مخطط حدث سجل Azure Activity
يوفر سجل نشاط Azure نظرة ثاقبة على أي أحداث على مستوى الاشتراك حدثت في Azure. توضح هذه المقالة فئات سجل Activity والمخطط لكل منها.
يختلف المخطط استنادا إلى كيفية الوصول إلى السجل:
- المخططات الموضحة في هذه المقالة عند الوصول إلى سجل Activity من API REST. يتم استخدام المخطط أيضا عند تحديد خيار JSON عند عرض حدث في مدخل Microsoft Azure.
- راجع المقطع الأخير مخطط من حساب التخزين ومراكز الأحداث للمخطط عند استخدام إعداد تشخيص لإرسال سجل النشاط إلىAzure Storage أو Azure Event Hubs.Azure.
- راجع مرجع بيانات Azure Monitorللمخطط عند استخدام إعداد تشخيص لإرسال سجل النشاط Activity إلى مساحة عمل Log Analytics.
مستوى الخطورة
كل إدخال في سجل النشاط له مستوى خطورة. يمكن أن يكون لدى مستوى الخطورة إحدى القيم التالية:
| الأهمية | الوصف |
|---|---|
| هام | الأحداث التي تتطلب الاهتمام الفوري من مسؤول النظام. قد يشير إلى فشل تطبيق أو نظام أو توقف عن الاستجابة. |
| خطأ | الأحداث التي تشير إلى مشكلة، ولكنها لا تتطلب اهتماما فوريا. |
| تحذير | الأحداث التي توفر تحذيرًا مسبقًا من المشاكل المحتملة، وإن لم يكن خطأ فعليًا. الإشارة إلى أن المورد ليس في حالة مثالية وقد يتدهور لاحقا إلى إظهار أخطاء أو أحداث هامة. |
| معلوماتي | الأحداث التي تمرر معلومات غير حرجة إلى المسؤول. على غرار ملاحظة تقول: "لمعلوماتك". |
يختار المطورين لكل موفر الموارد مستويات خطورة إدخالات الموارد الخاصة بهم. ونتيجة لذلك، يمكن أن تختلف خطورة الفعلية لك استنادا إلى كيفية بناء التطبيق الخاص بك. على سبيل المثال، قد لا تكون العناصر "الحرجة" لمورد معين تم أخذها بشكل منفصل بنفس أهمية "الأخطاء" في نوع المورد المركزي لتطبيق Azure الخاص بك. تأكد من مراعاة هذه الحقيقة عند تحديد الأحداث التي يجب التنبيه عليها.
الفئات
يحتوي كل حدث في «سجل النشاط» على فئة معينة كما هو موضح في الجدول التالي. راجع المقاطع أدناه للحصول على مزيد من التفاصيل حول كل فئة ومخططها عند الوصول إلى سجل النشاط من المدخل PowerShell CLI وREST API. يختلف المخطط عندماتقوم بدفق سجل النشاط Activity إلى التخزين أو لوحات الوصل الأحداث Event Hubs. يتم توفير تعيين الخصائص إلى مخطط سجلات الموارد في المقطع الأخير من المقالة.
