Azure Etkinlik Günlüğü olay şeması
Azure Etkinlik günlüğü, Azure'da gerçekleşen abonelik düzeyindeki olaylar hakkında içgörü sağlar. Bu makalede Etkinlik günlüğü kategorileri ve her birinin şeması açıklanmaktadır.
Şema, günlüğe nasıl erişdiğinize bağlı olarak değişir:
- Bu makalede açıklanan şemalar, REST API'den Etkinlik günlüğüne eriştiğinizde kullanılır. Şema, Azure portalında bir olayı görüntülerken JSON seçeneğini belirlediğinizde de kullanılır.
- Etkinlik günlüğünü Azure Depolama veya Azure Event Hubs'a göndermek için bir tanılama ayarı kullandığınızda şemanın depolama hesabından ve olay hub'larından şema bölümüne bakın.
- Etkinlik günlüğünü Log Analytics çalışma alanına göndermek için bir tanılama ayarı kullandığınızda şema için Azure İzleyici veri başvurusu bölümüne bakın.
Önem Derecesi Düzeyi
Etkinlik günlüğündeki her girişin bir önem düzeyi vardır. Önem derecesi düzeyi aşağıdaki değerlerden birine sahip olabilir:
| Önem Derecesi | Açıklama |
|---|---|
| Kritik | Sistem yöneticisinin hemen ilgilenmesini gerektiren olaylar. Bir uygulama veya sistemin başarısız olduğunu veya yanıt vermeyi durdurduğunu gösterebilir. |
| Hata | Bir sorunu gösteren ancak hemen ilgilenilmesini gerektirmeyen olaylar. |
| Uyarı | Gerçek bir hata olmasa da olası sorunların ön uyarısını sağlayan olaylar. Bir kaynağın ideal durumda olmadığını ve daha sonra hataları veya kritik olayları gösterecek şekilde düşebileceğini belirtin. |
| Bilgi | Yöneticiye kritik olmayan bilgiler geçiren olaylar. "Bilgileriniz için" yazan bir nota benzer. |
Her kaynak sağlayıcısının geliştiricileri, kaynak girdilerinin önem düzeylerini seçer. Sonuç olarak, uygulamanızın nasıl oluşturulduğuna bağlı olarak sizin için gerçek önem derecesi değişebilir. Örneğin, yalıtılmış olarak alınan belirli bir kaynak için "kritik" olan öğeler, Azure uygulamanızın merkezi olan bir kaynak türündeki "hatalar" kadar önemli olmayabilir. Hangi olayların uyarılacağı konusunda karar verirken bu gerçeği dikkate aldığınızdan emin olun.
Kategoriler
Etkinlik Günlüğü'ndeki her olay, aşağıdaki tabloda açıklanan belirli bir kategoriye sahiptir. Portal, PowerShell, CLI ve REST API'den Etkinlik günlüğüne erişirken her kategori ve şeması hakkında daha fazla ayrıntı için aşağıdaki bölümlere bakın. Etkinlik günlüğünü depolama alanına veya Event Hubs'a akışla aktardığınızda şema farklıdır. Özelliklerin kaynak günlükleri şemasına eşlemesi makalenin son bölümünde sağlanır.
| Kategori | Açıklama |
|---|---|
| Yönetici istrative | Resource Manager aracılığıyla gerçekleştirilen tüm oluşturma, güncelleştirme, silme ve eylem işlemlerinin kaydını içerir. Yönetici istrative olaylara örnek olarak sanal makine oluşturma ve ağ güvenlik grubunu silme verilebilir. Resource Manager kullanılarak bir kullanıcı veya uygulama tarafından gerçekleştirilen her eylem, belirli bir kaynak türünde bir işlem olarak modellenmiştir. İşlem türü Yazma, Silme veya Eylem ise, bu işlemin hem başlangıç hem de başarı veya başarısızlık kayıtları Yönetici istrative kategorisinde kaydedilir. Yönetici istrative olaylar, abonelikteki Azure rol tabanlı erişim denetiminde yapılan değişiklikleri de içerir. |
| Hizmet Durumu | Azure'da gerçekleşen hizmet durumu olaylarının kaydını içerir. Doğu ABD'deki SQL Azure Hizmet Durumu olayına örnek olarak kapalı kalma süresi yaşanıyor. Hizmet Durumu olayları Altı çeşit olarak gelir: Eylem Gerekli, Yardımlı Kurtarma, Olay, Bakım, Bilgi veya Güvenlik. Bu olaylar yalnızca abonelikte olaydan etkilenen bir kaynağınız varsa oluşturulur. |
