Schema degli eventi del log attività di AzureAzure Activity Log event schema

Il log attività di Azure fornisce informazioni approfondite sugli eventi a livello di sottoscrizione che si sono verificati in Azure.The Azure Activity Log is a log that provides insight into any subscription-level events that have occurred in Azure. Questo articolo descrive lo schema degli eventi per ogni categoria di dati.This article describes the event schema per category of data.

AmministrativoAdministrative

Questa categoria contiene il record di tutte le operazioni di creazione, aggiornamento, eliminazione e azione eseguite tramite Resource Manager.This category contains the record of all create, update, delete, and action operations performed through Resource Manager. Tra gli esempi dei tipi di eventi visualizzati in questa categoria sono inclusi "create virtual machine" e "delete network security group". Ogni azione eseguita da un utente o da un'applicazione usando Resource Manager viene modellata come operazione in un determinato tipo di risorsa.Examples of the types of events you would see in this category include "create virtual machine" and "delete network security group" Every action taken by a user or application using Resource Manager is modeled as an operation on a particular resource type. Se l'operazione è di tipo scrittura, eliminazione o azione, i record di avvio e riuscita o di non riuscita di tale operazione vengono registrati nella categoria amministrativa.If the operation type is Write, Delete, or Action, the records of both the start and success or fail of that operation are recorded in the Administrative category. La categoria amministrativa include anche eventuali modifiche al controllo degli accessi in base al ruolo in una sottoscrizione.The Administrative category also includes any changes to role-based access control in a subscription.

Evento di esempioSample event

{
  "authorization": {
    "action": "microsoft.support/supporttickets/write",
    "role": "Subscription Admin",
    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841"
  },
  "caller": "admin@contoso.com",
  "channels": "Operation",
  "claims": {
    "aud": "https://management.core.windows.net/",
    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
    "iat": "1421876371",
    "nbf": "1421876371",
    "exp": "1421880271",
    "ver": "1.0",
    "http://schemas.microsoft.com/identity/claims/tenantid": "1e8d8218-c5e7-4578-9acc-9abbd5d23315 ",
    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
    "puid": "20030000801A118C",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
    "name": "John Smith",
    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
    "appidacr": "2",
    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
    "http://schemas.microsoft.com/claims/authnclassreference": "1"
  },
  "correlationId": "1e121103-0ba6-4300-ac9d-952bb5d0c80f",
  "description": "",
  "eventDataId": "44ade6b4-3813-45e6-ae27-7420a95fa2f8",
  "eventName": {
    "value": "EndRequest",
    "localizedValue": "End request"
  },
  "httpRequest": {
    "clientRequestId": "27003b25-91d3-418f-8eb1-29e537dcb249",
    "clientIpAddress": "192.168.35.115",
    "method": "PUT"
  },
  "id": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841/events/44ade6b4-3813-45e6-ae27-7420a95fa2f8/ticks/635574752669792776",
  "level": "Informational",
  "resourceGroupName": "MSSupportGroup",
  "resourceProviderName": {
    "value": "microsoft.support",
    "localizedValue": "microsoft.support"
  },
  "resourceUri": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
  "operationId": "1e121103-0ba6-4300-ac9d-952bb5d0c80f",
  "operationName": {
    "value": "microsoft.support/supporttickets/write",
    "localizedValue": "microsoft.support/supporttickets/write"
  },
  "properties": {
    "statusCode": "Created"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": "Created",
    "localizedValue": "Created (HTTP Status Code: 201)"
  },
  "eventTimestamp": "2015-01-21T22:14:26.9792776Z",
  "submissionTimestamp": "2015-01-21T22:14:39.9936304Z",
  "subscriptionId": "s1"
}