| الفئة | الوصف |
|---|---|
| إداري | يحتوي على سجل كافة عمليات الإنشاء والتحديث والحذف والإجراءات التي يتم تنفيذها من خلال مدير الموارد Resource Manager. تتضمن أمثلة الأحداث الإدارية إنشاء جهاز ظاهري وحذف مجموعة أمان الشبكة. يتم تصميم كل إجراء يتم اتخاذه من قبل مستخدم أو تطبيق باستخدام إدارة الموارد كعملية على نوع مورد معين. إذا كان نوع العملية هو "كتابة" أو "حذف" أو "إجراء"، يتم تسجيل سجلات كل من بداية ونجاح أو فشل تلك العملية ضمن الفئة الإدارية. تتضمن الأحداث الإدارية أيضًا أية تغييرات على عنصر تحكم الوصول المستند إلى دور Azure في اشتراك. |
| حالة الخدمة | يحتوي على سجل أي حوادث سلامة الخدمة التي حدثت في Azure. مثال على حدث "صحة الخدمة" Service Health وهو SQL Azure في شرق الولايات المتحدة East US تواجه التوقف. تأتي أحداث صحة الخدمة في ستة أصناف: الإجراء المطلوب، المساعدة في الاسترداد، الحادث، الصيانة، المعلومات، أو الأمن. يتم إنشاء هذه الأحداث فقط إذا كان لديك مورد في الاشتراك متأثرا بالحدث. |
| صحة الموارد | يحتوي على سجل أي أحداث سلامة الموارد التي حدثت لموارد Azure. مثال على حدث "صحة الموارد" Resource Health هو حالة صحة الجهاز الظاهري والتذي تغيير إلى غير متوفر. يمكن أن تمثل أحداث صحة الموارد Resource Health واحدة من أربع حالات صحية: "متوفرة"، "غير متوفرة"،متدهورة،وغير معروفة. بالإضافة إلى ذلك، يمكن تصنيف الأحداث الصحية للموارد على أنها "يتم بدؤها من قبل النظام الأساسي" أو "يتم بدؤها من قبل المستخدم". |
| Alert | يحتوي على سجل عمليات التنشيط لتنبيهات Azure. مثال على حدث التنبيه هو CPU ٪ على myVM أعلى من 80 خلال الدقائق الخمس الماضية. |
| التحجيم التلقائي | يحتوي على سجل أي أحداث تتعلق بتشغيل محرك التحجيم التلقائي استنادا إلى أي إعدادات مقياس تلقائي قمت بتعريفها في اشتراكك. مثال حدث Autoscale هو فشل إجراء توسيع النطاق التلقائي. |
| التوصية | يحتوي على أحداث توصية من Azure Advisor. |
| الأمان | يحتوي على سجل أي تنبيهات تم إنشاؤها بواسطة Microsoft Defender for Cloud. مثال على حدث أمان هو ملف ملحق مزدوج مريب تم تنفيذه. |
| السياسات | يحتوي على سجلات لكافة عمليات إجراء التأثير التي يقوم بها نهج Azure Policy. تتضمن أمثلة أحداث النهج "التدقيق" و"الرفض". يتم تصميم كل إجراء يتم اتخاذه بواسطة النهج على أنه عملية على مورد. |
الفئة الإدارية
تحتوي هذه الفئة على سجل جميع عمليات الإنشاء والتحديث والحذف والإجراءات التي يتم إجراؤها من خلال Resource Manager. تتضمن أمثلة أنواع الأحداث التي قد تراها في هذه الفئة "إنشاء جهاز ظاهري" و"حذف مجموعة أمان الشبكة". يتم تصميم كل إجراء يتم اتخاذه من قبل مستخدم أو تطبيق باستخدام إدارة الموارد كعملية على نوع مورد معين. إذا كان نوع العملية هو "كتابة" أو "حذف" أو "إجراء"، يتم تسجيل سجلات كل من بداية ونجاح أو فشل تلك العملية ضمن الفئة الإدارية. تتضمن الفئة الإدارية أيضًا أية تغييرات على عنصر تحكم الوصول المستند إلى دور Azure في اشتراك.
نموذج الحدث
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://graph.microsoft.com/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
وصف الخصائص
| اسم العنصر | الوصف |
|---|---|
| التخويل | Blob من خصائص Azure RBAC للحدث. عادة ما يتضمن خصائص "الإجراء" و "الدور" و"النطاق". |
| متصل | عنوان البريد الإلكتروني للمستخدم الذي قام بتنفيذ العملية أو مطالبة UPN أو مطالبة SPN استنادا إلى التوافر. |
| القنوات | إحدى القيم التالية: "المسؤول"، "عملية" |
| المطالبات | الرمز المميز JWT المستخدمة من قبل Active Directory لمصادقة المستخدم أو التطبيق لتنفيذ هذه العملية في مدير الموارد Resource Manager. |