| Kaynak Durumu | Azure kaynaklarınızda gerçekleşen kaynak durumu olaylarının kaydını içerir. Kaynak Durumu olayına örnek olarak Sanal Makine sistem durumu kullanılamıyor olarak değiştirildi. Kaynak Durumu olaylar dört sistem durumu durumundan birini temsil edebilir: Kullanılabilir, Kullanılamıyor, Düzeyi Düşürüldü ve Bilinmiyor. Ayrıca, Kaynak Durumu olaylar Platform Tarafından Başlatılan veya Kullanıcı Tarafından Başlatılan olarak sınıflandırılabilir. |
| Alert | Azure uyarıları için etkinleştirmelerin kaydını içerir. Uyarı olayına örnek olarak myVM'de son 5 dakika boyunca 80'in üzerinde CPU % değeri verilmiştir. |
| Otomatik Ölçeklendirme | Aboneliğinizde tanımladığınız otomatik ölçeklendirme ayarlarına göre otomatik ölçeklendirme altyapısının işlemiyle ilgili olayların kaydını içerir. Otomatik ölçeklendirme olayına örnek olarak Otomatik ölçeklendirme ölçeği artırma eylemi başarısız oldu. |
| Öneri | Azure Danışmanı'ndan gelen öneri olaylarını içerir. |
| Güvenlik | Bulut için Microsoft Defender tarafından oluşturulan uyarıların kaydını içerir. Güvenlik olayına örnek olarak Şüpheli çift uzantı dosyası yürütülür. |
| İlke | Azure İlkesi tarafından gerçekleştirilen tüm efekt eylem işlemlerinin kayıtlarını içerir. İlke olaylarına örnek olarak Denetim ve Reddetme verilebilir. İlke tarafından gerçekleştirilen her eylem bir kaynak üzerinde bir işlem olarak modellenmiştir. |
Yönetici istrative kategorisi
Bu kategori Resource Manager aracılığıyla gerçekleştirilen tüm oluşturma, güncelleştirme, silme ve eylem işlemlerinin kaydını içerir. Bu kategoride görebileceğiniz olay türlerine örnek olarak "sanal makine oluştur" ve "ağ güvenlik grubunu sil" verilebilir. Resource Manager kullanılarak bir kullanıcı veya uygulama tarafından gerçekleştirilen her eylem, belirli bir kaynak türünde bir işlem olarak modellenmiştir. İşlem türü Yazma, Silme veya Eylem ise, bu işlemin hem başlangıç hem de başarı veya başarısızlık kayıtları Yönetici istrative kategorisinde kaydedilir. Yönetici istrative kategorisi, abonelikteki Azure rol tabanlı erişim denetiminde yapılan değişiklikleri de içerir.
Örnek olay
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "355249ed-15d9-460d-8481-84026b065942",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
Özellik açıklamaları
| Öğe Adı | Açıklama |
|---|---|
| yetkilendirme | Olayın Azure RBAC özelliklerinin blobu. Genellikle "action", "role" ve "scope" özelliklerini içerir. |
| Ara -yan | Kullanılabilirliğe bağlı olarak işlemi, UPN talebi veya SPN talebi gerçekleştiren kullanıcının e-posta adresi. |
| Kanal | Aşağıdaki değerlerden biri: "Yönetici", "İşlem" |
| talepler | Resource Manager'da bu işlemi gerçekleştirmek üzere kullanıcının veya uygulamanın kimliğini doğrulamak için Active Directory tarafından kullanılan JWT belirteci. |
| correlationId | Genellikle dize biçiminde bir GUID. CorrelationId'yi paylaşan olaylar aynı uber eylemine aittir. |
| açıklama | Bir olayın statik metin açıklaması. |
| eventDataId | Bir olayın benzersiz tanımlayıcısı. |
| eventName | Yönetici istrative olayının kolay adı. |
| category | Her zaman "Yönetici istrative" |
| httpRequest | Http İsteğini açıklayan blob. Genellikle "clientRequestId", "clientIpAddress" ve "method" (HTTP yöntemi) içerir. Örneğin, PUT). |
| düzey | Olayın önem düzeyi . |