Descrizioni delle proprietàProperty descriptions

Nome dell'elementoElement Name DescriptionDescription
autorizzazioneauthorization BLOB delle proprietà RBAC dell'evento.Blob of RBAC properties of the event. In genere include le proprietà "action", "role" e "scope".Usually includes the “action”, “role” and “scope” properties.
callercaller Indirizzo di posta elettronica dell'utente che ha eseguito l'operazione, attestazione UPN o attestazione SPN, a seconda della disponibilità.Email address of the user who has performed the operation, UPN claim, or SPN claim based on availability.
channelschannels Uno dei valori seguenti: "Admin" o "Operation".One of the following values: “Admin”, “Operation”
claimsclaims Token JWT usato da Active Directory per autenticare l'utente o l'applicazione per eseguire questa operazione in Resource Manager.The JWT token used by Active Directory to authenticate the user or application to perform this operation in resource manager.
correlationIdcorrelationId In genere un GUID in formato stringa.Usually a GUID in the string format. Gli eventi che condividono un elemento correlationId appartengono alla stessa azione.Events that share a correlationId belong to the same uber action.
Descriptiondescription Testo statico che descrive un evento.Static text description of an event.
eventDataIdeventDataId Identificatore univoco di un evento.Unique identifier of an event.
httpRequesthttpRequest BLOB che descrive la richiesta HTTP.Blob describing the Http Request. In genere include "clientRequestId", "clientIpAddress" e "method" (metodo HTTP,Usually includes the “clientRequestId”, “clientIpAddress” and “method” (HTTP method. ad esempio PUT).For example, PUT).
necessariolevel Livello dell'evento.Level of the event. Uno dei valori seguenti: "Critical", "Error", "Warning", "Informational" e "Verbose"One of the following values: “Critical”, “Error”, “Warning”, “Informational” and “Verbose”
resourceGroupNameresourceGroupName Nome del gruppo di risorse della risorsa interessata.Name of the resource group for the impacted resource.
resourceProviderNameresourceProviderName Nome del provider di risorse della risorsa interessata.Name of the resource provider for the impacted resource
resourceIdresourceId ID risorsa della risorsa interessata.Resource id of the impacted resource.
operationIdoperationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.A GUID shared among the events that correspond to a single operation.
operationNameoperationName Nome dell'operazione.Name of the operation.
propertiesproperties Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento.Set of <Key, Value> pairs (that is, a Dictionary) describing the details of the event.
statusstatus Stringa che descrive lo stato dell'operazione.String describing the status of the operation. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved.Some common values are: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatussubStatus In genere si tratta del codice di stato HTTP della chiamata REST corrispondente, ma può includere altre stringhe che descrivono uno stato secondario, come i valori comuni seguenti: OK (codice di stato HTTP: 200), Created (codice di stato HTTP: 201), Accepted (codice di stato HTTP: 202), No Content (codice di stato HTTP: 204), Bad Request (codice di stato HTTP: 400), Not Found (codice di stato HTTP: 404), Conflict (codice di stato HTTP: 409), Internal Server Error (codice di stato HTTP: 500), Service Unavailable (codice di stato HTTP: 503), Gateway Timeout (codice di stato HTTP: 504).Usually the HTTP status code of the corresponding REST call, but can also include other strings describing a substatus, such as these common values: OK (HTTP Status Code: 200), Created (HTTP Status Code: 201), Accepted (HTTP Status Code: 202), No Content (HTTP Status Code: 204), Bad Request (HTTP Status Code: 400), Not Found (HTTP Status Code: 404), Conflict (HTTP Status Code: 409), Internal Server Error (HTTP Status Code: 500), Service Unavailable (HTTP Status Code: 503), Gateway Timeout (HTTP Status Code: 504).
eventTimestampeventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.Timestamp when the event was generated by the Azure service processing the request corresponding the event.
submissionTimestampsubmissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.Timestamp when the event became available for querying.
subscriptionIdsubscriptionId ID sottoscrizione di Azure.Azure Subscription Id.

Integrità del servizioService health

Questa categoria contiene il record degli eventi imprevisti di integrità del servizio che si sono verificati in Azure.This category contains the record of any service health incidents that have occurred in Azure. Un esempio del tipo di evento visualizzato in questa categoria è "SQL Azure in East US is experiencing downtime".An example of the type of event you would see in this category is "SQL Azure in East US is experiencing downtime." Gli eventi di integrità del servizio sono di sei tipi: Action Required, Assisted Recovery, Incident, Maintenance, Information o Security, che vengono visualizzati solo se una risorsa della sottoscrizione è interessata dall'evento.Service health events come in five varieties: Action Required, Assisted Recovery, Incident, Maintenance, Information, or Security, and only appear if you have a resource in the subscription that would be impacted by the event.