| correlationId | عادة ما يكون GUID بتنسيق السلسلة. الأحداث التي تشترك في correlationId ينتمي إلى نفس الإجراء uber. |
| الوصف | وصف نص ثابت لحدث ما. |
| eventDataId | المعرف الفريد لحدث ما. |
| eventName | اسم مألوف للحدث الإداري. |
| الفئة | دائمًا "إداري" |
| httpRequest | Blob تصف طلب Http Request. عادة ما يتضمن الطلب "clientRequestId" و"clientIpAddress" و"أسلوب HTTP" (على سبيل المثال، PUT). |
| المستوى | مستوى خطورة الحدث. |
| resourceGroupName | اسم مجموعة الموارد للمورد المتأثر. |
| resourceProviderName | اسم موفر المورد للمورد المتأثر |
| resourceType | نوع المورد المتأثر بحدث إداري. |
| resourceId | معرف المورد Resource ID للمورد المتأثر. |
| operationId | المعرف الفريد العمومي GUID المشترك بين الأحداث التي تتوافق مع عملية واحدة. |
| اسم العملية | اسم العملية. |
| الخصائص | مجموعة أزواج <Key, Value> (أي قاموس Dictionary) تصف تفاصيل الحدث. |
| الحالة | سلسلة تصف حالة العملية. بعض القيم الشائعة هي: تم البدء، قيد التقدم، نجح، فشل، نشط، تم حلها. |
| subStatus | عادة ما يكون رمز حالة HTTP لاستدعاء REST المقابل، ولكن يمكن أن يتضمن أيضا سلاسل أخرى تصف حالة فرعية، مثل هذه القيم الشائعة: OK (رمز حالة HTTP: 200)، تم إنشاؤه (رمز حالة HTTP: 201)، مقبول (رمز حالة HTTP: 202)، لا يوجد محتوى (رمز حالة HTTP: 204)، طلب غير صحيح (رمز حالة HTTP: 400)، غير موجود (رمز حالة HTTP: 404)، التعارض (رمز حالة HTTP: 409)، خطأ الخادم الداخلي (رمز حالة HTTP: 500)، الخدمة غير متوفرة (رمز حالة HTTP: 503)، مهلة البوابة (رمز حالة HTTP: 504). |
| eventTimestamp | الطابع الزمني عند إنشاء الحدث بواسطة خدمة Azure معالجة الطلب المطابق للحدث. |
| submissionTimestamp | الطابع الزمني عندما أصبح الحدث متوفرًا للاستعلام. |
| subscriptionId | معرّف اشتراك Azure ID. |
فئة صحة الخدمة
تحتوي هذه الفئة على سجل أي حوادث سلامة الخدمة التي حدثت في Azure. مثال على نوع الحدث الذي قد تراه في هذه الفئة هو "SQL Azure في شرق الولايات المتحدة يواجه وقت تعطل." Service health الأحداث تأتي في خمسة أنواع: الإجراء المطلوب أو الحدث أو الصيانة أو المعلومات أو الأمان، ولا تظهر إلا إذا كان لديك مورد في الاشتراك سيتأثر بالحدث.
نموذج الحدث
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
راجع مقالة إعلامات صيانة الخدمة للحصول على وثائق حول القيم الموجودة في الخصائص.
فئة صحة الموارد
تحتوي هذه الفئة على سجل أحداث صحة الموارد التي حدثت لموارد Azure. مثال لنوع الحدث الذي ستشاهده في هذه الفئة هو "تغيير حالة حماية الجهاز الظاهري إلى غير متوفر". يمكن أن تمثل أحداث الحماية للموارد واحدة من أربع حالات حماية: متوفرة وغير متوفرة ومتدهورة وغير معروفة. بالإضافة إلى ذلك، يمكن تصنيف الأحداث الصحية للموارد على أنها "يتم بدؤها من قبل النظام الأساسي" أو "يتم بدؤها من قبل المستخدم".
يتم تسجيل حدث صحة المورد في سجل النشاط عندما:
- يتم إرسال تعليق توضيحي، على سبيل المثال "ResourceDegraded" أو "AccountClientThrottling" لمورد.
- مورد تم نقله من أو إلى غير سليم.
- مورد غير سليم لأكثر من 15 دقيقة.
لا يتم تسجيل انتقالات صحة الموارد التالية في سجل النشاط:
- انتقال إلى حالة غير معروفة.
- الانتقال من حالة غير معروفة إذا:
- هذا هو الانتقال الأول.
- إذا كانت الحالة قبل غير معروف هي نفس الحالة الجديدة بعد. (على سبيل المثال، إذا انتقل المورد من سليم إلى غير معروف والعودة إلى سليم).
- بالنسبة لموارد الحوسبة: الأجهزة الظاهرية التي تنتقل من سليمة إلى غير صحية، والعودة إلى سليمة، عندما يكون الوقت غير السليم أقل من 35 ثانية.