| resourceGroupName | Etkilenen kaynağın kaynak grubunun adı. |
| resourceProviderName | Etkilenen kaynağın kaynak sağlayıcısının adı |
| resourceType | Yönetici istrative olayından etkilenen kaynak türü. |
| resourceId | Etkilenen kaynağın kaynak kimliği. |
| operationId | Tek bir işleme karşılık gelen olaylar arasında paylaşılan bir GUID. |
| operationName | İşlemin adı. |
| özellikler | <Key, Value> Olayın ayrıntılarını açıklayan çift kümesi (yani Sözlük). |
| durum | İşlemin durumunu açıklayan dize. Bazı yaygın değerler şunlardır: Başlatıldı, Devam Ediyor, Başarılı, Başarısız, Etkin, Çözüldü. |
| subStatus | Genellikle ilgili REST çağrısının HTTP durum kodu, ancak bir subStatus'u açıklayan diğer dizeleri de içerebilir; örneğin, şu ortak değerler: Tamam (HTTP Durum Kodu: 200), Oluşturuldu (HTTP Durum Kodu: 201), Kabul Edildi (HTTP Durum Kodu: 202), İçerik Yok (HTTP Durum Kodu: 204), Hatalı İstek (HTTP Durum Kodu: 400), Bulunamadı (HTTP Durum Kodu: 404), Çakışma (HTTP Durum Kodu: 409), İç Sunucu Hatası (HTTP Durum Kodu: 500), Hizmet Kullanılamıyor (HTTP Durum Kodu: 503), Ağ Geçidi Zaman Aşımı (HTTP Durum Kodu: 504). |
| eventTimestamp | Olayın Azure hizmeti tarafından oluşturulduğu ve olaya karşılık gelen isteğin işlendiği zaman damgası. |
| submissionTimestamp | Olayın sorgu için kullanılabilir olduğu zaman damgası. |
| subscriptionId | Azure Abonelik Kimliği. |
Hizmet durumu kategorisi
Bu kategori, Azure'da gerçekleşen hizmet durumu olaylarının kaydını içerir. Bu kategoride görebileceğiniz olay türüne örnek olarak "Doğu ABD'de SQL Azure kapalı kalma süresi yaşanıyor". Hizmet durumu olaylar beş çeşit olarak gelir: Eylem Gerekli, Olay, Bakım, Bilgi veya Güvenlik; yalnızca abonelikte olaydan etkilenecek bir kaynağınız varsa görünür.
Örnek olay
{
"channels": "Admin",
"correlationId": "c550176b-8f52-4380-bdc5-36c1b59d3a44",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "c5bc4514-6642-2be3-453e-c6a67841b073",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/c5bc4514-6642-2be3-453e-c6a67841b073/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
Özelliklerdeki değerler hakkında belgeler için hizmet durumu bildirimleri makalesine bakın.
Kaynak durumu kategorisi
Bu kategori, Azure kaynaklarınızda gerçekleşen kaynak durumu olaylarının kaydını içerir. Bu kategoride görebileceğiniz olay türüne örnek olarak "Sanal Makine sistem durumu kullanılamıyor olarak değiştirildi." Kaynak durumu olayları dört sistem durumu durumunu temsil edebilir: Kullanılabilir, Kullanılamıyor, Düzeyi Düşürüldü ve Bilinmiyor. Ayrıca, kaynak durumu olayları Platform Tarafından Başlatılan veya Kullanıcı Tarafından Başlatılan olarak sınıflandırılabilir.
Aşağıdaki durumlarda etkinlik günlüğüne bir kaynak durumu olayı kaydedilir:
- Bir kaynak için "ResourceDegraded" veya "AccountClientThrottling" gibi bir ek açıklama gönderilir.
- İyi durumda olmayan veya kaynaktan geçiş yapılan bir kaynak.
- Bir kaynak 15 dakikadan uzun süre iyi durumda değildi.
Aşağıdaki kaynak durumu geçişleri etkinlik günlüğüne kaydedilmez:
- Bilinmeyen duruma geçiş.
- Bilinmeyen durumdan şu durumdan geçiş:
- Bu ilk geçiştir.
- Bilinmiyor durumundan önceki durum, sonraki yeni durumla aynıysa. (Örneğin, kaynak Sağlıklı'dan Bilinmiyor'a ve Sağlıklı'ya geri döndüyse).
- İşlem kaynakları için: İyi durumda olmayan süre 35 saniyeden kısa olduğunda sağlıklı durumdan iyi durumda olmayan ve sağlıklı durumuna geri dönen VM'ler.