Evento di esempioSample event

{
  "channels": "Admin",
  "correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/mySubscriptionID/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/mySubscriptionID",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "mySubscriptionID",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

Descrizioni delle proprietàProperty descriptions

Nome dell'elementoElement Name DescrizioneDescription
channelschannels Uno dei valori seguenti: "Admin" o "Operation"Is one of the following values: “Admin”, “Operation”
correlationIdcorrelationId In genere un GUID in formato stringa.Is usually a GUID in the string format. Gli eventi che appartengono alla stessa azione in genere condividono lo stesso correlationId.Events with that belong to the same uber action usually share the same correlationId.
Descrizionedescription Descrizione dell'evento.Description of the event.
eventDataIdeventDataId Identificatore univoco di un evento.The unique identifier of an event.
eventNameeventName Titolo dell'evento.The title of the event.
necessariolevel Livello dell'evento.Level of the event. Uno dei valori seguenti: "Critical", "Error", "Warning", "Informational" e "Verbose"One of the following values: “Critical”, “Error”, “Warning”, “Informational” and “Verbose”
resourceProviderNameresourceProviderName Nome del provider di risorse della risorsa interessata.Name of the resource provider for the impacted resource. Se non è noto, sarà null.If not known, this will be null.
resourceTyperesourceType Tipo della risorsa interessata.The type of resource of the impacted resource. Se non è noto, sarà null.If not known, this will be null.
subStatussubStatus In genere, null per gli eventi di integrità del servizio.Usually null for Service Health events.
eventTimestampeventTimestamp Timestamp indicante quando l'evento del log è stato generato e inviato al log attività.Timestamp when the log event was generated and submitted to the Activity Log.
submissionTimestampsubmissionTimestamp Timestamp indicante quando l'evento è diventato disponibile nel log attività.Timestamp when the event became available in the Activity Log.
subscriptionIdsubscriptionId Sottoscrizione di Azure in cui è stato registrato l'evento.The Azure subscription in which this event was logged.
statusstatus Stringa che descrive lo stato dell'operazione.String describing the status of the operation. Alcuni valori comuni sono: Active, Resolved.Some common values are: Active, Resolved.
operationNameoperationName Nome dell'operazione.Name of the operation. In genere, Microsoft.ServiceHealth/incident/action.Usually Microsoft.ServiceHealth/incident/action.
categorycategory "ServiceHealth""ServiceHealth"
resourceIdresourceId ID risorsa della risorsa interessata, se noto.Resource id of the impacted resource, if known. L'ID sottoscrizione viene fornito diversamente.Subscription ID is provided otherwise.
Properties.titleProperties.title Titolo della comunicazione localizzato.The localized title for this communication. L'inglese è la lingua predefinita.English is the default language.
Properties.communicationProperties.communication Dettagli localizzati della comunicazione con markup HTML.The localized details of the communication with HTML markup. L'inglese è la lingua predefinita.English is the default.
Properties.incidentTypeProperties.incidentType Valori possibili: AssistedRecovery, ActionRequired, Information, Incident, Maintenance, SecurityPossible values: AssistedRecovery, ActionRequired, Information, Incident, Maintenance, Security
Properties.trackingIdProperties.trackingId Identifica l'evento imprevisto a cui è associato l'evento.Identifies the incident this event is associated with. Usare questa proprietà per correlare gli eventi relativi a un evento imprevisto.Use this to correlate the events related to an incident.
Properties.impactedServicesProperties.impactedServices BLOB JSON preceduto da un carattere di escape che descrive i servizi e le aree su cui ha effetto l'evento imprevisto.An escaped JSON blob which describes the services and regions that are impacted by the incident. Un elenco di servizi, ognuno dei quali ha un nome di servizio e un elenco delle aree interessate, ognuna con un nome di area.A list of Services, each of which has a ServiceName and a list of ImpactedRegions, each of which has a RegionName.
Properties.defaultLanguageTitleProperties.defaultLanguageTitle La comunicazione in ingleseThe communication in English
Properties.defaultLanguageContentProperties.defaultLanguageContent La comunicazione in inglese con markup HTML o come testo normaleThe communication in English as either html markup or plain text
Properties.stageProperties.stage I valori possibili di AssistedRecovery, ActionRequired, Information, Incident, Security sono Active e Resolved.Possible values for AssistedRecovery, ActionRequired, Information, Incident, Security: are Active, Resolved. Per la manutenzione i valori possibili sono: Active, Planned, InProgress, Canceled, Rescheduled, Resolved, CompleteFor Maintenance they are: Active, Planned, InProgress, Canceled, Rescheduled, Resolved, Complete
Properties.communicationIdProperties.communicationId La comunicazione a cui è associato l'evento.The communication this event is associated.