نموذج الحدث
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
وصف الخصائص
| اسم العنصر | الوصف |
|---|---|
| القنوات | دائمًا "المسؤول، عملية" |
| correlationId | GUID بتنسيق السلسلة. |
| الوصف | وصف نص ثابت لحدث التنبيه. |
| eventDataId | المعرف الفريد لحدث التنبيه. |
| الفئة | دائماً "ResourceHealth" |
| eventTimestamp | الطابع الزمني عند إنشاء الحدث بواسطة خدمة Azure معالجة الطلب المطابق للحدث. |
| المستوى | مستوى خطورة الحدث. |
| operationId | المعرف الفريد العمومي GUID المشترك بين الأحداث التي تتوافق مع عملية واحدة. |
| اسم العملية | اسم العملية. |
| resourceGroupName | اسم مجموعة الموارد التي تحتوي على المورد. |
| resourceProviderName | Always "Microsoft.Resourcehealth/healthevent/action". |
| resourceType | نوع المورد المتأثر بحدث Resource Health. |
| resourceId | اسم معرف المورد ID للمورد المتأثر. |
| الحالة | سلسلة تصف حالة الحدث الصحي. يمكن أن تكون القيم: نشطة، محلولة، في تقدّم، محدثة. |
| subStatus | عادة ما تكون خالية للتنبيهات. |
| submissionTimestamp | الطابع الزمني عندما أصبح الحدث متوفرًا للاستعلام. |
| subscriptionId | معرّف اشتراك Azure ID. |
| الخصائص | مجموعة أزواج <Key, Value> (أي قاموس Dictionary) تصف تفاصيل الحدث. |
| properties.title | إن السلسلة سهلة الاستخدام هي التي تصف الحالة الصحية للمورد. |
| properties.details | سلسلة سهلة الاستخدام تصف تفاصيل إضافية حول الحدث. |
| properties.currentHealthStatus | الحالة الصحية الحالية للمورد. إحدى القيم التالية: "متوفر" و"غير متوفر" و"متردي" و"غير معروف". |
| properties.previousHealthStatus | الحالة الصحية السابقة للمورد. إحدى القيم التالية: "متوفر" و"غير متوفر" و"متردي" و"غير معروف". |
| properties.type | وصف لنوع حدث صحة المورد. |
| properties.cause | وصف سبب حدث صحة المورد. إما "UserInitiated" و"PlatformInitiated". |
فئة التنبيه
تحتوي هذه الفئة على سجل كافة عمليات التنشيط من تنبيهات Azure الكلاسيكية. مثال على نوع الحدث الذي قد تراه في هذه الفئة هو "CPU ٪ على myVM هو أكثر من 80 خلال الدقائق الخمس الماضية." تحتوي أنظمة Azure المختلفة على مفهوم تنبيه: يمكنك تحديد قاعدة من نوع ما وتلقي إشعار عندما تتطابق الشروط مع تلك القاعدة. في كل مرة يتم فيها "تنشيط" نوع تنبيه Azure معتمد أو يتم استيفاء الشروط لإنشاء إعلام، يتم أيضًا دفع سجل التنشيط إلى هذه الفئة من سجل النشاط Activity Log.
نموذج الحدث
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
وصف الخصائص
| اسم العنصر | الوصف |
|---|---|
| متصل | Always Microsoft.Insights/alertRules |
| القنوات | دائمًا "المسؤول، عملية" |
| المطالبات | النقطة JSON مع SPN (اسم الخدمة الأساسي) أو نوع المورد من مشغل التنبيه. |
| correlationId | GUID بتنسيق السلسلة. |
| الوصف | وصف نص ثابت لحدث التنبيه. |
| eventDataId | المعرف الفريد لحدث التنبيه. |
| الفئة | دائمًا في حالة تأهب |
| المستوى | مستوى خطورة الحدث. |
| resourceGroupName | اسم مجموعة الموارد للمورد المتأثر إذا كان تنبيها قياسيا. بالنسبة إلى أنواع التنبيهات الأخرى، فإن اسم مجموعة الموارد هو الذي يحتوي على التنبيه نفسه. |
| resourceProviderName | اسم موفر الموارد للمورد المتأثر إذا كان تنبيها قياسيا. بالنسبة إلى أنواع التنبيهات الأخرى، إنه اسم موفر الموارد للتنبيه نفسه. |
| resourceId | اسم معرف المورد للمورد المتأثر إذا كان تنبيها قياسيا. بالنسبة إلى أنواع التنبيهات الأخرى، إنه معرف المورد لمورد التنبيه نفسه. |
| operationId | المعرف الفريد العمومي GUID المشترك بين الأحداث التي تتوافق مع عملية واحدة. |
| اسم العملية | اسم العملية. |
| الخصائص | مجموعة أزواج <Key, Value> (أي قاموس Dictionary) تصف تفاصيل الحدث. |
| الحالة | سلسلة تصف حالة العملية. بعض القيم الشائعة هي: تم البدء، قيد التقدم، نجح، فشل، نشط، تم حلها. |
| subStatus | عادة ما تكون خالية للتنبيهات. |
| eventTimestamp | الطابع الزمني عند إنشاء الحدث بواسطة خدمة Azure معالجة الطلب المطابق للحدث. |
| submissionTimestamp | الطابع الزمني عندما أصبح الحدث متوفرًا للاستعلام. |
| subscriptionId | معرّف اشتراك Azure ID. |
حقل الخصائص لكل نوع تنبيه
سيحتوي حقل الخصائص على قيم مختلفة استنادًا إلى مصدر حدث التنبيه. اثنين من موفري أحداث التنبيه الشائعة ألا وهما تنبيهات سجل النشاط Activity Log والتنبيهات المترية.