Örnek olay
{
"channels": "Admin, Operation",
"correlationId": "28f1bfae-56d3-7urb-bff4-194d261248e9",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/a80024e1-883d-42a5-8b01-7591a1befccb/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
Özellik açıklamaları
| Öğe Adı | Açıklama |
|---|---|
| Kanal | Her zaman "Yönetici, İşlem" |
| correlationId | Dize biçiminde bir GUID. |
| açıklama | Uyarı olayının statik metin açıklaması. |
| eventDataId | Uyarı olayının benzersiz tanımlayıcısı. |
| category | Her zaman "ResourceHealth" |
| eventTimestamp | Olayın Azure hizmeti tarafından oluşturulduğu ve olaya karşılık gelen isteğin işlendiği zaman damgası. |
| düzey | Olayın önem düzeyi . |
| operationId | Tek bir işleme karşılık gelen olaylar arasında paylaşılan bir GUID. |
| operationName | İşlemin adı. |
| resourceGroupName | Kaynağı içeren kaynak grubunun adı. |
| resourceProviderName | Her zaman "Microsoft.Resourcehealth/healthevent/action". |
| resourceType | Kaynak Durumu olayından etkilenen kaynak türü. |
| resourceId | Etkilenen kaynağın kaynak kimliğinin adı. |
| durum | Sistem durumu olayının durumunu açıklayan dize. Değerler şu olabilir: Etkin, Çözüldü, InProgress, Güncelleştirildi. |
| subStatus | Uyarılar için genellikle null. |
| submissionTimestamp | Olayın sorgu için kullanılabilir olduğu zaman damgası. |
| subscriptionId | Azure Abonelik Kimliği. |
| özellikler | <Key, Value> Olayın ayrıntılarını açıklayan çift kümesi (yani Sözlük). |
| properties.title | Kaynağın sistem durumunu açıklayan kullanıcı dostu bir dize. |
| properties.details | Olayla ilgili diğer ayrıntıları açıklayan kullanıcı dostu bir dize. |
| properties.currentHealthStatus | Kaynağın geçerli sistem durumu. Aşağıdaki değerlerden biri: "Kullanılabilir", "Kullanılamıyor", "Düzeyi Düşürülmüş" ve "Bilinmiyor". |
| properties.previousHealthStatus | Kaynağın önceki sistem durumu. Aşağıdaki değerlerden biri: "Kullanılabilir", "Kullanılamıyor", "Düzeyi Düşürülmüş" ve "Bilinmiyor". |
| properties.type | Kaynak durumu olayının türünün açıklaması. |
| properties.cause | Kaynak durumu olayının nedeninin açıklaması. "UserInitiated" ve "PlatformInitiated". |
Uyarı kategorisi
Bu kategori, klasik Azure uyarılarının tüm etkinleştirmelerinin kaydını içerir. Bu kategoride görebileceğiniz olay türüne örnek olarak "myVM'de CPU yüzdesi son 5 dakika için 80'in üzerinde." Çeşitli Azure sistemlerinin bir uyarı kavramı vardır: Bir tür kural tanımlayabilir ve koşullar bu kuralla eşleştiğinde bildirim alabilirsiniz. Desteklenen bir Azure uyarı türü 'etkinleştirildiğinde' veya bildirim oluşturmak için koşullar karşılandığında, etkinleştirmenin kaydı da Etkinlik Günlüğü'nin bu kategorisine gönderilir.
Örnek olay
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "149d4baf-53dc-4cf4-9e29-17de37405cd9",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/149d4baf-53dc-4cf4-9e29-17de37405cd9/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
Özellik açıklamaları
| Öğe Adı | Açıklama |
|---|---|
| Ara -yan | Her zaman Microsoft. Analizler/alertRules |
| Kanal | Her zaman "Yönetici, İşlem" |
| talepler | Uyarı altyapısının SPN'sine (hizmet asıl adı) veya kaynak türüne sahip JSON blobu. |
| correlationId | Dize biçiminde bir GUID. |
| açıklama | Uyarı olayının statik metin açıklaması. |
| eventDataId | Uyarı olayının benzersiz tanımlayıcısı. |
| category | Her zaman "Uyarı" |
| düzey | Olayın önem düzeyi . |
| resourceGroupName | Bir ölçüm uyarısıysa, etkilenen kaynağın kaynak grubunun adı. Diğer uyarı türleri için, uyarının kendisini içeren kaynak grubunun adıdır. |
| resourceProviderName | Bir ölçüm uyarısıysa, etkilenen kaynağın kaynak sağlayıcısının adı. Diğer uyarı türleri için, uyarının kendisi için kaynak sağlayıcısının adıdır. |
| resourceId | Bir ölçüm uyarısıysa, etkilenen kaynağın kaynak kimliğinin adı. Diğer uyarı türleri için, uyarı kaynağının kaynak kimliğidir. |
| operationId | Tek bir işleme karşılık gelen olaylar arasında paylaşılan bir GUID. |
| operationName | İşlemin adı. |
| özellikler | <Key, Value> Olayın ayrıntılarını açıklayan çift kümesi (yani Sözlük). |
| durum | İşlemin durumunu açıklayan dize. Bazı yaygın değerler şunlardır: Başlatıldı, Devam Ediyor, Başarılı, Başarısız, Etkin, Çözüldü. |
| subStatus | Uyarılar için genellikle null. |
| eventTimestamp | Olayın Azure hizmeti tarafından oluşturulduğu ve olaya karşılık gelen isteğin işlendiği zaman damgası. |
| submissionTimestamp | Olayın sorgu için kullanılabilir olduğu zaman damgası. |
| subscriptionId | Azure Abonelik Kimliği. |
Uyarı türü başına özellikler alanı
Özellikler alanı, uyarı olayının kaynağına bağlı olarak farklı değerler içerir. İki yaygın uyarı olay sağlayıcısı Etkinlik Günlüğü uyarıları ve ölçüm uyarılarıdır.