AvvisoAlert

Questa categoria contiene il record di tutte le attivazioni degli avvisi di Azure.This category contains the record of all activations of Azure alerts. Un esempio del tipo di evento visualizzato in questa categoria è "CPU % on myVM has been over 80 for the past 5 minutes".An example of the type of event you would see in this category is "CPU % on myVM has been over 80 for the past 5 minutes." In diversi sistemi Azure il concetto di avviso prevede la possibilità di definire una regola di qualche tipo e di ricevere una notifica quando le condizioni corrispondono a tale regola.A variety of Azure systems have an alerting concept -- you can define a rule of some sort and receive a notification when conditions match that rule. Ogni volta che un tipo di avviso di Azure supportato viene "attivato" o vengono soddisfatte le condizioni per generare una notifica, viene anche eseguito il push di un record dell'attivazione in questa categoria del log attività.Each time a supported Azure alert type 'activates,' or the conditions are met to generate a notification, a record of the activation is also pushed to this category of the Activity Log.

Evento di esempioSample event

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "mySubscriptionID"
}

Descrizioni delle proprietàProperty descriptions

Nome dell'elementoElement Name DescrizioneDescription
callercaller Sempre Microsoft.Insights/alertRulesAlways Microsoft.Insights/alertRules
channelschannels Sempre "Admin, Operation"Always “Admin, Operation”
claimsclaims BLOB JSON con il nome dell'entità servizio (SPN) o il tipo di risorsa del motore degli avvisi.JSON blob with the SPN (service principal name), or resource type, of the alert engine.
correlationIdcorrelationId GUID in formato stringa.A GUID in the string format.
Descrizionedescription Testo statico che descrive l'evento dell'avviso.Static text description of the alert event.
eventDataIdeventDataId Identificatore univoco dell'evento dell'avviso.Unique identifier of the alert event.
necessariolevel Livello dell'evento.Level of the event. Uno dei valori seguenti: "Critical", "Error", "Warning", "Informational" e "Verbose"One of the following values: “Critical”, “Error”, “Warning”, “Informational” and “Verbose”
resourceGroupNameresourceGroupName Nome del gruppo di risorse della risorsa interessata, se si tratta di un avviso per la metrica.Name of the resource group for the impacted resource if it is a metric alert. Per gli altri tipi di avvisi, è il nome del gruppo di risorse contenente l'avviso stesso.For other alert types, this is the name of the resource group that contains the alert itself.
resourceProviderNameresourceProviderName Nome del provider di risorse della risorsa interessata, se si tratta di un avviso per la metrica.Name of the resource provider for the impacted resource if it is a metric alert. Per gli altri tipi di avvisi, è il nome del provider di risorse per l'avviso stesso.For other alert types, this is the name of the resource provider for the alert itself.
resourceIdresourceId ID della risorsa interessata, se si tratta di un avviso per la metrica.Name of the resource ID for the impacted resource if it is a metric alert. Per gli altri tipi di avvisi, è l'ID della risorsa dell'avviso stessa.For other alert types, this is the resource ID of the alert resource itself.
operationIdoperationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.A GUID shared among the events that correspond to a single operation.
operationNameoperationName Nome dell'operazione.Name of the operation.
propertiesproperties Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento.Set of <Key, Value> pairs (that is, a Dictionary) describing the details of the event.
statusstatus Stringa che descrive lo stato dell'operazione.String describing the status of the operation. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved.Some common values are: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatussubStatus In genere null per gli avvisi.Usually null for alerts.
eventTimestampeventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.Timestamp when the event was generated by the Azure service processing the request corresponding the event.
submissionTimestampsubmissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.Timestamp when the event became available for querying.
subscriptionIdsubscriptionId ID sottoscrizione di Azure.Azure Subscription Id.

