| Nama Elemen | Deskripsi |
|---|---|
| channels | Selalu "Operasi" |
| correlationId | GUID dalam format string. |
| description | Deskripsi teks statis dari peristiwa keamanan. |
| eventDataId | Pengidentifikasi unik dari peristiwa keamanan. |
| eventName | Nama yang ramah dari peristiwa keamanan. |
| category | Selalu "Keamanan" |
| ID | Pengidentifikasi sumber daya unik dari peristiwa keamanan. |
| tingkat | Tingkat keparahan peristiwa. |
| resourceGroupName | Nama grup sumber daya untuk sumber daya tersebut. |
| resourceProviderName | Nama penyedia sumber daya untuk Pertahanan Microsoft untuk Cloud. Selalu "Microsoft.Security". |
| resourceType | Jenis sumber daya yang menghasilkan peristiwa keamanan, seperti "Microsoft.Security/locations/alerts" |
| resourceId | ID sumber daya pemberitahuan keamanan. |
| operationId | GUID yang dibagikan di antara peristiwa yang sesuai dengan operasi tunggal. |
| operationName | Nama operasi. |
| properti | Set pasangan <Key, Value> (yaitu Kamus) yang menjelaskan detail peristiwa. Properti ini bervariasi tergantung pada jenis pemberitahuan keamanan. Lihat halaman ini untuk deskripsi jenis peringatan yang berasal dari Pertahanan Microsoft untuk Cloud. |
| properties.Severity | Tingkat keparahan. Kemungkinan nilai adalah "Tinggi," "Sedang," atau "Rendah." |
| status | String yang menjelaskan status operasi. Beberapa nilai yang umum adalah: Memulai, Sedang Berlangsung, Berhasil, Gagal, Aktif, Diselesaikan. |
| subStatus | Biasanya null untuk peristiwa keamanan. |
| eventTimestamp | Tanda waktu ketika peristiwa dihasilkan oleh layanan Azure yang memproses permintaan terkait peristiwa. |
| submissionTimestamp | Tanda waktu saat peristiwa tersedia untuk kueri. |
| subscriptionId | ID Langganan Azure. |
Kategori rekomendasi
Kategori ini berisi catatan semua rekomendasi baru yang dihasilkan untuk layanan Anda. Contoh rekomendasi adalah "Gunakan set ketersediaan untuk meningkatkan toleransi kesalahan." Ada empat jenis peristiwa Rekomendasi yang dapat dihasilkan: High Availability, Performa, Keamanan, dan Optimalisasi Biaya.
Contoh peristiwa
{
"channels": "Operation",
"correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
"description": "The action was successful.",
"eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Deskripsi properti
| Nama Elemen | Deskripsi |
|---|---|
| channels | Selalu "Operasi" |
| correlationId | GUID dalam format string. |
| description | Deskripsi teks statis dari peristiwa rekomendasi |
| eventDataId | Pengidentifikasi unik peristiwa rekomendasi. |
| category | Selalu "Rekomendasi" |
| ID | Pengidentifikasi sumber daya unik dari peristiwa rekomendasi. |
| tingkat | Tingkat keparahan peristiwa. |
| operationName | Nama operasi. Selalu "Microsoft.Advisor/generateRecommendations/action" |
| resourceGroupName | Nama grup sumber daya untuk sumber daya tersebut. |
| resourceProviderName | Nama penyedia sumber daya untuk sumber daya tempat penerapan rekomendasi ini, seperti "MICROSOFT.COMPUTE" |
| resourceType | Nama jenis sumber daya untuk sumber daya tempat penerapan rekomendasi ini, seperti "MICROSOFT.COMPUTE/virtualmachines" |
| resourceId | ID sumber daya dari sumber daya tempat penerapan rekomendasi |
| status | Selalu "Aktif" |
| submissionTimestamp | Tanda waktu saat peristiwa tersedia untuk kueri. |
| subscriptionId | ID Langganan Azure. |
| properti | Set pasangan <Key, Value> (yaitu Kamus) yang menjelaskan detail rekomendasi. |
| properties.recommendationSchemaVersion | Versi skema dari properti rekomendasi yang diterbitkan dalam entri Log Aktivitas |
| properties.recommendationCategory | Kategori rekomendasi. Kemungkinan nilai adalah "Ketersediaan Tinggi", "Kinerja", "Keamanan", dan "Biaya" |
| properties.recommendationImpact | Dampak rekomendasi tersebut. Kemungkinan nilai adalah "Tinggi", "Sedang", "Rendah" |
| properties.recommendationRisk | Risiko rekomendasi. Kemungkinan nilai adalah "Kesalahan", "Peringatan", "Tidak Ada" |
Kategori kebijakan
Kategori ini berisi catatan semua operasi tindakan efek yang dijalankan oleh Azure Policy. Contoh jenis peristiwa yang Anda temukan dalam kategori ini termasuk Audit dan Tolak. Setiap tindakan yang diambil oleh Policy dimodelkan sebagai operasi pada sumber daya.