Etkinlik Günlüğü uyarılarının özellikleri
| Öğe Adı | Açıklama |
|---|---|
| properties.subscriptionId | Bu etkinlik günlüğü uyarı kuralının etkinleştirilmesine neden olan etkinlik günlüğü olayından abonelik kimliği. |
| properties.eventDataId | Bu etkinlik günlüğü uyarı kuralının etkinleştirilmesine neden olan etkinlik günlüğü olayından olay veri kimliği. |
| properties.resourceGroup | Bu etkinlik günlüğü uyarı kuralının etkinleştirilmesine neden olan etkinlik günlüğü olayından kaynak grubu. |
| properties.resourceId | Bu etkinlik günlüğü uyarı kuralının etkinleştirilmesine neden olan etkinlik günlüğü olayından kaynak kimliği. |
| properties.eventTimestamp | Bu etkinlik günlüğü uyarı kuralının etkinleştirilmesine neden olan etkinlik günlüğü olayının olay zaman damgası. |
| properties.operationName | Bu etkinlik günlüğü uyarı kuralının etkinleştirilmesine neden olan etkinlik günlüğü olayından işlem adı. |
| properties.status | Bu etkinlik günlüğü uyarı kuralının etkinleştirilmesine neden olan etkinlik günlüğü olayından gelen durum. |
Ölçüm uyarılarının özellikleri
| Öğe Adı | Açıklama |
|---|---|
| Özellikler. RuleUri | Ölçüm uyarı kuralının kaynak kimliği. |
| Özellikler. Rulename | Ölçüm uyarı kuralının adı. |
| Özellikler. RuleDescription | Ölçüm uyarı kuralının açıklaması (uyarı kuralında tanımlandığı gibi). |
| Özellikler. Eşik | Ölçüm uyarı kuralının değerlendirilmesinde kullanılan eşik değeri. |
| Özellikler. WindowSizeInMinutes | Ölçüm uyarı kuralının değerlendirilmesinde kullanılan pencere boyutu. |
| Özellikler. Toplama | Ölçüm uyarısı kuralında tanımlanan toplama türü. |
| Özellikler. Işleç | Ölçüm uyarı kuralının değerlendirilmesinde kullanılan koşullu işleç. |
| Özellikler. MetricName | Ölçüm uyarı kuralının değerlendirilmesinde kullanılan ölçümün ölçüm adı. |
| Özellikler. MetricUnit | Ölçüm uyarı kuralının değerlendirilmesinde kullanılan ölçümün ölçüm birimi. |
Otomatik ölçeklendirme kategorisi
Bu kategori, aboneliğinizde tanımladığınız otomatik ölçeklendirme ayarlarına göre otomatik ölçeklendirme altyapısının işlemiyle ilgili tüm olayların kaydını içerir. Bu kategoride görebileceğiniz olay türüne örnek olarak "Otomatik ölçeklendirme ölçeği artırma eylemi başarısız oldu". Otomatik ölçeklendirmeyi kullanarak, otomatik ölçeklendirme ayarını kullanarak günün saatlerine ve/veya yük (ölçüm) verilerine göre desteklenen bir kaynak türündeki örneklerin ölçeğini otomatik olarak genişletebilir veya ölçeklendirin. Ölçeği artırma veya azaltma koşulları karşılandığında, başlangıç ve başarılı veya başarısız olaylar bu kategoriye kaydedilir.