Campo delle proprietà per ogni tipo di avvisoProperties field per alert type

Il campo delle proprietà conterrà valori diversi a seconda dell'origine dell'evento dell'avviso.The properties field will contain different values depending on the source of the alert event. Due comuni provider di eventi di avviso sono gli avvisi e gli avvisi delle metriche del log attività.Two common alert event providers are Activity Log alerts and metric alerts.

Proprietà degli avvisi del log attivitàProperties for Activity Log alerts

Nome dell'elementoElement Name DescrizioneDescription
properties.subscriptionIdproperties.subscriptionId ID della sottoscrizione dall'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.The subscription ID from the activity log event which caused this activity log alert rule to be activated.
properties.eventDataIdproperties.eventDataId ID dei dati dell'evento dall'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.The event data ID from the activity log event which caused this activity log alert rule to be activated.
properties.resourceGroupproperties.resourceGroup Gruppo di risorse dall'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.The resource group from the activity log event which caused this activity log alert rule to be activated.
properties.resourceIdproperties.resourceId ID della risorsa dall'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.The resource ID from the activity log event which caused this activity log alert rule to be activated.
properties.eventTimestampproperties.eventTimestamp Timestamp dell'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.The event timestamp of the activity log event which caused this activity log alert rule to be activated.
properties.operationNameproperties.operationName Nome dell'operazione dall'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.The operation name from the activity log event which caused this activity log alert rule to be activated.
properties.statusproperties.status Stato dall'evento del log attività che ha causato l'attivazione di questa regola di avviso del log attività.The status from the activity log event which caused this activity log alert rule to be activated.

Proprietà degli avvisi delle metricheProperties for metric alerts

Nome dell'elementoElement Name DescrizioneDescription
properties.RuleUriproperties.RuleUri ID risorsa della regola di avviso per la metrica.Resource ID of the metric alert rule itself.
properties.RuleNameproperties.RuleName Nome della regola di avviso per la metrica.The name of the metric alert rule.
properties.RuleDescriptionproperties.RuleDescription Descrizione della regola di avviso per la metrica (definita nella regola di avviso).The description of the metric alert rule (as defined in the alert rule).
properties.Thresholdproperties.Threshold Valore della soglia usato nella valutazione della regola di avviso per la metrica.The threshold value used in the evaluation of the metric alert rule.
properties.WindowSizeInMinutesproperties.WindowSizeInMinutes Dimensioni della finestra usate nella valutazione della regola di avviso per la metrica.The window size used in the evaluation of the metric alert rule.
properties.Aggregationproperties.Aggregation Tipo di aggregazione definito nella regola di avviso per la metrica.The aggregation type defined in the metric alert rule.
properties.Operatorproperties.Operator Operatore condizionale usato nella valutazione della regola di avviso per la metrica.The conditional operator used in the evaluation of the metric alert rule.
properties.MetricNameproperties.MetricName Nome della metrica usato nella valutazione della regola di avviso per la metrica.The metric name of the metric used in the evaluation of the metric alert rule.
properties.MetricUnitproperties.MetricUnit Unità della metrica usata nella valutazione della regola di avviso per la metrica.The metric unit for the metric used in the evaluation of the metric alert rule.