خصائص تنبيهات سجل النشاط Activity Log
| اسم العنصر | الوصف |
|---|---|
| properties.subscriptionId | معرف الاشتراك من حدث سجل النشاط الذي تسبب في تنشيط قاعدة تنبيه سجل النشاط هذه. |
| properties.eventDataId | معرف بيانات الحدث من حدث سجل النشاط الذي تسبب في تنشيط قاعدة تنبيه سجل النشاط هذه. |
| properties.resourceGroup | مجموعة الموارد من حدث سجل النشاط الذي تسبب في تنشيط قاعدة تنبيه سجل النشاط هذه. |
| properties.resourceId | معرف المورد من حدث سجل النشاط الذي تسبب في تنشيط قاعدة تنبيه سجل النشاط هذه. |
| properties.eventTimestamp | الطابع الزمني للحدث لحدث سجل النشاط الذي تسبب في تنشيط قاعدة تنبيه سجل النشاط هذه. |
| properties.operationName | اسم العملية من حدث سجل النشاط الذي تسبب في تنشيط قاعدة تنبيه سجل النشاط هذه. |
| properties.status | الحالة من حدث سجل النشاط الذي تسبب في تنشيط قاعدة تنبيه سجل النشاط هذه. |
خصائص التنبيهات المترية
| اسم العنصر | الوصف |
|---|---|
| properties.RuleUri | معرف المورد ID لقاعدة التنبيه المتري نفسها. |
| properties.RuleName | اسم قاعدة التنبيه المتري. |
| properties.RuleDescription | وصف قاعدة التنبيه المتري (كما هو محدد في قاعدة التنبيه). |
| properties.Threshold | قيمة العتبة المستخدمة في تقييم قاعدة التنبيه المتري. |
| properties.WindowSizeInMinutes | حجم الإطار المستخدم في تقييم قاعدة التنبيه المتري. |
| properties.Aggregation | نوع التجميع المعرف في قاعدة التنبيه المتري. |
| properties.Operator | عامل التشغيل الشرطي المستخدم في تقييم قاعدة التنبيه المتري. |
| properties.MetricName | الاسم المتري للمقياس المستخدم في تقييم قاعدة التنبيه المتري. |
| properties.MetricUnit | وحدة القياس للمقياس المستخدم في تقييم قاعدة التنبيه المتري. |
فئة التدرج التلقائي
تحتوي هذه الفئة على سجل لأي أحداث تتعلق بتشغيل محرك مقياس تلقائي استنادًا إلى أي إعدادات مقياس تلقائي قمت بتحديدها في اشتراكك. مثال على نوع الحدث الذي قد تراه في هذه الفئة هو "فشل إجراء توسيع النطاق التلقائي". باستخدام التحجيم التلقائي، يمكنك توسيع نطاق عدد المثيلات أو توسيع نطاقها تلقائيا في نوع مورد مدعوم استناداً إلى الوقت من اليوم و/أو تحميل البيانات (المقياس) باستخدام إعداد مقياس تلقائي. عند استيفاء الشروط لتوسيع نطاقها أو تقليصها، يتم تسجيل أحداث البدء والأحداث الناجحة أو الفاشلة في هذه الفئة.