Örnek olay
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "a5b92075-1de9-42f1-b52e-6f3e4945a7c7",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/a5b92075-1de9-42f1-b52e-6f3e4945a7c7/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "fc6a7ff5-ff68-4bb7-81b4-3629212d03d0",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
Özellik açıklamaları
| Öğe Adı | Açıklama |
|---|---|
| Ara -yan | Her zaman Microsoft. Analizler/otomatik ölçeklendirme Ayarlar |
| Kanal | Her zaman "Yönetici, İşlem" |
| talepler | Otomatik ölçeklendirme altyapısının SPN'sine (hizmet asıl adı) veya kaynak türüne sahip JSON blobu. |
| correlationId | Dize biçiminde bir GUID. |
| açıklama | Otomatik ölçeklendirme olayının statik metin açıklaması. |
| eventDataId | Otomatik ölçeklendirme olayının benzersiz tanımlayıcısı. |
| düzey | Olayın önem düzeyi . |
| resourceGroupName | Otomatik ölçeklendirme ayarı için kaynak grubunun adı. |
| resourceProviderName | Otomatik ölçeklendirme ayarı için kaynak sağlayıcısının adı. |
| resourceId | Otomatik ölçeklendirme ayarının kaynak kimliği. |
| operationId | Tek bir işleme karşılık gelen olaylar arasında paylaşılan bir GUID. |
| operationName | İşlemin adı. |
| özellikler | <Key, Value> Olayın ayrıntılarını açıklayan çift kümesi (yani Sözlük). |
| Özellikler. Açıklama | Otomatik ölçeklendirme altyapısının ne yaptığının ayrıntılı açıklaması. |
| Özellikler. Resourcename | Etkilenen kaynağın kaynak kimliği (ölçek eyleminin gerçekleştirildiği kaynak) |
| Özellikler. OldInstancesCount | Otomatik ölçeklendirme eylemi uygulanmadan önceki örnek sayısı. |
| Özellikler. NewInstancesCount | Otomatik ölçeklendirme eyleminin etkili olduğu örnek sayısı. |
| Özellikler. LastScaleActionTime | Otomatik ölçeklendirme eyleminin gerçekleştiği zaman damgası. |
| durum | İşlemin durumunu açıklayan dize. Bazı yaygın değerler şunlardır: Başlatıldı, Devam Ediyor, Başarılı, Başarısız, Etkin, Çözüldü. |
| subStatus | Otomatik ölçeklendirme için genellikle null. |
| eventTimestamp | Olayın Azure hizmeti tarafından oluşturulduğu ve olaya karşılık gelen isteğin işlendiği zaman damgası. |
| submissionTimestamp | Olayın sorgu için kullanılabilir olduğu zaman damgası. |
| subscriptionId | Azure Abonelik Kimliği. |
Güvenlik kategorisi
Bu kategori, Bulut için Microsoft Defender tarafından oluşturulan uyarıların kaydını içerir. Bu kategoride görebileceğiniz olay türüne örnek olarak "Şüpheli çift uzantı dosyası yürütüldü".
Örnek olay
{
"channels": "Operation",
"correlationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/events/965d6c6a-a790-4a7e-8e9a-41771b3fbc38/ticks/636439033386179339",
"level": "Informational",
"operationId": "965d6c6a-a790-4a7e-8e9a-41771b3fbc38",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
Özellik açıklamaları
| Öğe Adı | Açıklama |
|---|---|
| Kanal | Her zaman "İşlem" |
| correlationId | Dize biçiminde bir GUID. |
| açıklama | Güvenlik olayının statik metin açıklaması. |
| eventDataId | Güvenlik olayının benzersiz tanımlayıcısı. |
| eventName | Güvenlik olayının kolay adı. |
| category | Her zaman "Güvenlik" |
| Kimlik | Güvenlik olayının benzersiz kaynak tanımlayıcısı. |
| düzey | Olayın önem düzeyi . |
| resourceGroupName | Kaynağın kaynak grubunun adı. |
| resourceProviderName | Bulut için Microsoft Defender için kaynak sağlayıcısının adı. Her zaman "Microsoft.Security". |
| resourceType | "Microsoft.Security/locations/alerts" gibi güvenlik olayını oluşturan kaynak türü |
| resourceId | Güvenlik uyarısının kaynak kimliği. |
| operationId | Tek bir işleme karşılık gelen olaylar arasında paylaşılan bir GUID. |
| operationName | İşlemin adı. |
| özellikler | <Key, Value> Olayın ayrıntılarını açıklayan çift kümesi (yani Sözlük). Bu özellikler, güvenlik uyarısının türüne bağlı olarak değişir. Bulut için Defender gelen uyarı türlerinin açıklaması için bu sayfaya bakın. |
| Özellikler. Önem | Önem düzeyi. Olası değerler "Yüksek", "Orta" veya "Düşük" olabilir. |
| durum | İşlemin durumunu açıklayan dize. Bazı yaygın değerler şunlardır: Başlatıldı, Devam Ediyor, Başarılı, Başarısız, Etkin, Çözüldü. |
| subStatus | Genellikle güvenlik olayları için null. |
| eventTimestamp | Olayın Azure hizmeti tarafından oluşturulduğu ve olaya karşılık gelen isteğin işlendiği zaman damgası. |
| submissionTimestamp | Olayın sorgu için kullanılabilir olduğu zaman damgası. |
| subscriptionId | Azure Abonelik Kimliği. |
Öneri kategorisi
Bu kategori, hizmetleriniz için oluşturulan yeni önerilerin kaydını içerir. Öneriye örnek olarak "Gelişmiş hataya dayanıklılık için kullanılabilirlik kümelerini kullanın" örneklerinden biri olabilir. Dört tür Öneri olayı oluşturulabilir: Yüksek Kullanılabilirlik, Performans, Güvenlik ve Maliyet İyileştirme.