AutoscaleAutoscale

Questa categoria contiene il record degli eventi correlati all'operazione del motore di ridimensionamento automatico in base alle impostazioni di scalabilità automatica definite nella sottoscrizione.This category contains the record of any events related to the operation of the autoscale engine based on any autoscale settings you have defined in your subscription. Un esempio del tipo di evento visualizzato in questa categoria è "Autoscale scale up action failed".An example of the type of event you would see in this category is "Autoscale scale up action failed." Con il ridimensionamento automatico è possibile aumentare o ridurre automaticamente il numero di istanze in un tipo di risorsa supportato in base all'ora del giorno e/o ai dati di caricamento (metrica) usando un'impostazione di ridimensionamento automatico.Using autoscale, you can automatically scale out or scale in the number of instances in a supported resource type based on time of day and/or load (metric) data using an autoscale setting. Quando vengono soddisfatte le condizioni per aumentare o ridurre le prestazioni, gli eventi di avvio riusciti o quelli non riusciti verranno registrati in questa categoria.When the conditions are met to scale up or down, the start and succeeded or failed events will be recorded in this category.

Evento di esempioSample event

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/mySubscriptionID/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "mySubscriptionID"
}

Descrizioni delle proprietàProperty descriptions

Nome dell'elementoElement Name DescrizioneDescription
callercaller Sempre Microsoft.Insights/autoscaleSettingsAlways Microsoft.Insights/autoscaleSettings
channelschannels Sempre "Admin, Operation"Always “Admin, Operation”
claimsclaims BLOB JSON con il nome dell'entità servizio (SPN) o il tipo di risorsa del motore di ridimensionamento automatico.JSON blob with the SPN (service principal name), or resource type, of the autoscale engine.
correlationIdcorrelationId GUID in formato stringa.A GUID in the string format.
Descrizionedescription Testo statico che descrive l'evento di ridimensionamento automatico.Static text description of the autoscale event.
eventDataIdeventDataId Identificatore univoco dell'evento di ridimensionamento automatico.Unique identifier of the autoscale event.
necessariolevel Livello dell'evento.Level of the event. Uno dei valori seguenti: "Critical", "Error", "Warning", "Informational" e "Verbose"One of the following values: “Critical”, “Error”, “Warning”, “Informational” and “Verbose”
resourceGroupNameresourceGroupName Nome del gruppo di risorse dell'impostazione di ridimensionamento automatico.Name of the resource group for the autoscale setting.
resourceProviderNameresourceProviderName Nome del provider di risorse dell'impostazione di ridimensionamento automatico.Name of the resource provider for the autoscale setting.
resourceIdresourceId ID risorsa dell'impostazione di scalabilità automatica.Resource id of the autoscale setting.
operationIdoperationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.A GUID shared among the events that correspond to a single operation.
operationNameoperationName Nome dell'operazione.Name of the operation.
propertiesproperties Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento.Set of <Key, Value> pairs (that is, a Dictionary) describing the details of the event.
properties.Descriptionproperties.Description Descrizione dettagliata delle operazioni eseguite dal motore di ridimensionamento automatico.Detailed description of what the autoscale engine was doing.
properties.ResourceNameproperties.ResourceName ID della risorsa interessata (risorsa in cui è in corso l'azione di ridimensionamento)Resource ID of the impacted resource (the resource on which the scale action was being performed)
properties.OldInstancesCountproperties.OldInstancesCount Numero di istanze prima che venisse eseguita l'azione di ridimensionamento automatico.The number of instances before the autoscale action took effect.
properties.NewInstancesCountproperties.NewInstancesCount Numero di istanze dopo che è stata eseguita l'azione di ridimensionamento automatico.The number of instances after the autoscale action took effect.
properties.LastScaleActionTimeproperties.LastScaleActionTime Timestamp indicante quando si è verificata l'azione di ridimensionamento automatico.The timestamp of when the autoscale action occurred.
statusstatus Stringa che descrive lo stato dell'operazione.String describing the status of the operation. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved.Some common values are: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatussubStatus In genere null per il ridimensionamento automatico.Usually null for autoscale.
eventTimestampeventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.Timestamp when the event was generated by the Azure service processing the request corresponding the event.
submissionTimestampsubmissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.Timestamp when the event became available for querying.
subscriptionIdsubscriptionId ID sottoscrizione di Azure.Azure Subscription Id.