نموذج الحدث
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
وصف الخصائص
| اسم العنصر | الوصف |
|---|---|
| متصل | Always Microsoft.Insights/autoscaleSettings |
| القنوات | دائمًا "المسؤول، عملية" |
| المطالبات | JSON blob مع SPN (اسم الخدمة الأساسي) أو نوع المورد من محرك تحجيم تلقائي. |
| correlationId | GUID بتنسيق السلسلة. |
| الوصف | وصف نص ثابت لحدث التحجيم التلقائي. |
| eventDataId | المعرف الفريد لحدث التحجيم التلقائي. |
| المستوى | مستوى خطورة الحدث. |
| resourceGroupName | اسم مجموعة الموارد لإعداد التدرج التلقائي. |
| resourceProviderName | اسم موفر الموارد لإعداد التدرج التلقائي. |
| resourceId | معرف المورد ID لإعداد التحجيم التلقائي. |
| operationId | المعرف الفريد العمومي GUID المشترك بين الأحداث التي تتوافق مع عملية واحدة. |
| اسم العملية | اسم العملية. |
| الخصائص | مجموعة أزواج <Key, Value> (أي قاموس Dictionary) تصف تفاصيل الحدث. |
| properties.Description | وصف مفصل لما كان يفعله محرك المقياس التلقائي. |
| properties.ResourceName | معرف المورد ID للمورد المتأثر (المورد الذي تم تنفيذ إجراء المقياس عليه) |
| properties.OldInstancesCount | عدد المثيلات قبل أن يسري الإجراء الخاص بالتدرج التلقائي. |
| properties.NewInstancesCount | عدد المثيلات بعد إجراء المقياس التلقائي الذي تم نافذ المفعول. |
| properties.LastScaleActionTime | الطابع الزمني للوقت الذي حدث فيه إجراء التحجيم التلقائي. |
| الحالة | سلسلة تصف حالة العملية. بعض القيم الشائعة هي: تم البدء، قيد التقدم، نجح، فشل، نشط، تم حلها. |
| subStatus | عادة ما تكون خالية من أجل مقياس تلقائي. |
| eventTimestamp | الطابع الزمني عند إنشاء الحدث بواسطة خدمة Azure معالجة الطلب المطابق للحدث. |
| submissionTimestamp | الطابع الزمني عندما أصبح الحدث متوفرًا للاستعلام. |
| subscriptionId | معرّف اشتراك Azure ID. |
فئة الأمان
تحتوي هذه الفئة على سجل أي تنبيهات تم إنشاؤها بواسطة Microsoft Defender for Cloud. مثال على نوع الحدث الذي قد تشاهده في هذه الفئة هو "ملف ملحق مزدوج مريب تم تنفيذه".
نموذج الحدث
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/centralus/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
وصف الخصائص
| اسم العنصر | الوصف |
|---|---|
| القنوات | دائمًا "عملية" |
| correlationId | GUID بتنسيق السلسلة. |
| الوصف | وصف نص ثابت لحدث الأمان. |
| eventDataId | المعرف الفريد لحدث الأمان. |
| eventName | اسم مألوف للحدث الأمني. |
| الفئة | دائمًا "الأمن" |
| بطاقة تعريف | معرف المورد الفريد لحدث الأمان. |
| المستوى | مستوى خطورة الحدث. |
| resourceGroupName | اسم مجموعة الموارد للمورد. |
| resourceProviderName | اسم موفر الموارد لـ Microsoft Defender for Cloud. Always "Microsoft.Security". |
| resourceType | نوع المورد الذي قام بإنشاء حدث الأمان، مثل "Microsoft.Security/locations/alerts" |
| resourceId | معرف المورد ID للتنبيه الأمني. |
| operationId | المعرف الفريد العمومي GUID المشترك بين الأحداث التي تتوافق مع عملية واحدة. |
| اسم العملية | اسم العملية. |
| الخصائص | مجموعة أزواج <Key, Value> (أي قاموس Dictionary) تصف تفاصيل الحدث. تختلف هذه الخصائص استنادا إلى نوع تنبيه الأمان. راجع هذه الصفحة للحصول على وصف لأنواع التنبيهات التي تأتي من Defender for Cloud. |
| properties.Severity | مستوى الخطورة. القيم المحتملة هي "عالي" أو "متوسط" أو "منخفض". |
| الحالة | سلسلة تصف حالة العملية. بعض القيم الشائعة هي: تم البدء، قيد التقدم، نجح، فشل، نشط، تم حلها. |
| subStatus | عادة ما تكون خالية لأحداث الأمان. |
| eventTimestamp | الطابع الزمني عند إنشاء الحدث بواسطة خدمة Azure معالجة الطلب المطابق للحدث. |
| submissionTimestamp | الطابع الزمني عندما أصبح الحدث متوفرًا للاستعلام. |
| subscriptionId | معرّف اشتراك Azure ID. |
فئة التوصية
تحتوي هذه الفئة على سجل أي توصيات جديدة يتم إنشاؤها لخدماتك. مثال على التوصية هو "استخدام مجموعات التوفر لتحسين التسامح مع الخطأ." هناك أربعة أنواع من أحداث التوصية التي يمكن إنشاؤها: قابلية الوصول العالية والأداء والأمان وتحسين التكلفة.