Contoh peristiwa Kebijakan
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"description": "",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
Deskripsi properti peristiwa Kebijakan
| Nama Elemen | Deskripsi |
|---|---|
| authorization | Array properti RBAC Azure peristiwa tersebut. Untuk sumber daya baru, array properti ini adalah tindakan dan cakupan permintaan yang memicu evaluasi. Untuk sumber daya yang ada, tindakannya adalah "Microsoft.Resources/checkPolicyCompliance/read". |
| pemanggil | Untuk sumber daya baru, identitas yang memulai penyebaran. Untuk sumber daya yang ada, GUID dari Microsoft Azure Policy Insights RP. |
| channels | Aktivitas Kebijakan hanya menggunakan saluran "Operasi". |
| claims | Token JWT yang digunakan oleh Active Directory untuk mengautentikasi pengguna atau aplikasi untuk melakukan operasi ini di Resource Manager. |
| correlationId | Biasanya, GUID dalam format string. Peristiwa yang berbagi correlationId termasuk dalam tindakan uber yang sama. |
| description | Bidang ini kosong untuk peristiwa Kebijakan. |
| eventDataId | Pengidentifikasi unik suatu peristiwa. |
| eventName | Antara "BeginRequest" atau "EndRequest". "BeginRequest" digunakan untuk auditIfNotExists tertunda dan evaluasi deployIfNotExists dan ketika efek deployIfNotExists memulai penyebaran templat. Semua operasi lainnya menampilkan "EndRequest". |
| category | Mendeklarasikan peristiwa log aktivitas sebagai milik "Kebijakan". |
| eventTimestamp | Tanda waktu ketika peristiwa dihasilkan oleh layanan Azure yang memproses permintaan terkait peristiwa. |
| ID | Pengidentifikasi unik peristiwa pada sumber daya tertentu. |
| tingkat | Tingkat keparahan peristiwa. Audit menggunakan "Peringatan" dan Tolak menggunakan "Kesalahan". Kesalahan AuditIfNotExists atau deployIfNotExists dapat menghasilkan "Peringatan" atau "Kesalahan", tergantung pada tingkat keparahan. Semua peristiwa Kebijakan lainnya menggunakan "Informasi". |
| operationId | GUID yang dibagikan di antara peristiwa yang sesuai dengan operasi tunggal. |
| operationName | Nama operasi dan secara langsung berkorelasi dengan efek Kebijakan. |
| resourceGroupName | Nama grup sumber daya untuk sumber daya yang dievaluasi. |
| resourceProviderName | Nama penyedia sumber daya untuk sumber daya yang dievaluasi. |
| resourceType | Untuk sumber daya baru, ini adalah jenis yang sedang dievaluasi. Untuk sumber daya yang ada, menampilkan "Microsoft.Resources/checkPolicyCompliance". |
| resourceId | ID sumber daya dari sumber daya yang dievaluasi. |
| status | String yang menjelaskan status hasil evaluasi Kebijakan. Sebagian besar evaluasi Kebijakan menampilkan "Berhasil", tetapi efek Tolak menampilkan "Gagal". Kesalahan dalam auditIfNotExists atau deployIfNotExists juga menampilkan "Gagal". |
| subStatus | Bidang kosong untuk peristiwa Kebijakan. |
| submissionTimestamp | Tanda waktu saat peristiwa tersedia untuk kueri. |
| subscriptionId | ID Langganan Azure. |
| properties.isComplianceCheck | Menampilkan "False" ketika sumber daya baru disebarkan atau properti Resource Manager dari sumber daya yang ada diperbarui. Semua pemicu evaluasi lainnya menghasilkan "True". |
| properties.resourceLocation | Wilayah Azure dari sumber daya sedang dievaluasi. |
| properties.ancestors | Daftar grup manajemen induk yang dipisahkan koma yang dipesan dari induk langsung ke leluhur terjauh. |
| properties.policies | Mencakup detail tentang definisi kebijakan, penugasan, efek, dan parameter yang menghasilkan evaluasi Kebijakan ini. |
| relatedEvents | Bidang ini kosong untuk peristiwa Kebijakan. |
Skema dari akun penyimpanan dan hub peristiwa
Saat mengalirkan log Azure Activity ke akun penyimpanan atau hub peristiwa, data mengikuti skema log sumber daya. Tabel di bawah ini menyediakan pemetaan properti dari skema di atas ke skema log sumber daya.
Penting
Format data log Aktivitas yang ditulis ke akun penyimpanan diubah menjadi JSON Lines pada 1 November 2018. Lihat Mempersiapkan perubahan format ke log sumber daya Azure Monitor yang diarsipkan ke akun penyimpanan untuk detail tentang perubahan format ini.
| Properti skema log sumber daya | Properti skema Log Aktivitas REST API | Catatan |
|---|---|---|
| waktu | eventTimestamp | |
| resourceId | resourceId | subscriptionId, resourceType, resourceGroupName semuanya disimpulkan dari resourceId. |
| operationName | operationName.value | |
| category | Bagian dari nama operasi | Breakout jenis operasi. "Tulis", "Hapus", atau "Tindakan". |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | description | |
| durationMs | T/A | Selalu 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| identitas | properti klaim dan otorisasi | |
| Tingkat | Tingkat | |
| lokasi | T/A | Lokasi tempat peristiwa diproses. Ini bukan lokasi sumber daya, melainkan di mana peristiwa diproses. Properti ini akan dihapus dalam pembaruan mendatang. |
| Properti | properties.eventProperties | |
| properties.eventCategory | category | Jika properties.eventCategory tidak ada, kategorinya adalah "Administratif" |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | properti |
Berikut adalah contoh peristiwa yang menggunakan skema ini:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}