SicurezzaSecurity

Questa categoria contiene il record degli avvisi generati dal Centro sicurezza di Azure.This category contains the record any alerts generated by Azure Security Center. Un esempio del tipo di evento visualizzato in questa categoria è "Suspicious double extension file executed".An example of the type of event you would see in this category is "Suspicious double extension file executed."

Evento di esempioSample event

{
    "channels": "Operation",
    "correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/d4742bb8-c279-4903-9653-9858b17d0c2e/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/d4742bb8-c279-4903-9653-9858b17d0c2e/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "d4742bb8-c279-4903-9653-9858b17d0c2e",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

Descrizioni delle proprietàProperty descriptions

Nome dell'elementoElement Name DescrizioneDescription
channelschannels Sempre "Operation"Always “Operation”
correlationIdcorrelationId GUID in formato stringa.A GUID in the string format.
descriptiondescription Testo statico che descrive l'evento di sicurezza.Static text description of the security event.
eventDataIdeventDataId Identificatore univoco dell'evento di sicurezza.Unique identifier of the security event.
eventNameeventName Nome descrittivo dell'evento di sicurezza.Friendly name of the security event.
idid Identificatore di risorsa univoco dell'evento di sicurezza.Unique resource identifier of the security event.
levellevel Livello dell'evento.Level of the event. Uno dei valori seguenti: "Critical", "Error", "Warning", "Informational" e "Verbose"One of the following values: “Critical”, “Error”, “Warning”, “Informational” or “Verbose”
resourceGroupNameresourceGroupName Nome del gruppo di risorse della risorsa.Name of the resource group for the resource.
resourceProviderNameresourceProviderName Nome del provider di risorse per il Centro sicurezza di Azure.Name of the resource provider for Azure Security Center. Sempre "Microsoft.Security".Always "Microsoft.Security".
resourceTyperesourceType Il tipo di risorsa che ha generato l'evento di sicurezza, ad esempio "Microsoft.Security/locations/alerts"The type of resource that generated the security event, such as "Microsoft.Security/locations/alerts"
resourceIdresourceId Id risorsa dell'avviso di sicurezza.Resource id of the security alert.
operationIdoperationId GUID condiviso tra gli eventi che corrispondono a una singola operazione.A GUID shared among the events that correspond to a single operation.
operationNameoperationName Nome dell'operazione.Name of the operation.
propertiesproperties Set di coppie <Key, Value>, ovvero un dizionario, che descrive i dettagli dell'evento.Set of <Key, Value> pairs (that is, a Dictionary) describing the details of the event. Queste proprietà variano a seconda del tipo di avviso di sicurezza.These properties will vary depending on the type of security alert. Vedere questa pagina per una descrizione dei tipi di avvisi provenienti da Centro sicurezza.See this page for a description of the types of alerts that come from Security Center.
properties.Severityproperties.Severity Il livello di gravità.The severity level. I valori possibili sono "High", "Medium" o "Low".Possible values are "High," "Medium," or "Low."
statusstatus Stringa che descrive lo stato dell'operazione.String describing the status of the operation. Alcuni dei valori comuni sono: Started, In Progress, Succeeded, Failed, Active, Resolved.Some common values are: Started, In Progress, Succeeded, Failed, Active, Resolved.
subStatussubStatus In genere il valore Null per gli eventi di sicurezza.Usually null for security events.
eventTimestampeventTimestamp Timestamp del momento in cui l'evento è stato generato dal servizio di Azure che ha elaborato la richiesta corrispondente all'evento.Timestamp when the event was generated by the Azure service processing the request corresponding the event.
submissionTimestampsubmissionTimestamp Timestamp del momento in cui l'evento è diventato disponibile per l'esecuzione di query.Timestamp when the event became available for querying.
subscriptionIdsubscriptionId ID sottoscrizione di Azure.Azure Subscription Id.

Passaggi successiviNext steps