نموذج الحدث
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
وصف الخصائص
| اسم العنصر | الوصف |
|---|---|
| القنوات | دائمًا "عملية" |
| correlationId | GUID بتنسيق السلسلة. |
| الوصف | وصف نصي ثابت لحدث التوصية |
| eventDataId | المعرف الفريد لحدث التوصية. |
| الفئة | دائمًا "توصية" |
| بطاقة تعريف | معرف المورد الفريد لحدث التوصية. |
| المستوى | مستوى خطورة الحدث. |
| اسم العملية | اسم العملية. Always "Microsoft.Advisor/generateRecommendations/action" |
| resourceGroupName | اسم مجموعة الموارد للمورد. |
| resourceProviderName | اسم موفر الموارد للمورد الذي تنطبق عليه هذه التوصية، مثل "MICROSOFT.COMPUTE" |
| resourceType | اسم موفر الموارد للمورد الذي تنطبق عليه هذه التوصية، مثل "MICROSOFT.COMPUTE/virtualmachines" |
| resourceId | معرف المورد ID للمورد الذي تنطبق عليه التوصية |
| الحالة | دائمًا "نشط" |
| submissionTimestamp | الطابع الزمني عندما أصبح الحدث متوفرًا للاستعلام. |
| subscriptionId | معرّف اشتراك Azure ID. |
| الخصائص | مجموعة أزواج <Key, Value> (أي قاموس Dictionary) تصف تفاصيل الحدث. |
| properties.recommendationSchemaVersion | إصدار المخطط من خصائص التوصية المنشورة في إدخال سجل النشاط Activity Log |
| properties.recommendationCategory | فئة التوصية القيم المحتملة هي "توفر عالية" و"الأداء" و"الأمان" و"التكلفة" |
| properties.recommendationImpact | تأثير التوصية. القيم المحتملة هي "عالي" أو "متوسط" أو "منخفض". |
| properties.recommendationRisk | خطر التوصية. القيم المحتملة هي "خطأ" و"تحذير" و"بلا" |
فئة النهج
تحتوي هذه الفئة على سجلات لكافة عمليات إجراء التأثير التي يقوم بها Azure Policy. تتضمن أمثلة أنواع الأحداث التي قد تراها في هذه الفئة التدقيقوالإنكار. يتم تصميم كل إجراء يتم اتخاذه بواسطة النهج على أنه عملية على مورد.
حدث نهج نموذج
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.azure.com/",
"iss": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.windows.net/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "westus2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
وصف خصائص حدث النهج
| اسم العنصر | الوصف |
|---|---|
| التخويل | صفيف خصائص Azure RBAC للحدث. بالنسبة للموارد الجديدة، هذا هو الإجراء ونطاق الطلب الذي أدى إلى التقييم. للموارد الموجودة الإجراء هو "Microsoft.Resources/checkPolicyCompliance/read". |
| متصل | للموارد الجديدة، الهوية التي بدأت عملية نشر. للموارد الموجودة GUID نهج Microsoft Azure Insights RP. |
| القنوات | تستخدم أحداث النهج قناة "العملية" فقط. |
| المطالبات | الرمز المميز JWT المستخدمة من قبل Active Directory لمصادقة المستخدم أو التطبيق لتنفيذ هذه العملية في مدير الموارد Resource Manager. |
| correlationId | عادة ما يكون GUID بتنسيق السلسلة. الأحداث التي تشترك في correlationId ينتمي إلى نفس الإجراء uber. |
| الوصف | هذا الحقل فارغ لأحداث النهج. |
| eventDataId | المعرف الفريد لحدث ما. |
| eventName | إما "BeginRequest" أو "EndRequest". يتم استخدام "BeginRequest" للتدقيق التقييمات auditIfNotExists و deployIfNotExists ونشر تقييمات deployIfNotExists وعندما يبدأ تأثير نشر قالب. كافة العمليات الأخرى بإرجاع "EndRequest". |
| الفئة | يقوم بتعريف حدث سجل النشاط على أنه ينتمي إلى "نهج". |
| eventTimestamp | الطابع الزمني عند إنشاء الحدث بواسطة خدمة Azure معالجة الطلب المطابق للحدث. |