Örnek olay
{
"channels": "Operation",
"correlationId": "92481dfd-c5bf-4752-b0d6-0ecddaa64776",
"description": "The action was successful.",
"eventDataId": "06cb0e44-111b-47c7-a4f2-aa3ee320c9c5",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/06cb0e44-111b-47c7-a4f2-aa3ee320c9c5/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
Özellik açıklamaları
| Öğe Adı | Açıklama |
|---|---|
| Kanal | Her zaman "İşlem" |
| correlationId | Dize biçiminde bir GUID. |
| açıklama | Öneri olayının statik metin açıklaması |
| eventDataId | Öneri olayının benzersiz tanımlayıcısı. |
| category | Her zaman "Öneri" |
| Kimlik | Öneri olayının benzersiz kaynak tanımlayıcısı. |
| düzey | Olayın önem düzeyi . |
| operationName | İşlemin adı. Her zaman "Microsoft.Advisor/generate Öneriler/action" |
| resourceGroupName | Kaynağın kaynak grubunun adı. |
| resourceProviderName | Bu önerinin geçerli olduğu kaynağın kaynak sağlayıcısının adı( örneğin, "MICROSOFT. İşlem" |
| resourceType | Bu önerinin geçerli olduğu kaynağın kaynak türünün adı( örneğin, "MICROSOFT. COMPUTE/virtualmachines" |
| resourceId | Önerinin geçerli olduğu kaynağın kaynak kimliği |
| durum | Her zaman "Etkin" |
| submissionTimestamp | Olayın sorgu için kullanılabilir olduğu zaman damgası. |
| subscriptionId | Azure Abonelik Kimliği. |
| özellikler | Önerinin <Key, Value> ayrıntılarını açıklayan çift kümesi (yani Sözlük). |
| properties.recommendationSchemaVersion | Etkinlik Günlüğü girişinde yayımlanan öneri özelliklerinin şema sürümü |
| properties.recommendationCategory | Öneri kategorisi. Olası değerler şunlardır: "Yüksek Kullanılabilirlik", "Performans", "Güvenlik" ve "Maliyet" |
| properties.recommendationImpact | Önerinin etkisi. Olası değerler şunlardır: "Yüksek", "Orta", "Düşük" |
| properties.recommendationRisk | Öneri riski. Olası değerler şunlardır: "Error", "Warning", "None" |
İlke kategorisi
Bu kategori, Azure İlkesi tarafından gerçekleştirilen tüm efekt eylem işlemlerinin kayıtlarını içerir. Bu kategoride görebileceğiniz olay türlerine örnek olarak Denetim ve Reddetme verilebilir. İlke tarafından gerçekleştirilen her eylem bir kaynak üzerinde bir işlem olarak modellenmiştir.
Örnek İlke olayı
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "1114444b-7467-4144-a616-e3a5d63e147b",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "b5768deb-836b-41cc-803e-3f4de2f9e40b",
"description": "",
"eventDataId": "d0d36f97-b29c-4cd9-9d3d-ea2b92af3e9d",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/13bbf75f-36d5-4e66-b693-725267ff21ce/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
İlke olay özelliği açıklamaları
| Öğe Adı | Açıklama |
|---|---|
| yetkilendirme | Olayın Azure RBAC özellikleri dizisi. Yeni kaynaklar için bu, değerlendirmeyi tetikleyen isteğin eylemi ve kapsamıdır. Mevcut kaynaklar için eylem "Microsoft.Resources/checkPolicyCompliance/read" şeklindedir. |
| Ara -yan | Yeni kaynaklar için, dağıtımı başlatan kimlik. Mevcut kaynaklar için, Microsoft Azure İlkesi Analizler RP'nin GUID değeri. |
| Kanal | İlke olayları yalnızca "İşlem" kanalını kullanır. |
| talepler | Resource Manager'da bu işlemi gerçekleştirmek üzere kullanıcının veya uygulamanın kimliğini doğrulamak için Active Directory tarafından kullanılan JWT belirteci. |
| correlationId | Genellikle dize biçiminde bir GUID. CorrelationId'yi paylaşan olaylar aynı uber eylemine aittir. |
| açıklama | bu alan İlke olayları için boş. |
| eventDataId | Bir olayın benzersiz tanımlayıcısı. |
| eventName | "BeginRequest" veya "EndRequest". Gecikmeli auditIfNotExists ve deployIfNotExists değerlendirmeleri ve deployIfNotExists etkisi şablon dağıtımı başlattığında "BeginRequest" kullanılır. Diğer tüm işlemler "EndRequest" döndürür. |
| category | Etkinlik günlüğü olayını "İlke"ye ait olarak bildirir. |