| بطاقة تعريف | المعرف الفريد للحدث على مورد معين. |
| المستوى | مستوى خطورة الحدث. يستخدم التدقيق "تحذير" ورفض يستخدم "خطأ". يمكن أن يقوم خطأ auditIfNotExists أو deployIfNotExists إنشاء "تحذير" أو "خطأ" اعتمادًا على الخطورة. تستخدم كافة أحداث النهج الأخرى "معلومات". |
| operationId | المعرف الفريد العمومي GUID المشترك بين الأحداث التي تتوافق مع عملية واحدة. |
| اسم العملية | اسم العملية و يرتبط مباشرة بتأثير النهج. |
| resourceGroupName | اسم مجموعة الموارد للمورد المقيم. |
| resourceProviderName | اسم موفر المورد للمورد المقيم. |
| resourceType | بالنسبة للموارد الجديدة، إنه النوع الذي يتم تقييمه. للموارد الموجودة بإرجاع "Microsoft.Resources/checkPolicyCompliance". |
| resourceId | معرف المورد ID للمورد المقيم. |
| الحالة | سلسلة تصف حالة نتيجة تقييم النهج. إرجاع معظم عمليات تقييم النهج "بنجاح" ولكن إرجاع تأثير رفض "فشل". أخطاء في auditIfNotExists أو deployIfNotExists تقوم أيضاً بإرجاع "فشل". |
| subStatus | الحقل فارغ لأحداث النهج. |
| submissionTimestamp | الطابع الزمني عندما أصبح الحدث متوفرًا للاستعلام. |
| subscriptionId | معرّف اشتراك Azure ID. |
| properties.isComplianceCheck | إرجاع "خطأ" عند نشر مورد جديد أو تحديث خصائص إدارة الموارد الخاصة بالموارد الموجودة. تؤدي كافة مشغلات التقييم الأخرى إلى "True". |
| properties.resourceLocation | منطقة Azure للمورد الذي يتم تقييمه. |
| properties.ancestors | قائمة مفصولة بفاصلة لمجموعات الإدارة الأصل التي تم طلبها من الأصل المباشر إلى أبعد جد. |
| properties.policies | يتضمن تفاصيل حول تعريف النهج وتعيينه وتأثيره والمعلمات التي ينتج عنها تقييم النهج هذا. |
| relatedEvents | هذا الحقل فارغ لأحداث النهج. |
مخطط من حساب التخزين ومراكز الأحداث
عند دفق سجل نشاط Azure إلى حساب تخزين أو مركز أحداث، تتبع البيانات مخطط سجل الموارد. يوفر الجدول أدناه تعيين خصائص من المخططات أعلاه إلى مخطط سجلات الموارد.
هام
تم تغيير تنسيق بيانات سجل النشاط المكتوبة إلى حساب تخزين إلى خطوط JSON في 1 نوفمبر 2018. راجع تحضير لتغيير التنسيق إلى سجلات موارد Azure Monitor التي تم أرشفتها في حساب تخزين للحصول على تفاصيل حول تغيير التنسيق هذا.
| خاصية مخطط سجلات الموارد | خاصية مخطط API لسجل النشاط REST | ملاحظات |
|---|---|---|
| time | eventTimestamp | |
| resourceId | resourceId | subscriptionId، resourceType، resourceGroupName كلها يستنتج من معرف المورد. |
| اسم العملية | operationName.value | |
| الفئة | جزء من اسم العملية | دائمًا "إداري" |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | الوصف | |
| durationMs | غير متوفر | دائما 0 |
| CallerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| الهوية | المطالبات وخصائص التفويض | |
| المستوى | المستوى | |
| مكان | غير متوفر | موقع المكان الذي تمت معالجة الحدث فيه. هذا ليس موقع المورد، ولكن بدلا من ذلك حيث تمت معالجة الحدث. ستتم إزالة هذه الخاصية في تحديث مستقبلي. |
| خصائص | properties.eventProperties | |
| properties.eventCategory | الفئة | إذا لم تكن properties.eventCategory موجودة، تكون الفئة "إدارية" |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | الخصائص |
التالي هو مثال حدث باستخدام هذا المخطط:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.windows.net/",
"iss": "https://sts.windows.net/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}