| eventTimestamp | Olayın Azure hizmeti tarafından oluşturulduğu ve olaya karşılık gelen isteğin işlendiği zaman damgası. |
| Kimlik | Belirli bir kaynakta olayın benzersiz tanımlayıcısı. |
| düzey | Olayın önem düzeyi . Denetim "Uyarı" kullanır ve Reddetme "Hata" kullanır. AuditIfNotExists veya deployIfNotExists hatası önem derecelerine bağlı olarak "Uyarı" veya "Hata" oluşturabilir. Diğer tüm İlke olayları "Bilgilendirme" kullanır. |
| operationId | Tek bir işleme karşılık gelen olaylar arasında paylaşılan bir GUID. |
| operationName | İşlemin adı ve doğrudan İlke etkisiyle bağıntılı. |
| resourceGroupName | Değerlendirilen kaynak için kaynak grubunun adı. |
| resourceProviderName | Değerlendirilen kaynak için kaynak sağlayıcısının adı. |
| resourceType | Yeni kaynaklar için değerlendirilen tür olur. Mevcut kaynaklar için "Microsoft.Resources/checkPolicyCompliance" değerini döndürür. |
| resourceId | Değerlendirilen kaynağın kaynak kimliği. |
| durum | İlke değerlendirme sonucunun durumunu açıklayan dize. çoğu İlke değerlendirmesinde "Başarılı" döndürülüyor, ancak Reddetme efekti "Başarısız" sonucunu döndürüyor. auditIfNotExists veya deployIfNotExists içindeki hatalar da "Failed" döndürür. |
| subStatus | İlke olayları için alan boş. |
| submissionTimestamp | Olayın sorgu için kullanılabilir olduğu zaman damgası. |
| subscriptionId | Azure Abonelik Kimliği. |
| properties.isComplianceCheck | Yeni bir kaynak dağıtıldığında veya mevcut bir kaynağın Resource Manager özellikleri güncelleştirildiğinde "False" döndürür. Diğer tüm değerlendirme tetikleyicileri "True" ile sonuçlanır . |
| properties.resourceLocation | Değerlendirilen kaynağın Azure bölgesi. |
| properties.ancestors | Doğrudan üst öğeden en uzak büyükbabaya sıralanmış üst yönetim gruplarının virgülle ayrılmış listesi. |
| properties.policies | Bu İlke değerlendirmesinin sonucu olarak ilke tanımı, ataması, etkisi ve parametreleriyle ilgili ayrıntıları içerir. |
| relatedEvents | bu alan İlke olayları için boş. |
Depolama hesabından ve olay hub'larından şema
Azure Etkinlik günlüğünü bir depolama hesabına veya olay hub'ına akışla gönderirken veriler kaynak günlüğü şemasına uyar. Aşağıdaki tablo, yukarıdaki şemalardan kaynak günlükleri şemasına özelliklerin eşlemini sağlar.
Önemli
Bir depolama hesabına yazılan Etkinlik günlüğü verilerinin biçimi 1.01.2018'de JSON Satırları olarak değiştirildi. Bu biçim değişikliğiyle ilgili ayrıntılar için bkz . Depolama hesabında arşivlenen Azure İzleyici kaynak günlüklerinde biçim değişikliğine hazırlanma.
| Kaynak günlükleri şema özelliği | Etkinlik Günlüğü REST API şema özelliği | Notlar |
|---|---|---|
| time | eventTimestamp | |
| resourceId | resourceId | subscriptionId, resourceType, resourceGroupName kaynak kimliğinden çıkarılır. |
| operationName | operationName.value | |
| category | İşlem adının bir parçası | İşlem türünün bozulması. "Write", "Delete" veya "Action". |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | açıklama | |
| durationMs | Yok | Her zaman 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| identity | talepler ve yetkilendirme özellikleri | |
| Düzey | Düzey | |
| konum | Yok | Olayın işlendiği konumu. Bu, kaynağın konumu değil, olayın işlendiği yerdir. Bu özellik gelecekteki bir güncelleştirmede kaldırılacak. |
| Özellikler | properties.eventProperties | |
| properties.eventCategory | category | properties.eventCategory yoksa, kategori "Yönetici istrative" olur |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | özellikler |
Aşağıda, bu şemayı kullanan bir olay örneği verilmiştir:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
"identity": {
"authorization": {
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/00000000-0000-0000-0000-000000000000",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "12345678-3bq0-49c1-b47d-974e53cbdf3c",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}