Azure 活动日志提供对 Azure 中发生的任何订阅级事件的见解。 本文介绍每个活动日志类别和架构。
架构因访问日志的方式而异:
- 本文中所述的架构是在从 REST API 访问活动日志时。 在 Azure 门户中查看事件时,还可以使用架构选择 JSON 选项。
- 使用诊断设置将活动日志发送到 Azure 存储或 Azure 事件中心时,请参阅存储帐户和事件中心中架构的最终部分。
- 使用诊断设置将活动日志发送到 Log Analytics 工作区时,请参阅有关架构的 Azure Monitor 数据参考。
严重性级别
活动日志中的每个条目都具有严重性级别。 严重性级别可以具有以下值之一:
| Severity | Description |
|---|---|
| 危急 | 需要系统管理员立即注意的事件。 可能指示应用程序或系统失败或停止响应。 |
| 错误 | 指示问题但不需要立即注意的事件。 |
| 警告 | 提供潜在问题的警告事件,尽管不是实际错误。 指示资源不处于理想状态,以后可能会降级为显示错误或关键事件。 |
| 信息或信息 | 将非关键信息传递给管理员的事件。 类似于一条说明,上面写着:“为你的信息”。 |
每个资源提供程序的开发人员选择其资源条目的严重性级别。 因此,根据应用程序的生成方式,实际严重性可能会有所不同。 例如,隔离中特定资源“关键”的项可能不如 Azure 应用程序中心的资源类型中的“错误”那么重要。 确定要发出警报的事件时,请务必考虑这一事实。
类别
活动日志中的每个事件都有下表中所述的特定类别。 有关从门户、PowerShell、CLI 和 REST API 访问活动日志时每个类别及其架构的详细信息,请参阅以下部分。 将 活动日志流式传输到存储或事件中心时,架构会有所不同。 本文最后一部分提供了属性与 资源日志架构 的映射。
| 类别 | Description |
|---|---|
| 行政 | 包含通过资源管理器执行的所有创建、更新、删除和作作的记录。 管理事件的示例包括 创建虚拟机 和 删除网络安全组。 使用资源管理器的用户或应用程序执行的每个作都建模为特定资源类型的作。 如果作类型为 “写入”、“ 删除”或 “作”,则会在“管理”类别中记录该作的开始和成功或失败记录。 管理事件还包括对订阅中 Azure 基于角色的访问控制所做的任何更改。 |
| 服务运行状况 | 包含 Azure 中发生的任何服务运行状况事件的记录。 中国北部的服务运行状况事件 SQL Azure 的示例正在经历停机。 服务运行状况事件分为六个品种: 需要作、 辅助恢复、 事件、 维护、 信息或 安全性。 仅当订阅中的资源受该事件影响时,才会创建这些事件。 |
| 资源运行状况 | 包含 Azure 资源发生的任何资源运行状况事件的记录。 资源运行状况事件的示例是 虚拟机运行状况状态更改为不可用。 资源运行状况事件可以表示四种运行状况之一: 可用、 不可用、 已降级和 未知。 此外,资源运行状况事件可归类为 平台启动 事件或 用户启动事件。 |
| Alert | 包含 Azure 警报的激活记录。 警报事件的示例是 在过去 5 分钟内,myVM 上的 CPU % 超过 80。 |
| Autoscale | 包含基于订阅中定义的任何自动缩放设置与自动缩放引擎作相关的任何事件的记录。 自动缩放事件的示例是 自动缩放纵向扩展作失败。 |
| Recommendation | 包含来自 Azure 顾问的建议事件。 |
| Security | 包含由 Microsoft Defender for Cloud 生成的任何警报的记录。 安全事件的一个示例是 执行可疑的双扩展文件。 |
| Policy | 包含 Azure Policy 执行的所有效果作作的记录。 策略事件的示例包括 审核 和 拒绝。 策略执行的每个作都建模为对资源执行的作。 |
注释
记录的架构表示一个常规结构,但不在所有数据源中严格执行。 Azure 资源管理器(ARM)等服务可以根据环境(例如国家云)和自定义字段发出其他字段。 因此,可能会遇到架构变体,尤其是在跨租户或区域引入日志时。
管理类别
此类别包含通过 Resource Manager 执行的所有创建、更新、删除和作作的记录。 在此类别中看到的事件类型示例包括“创建虚拟机”和“删除网络安全组”。 使用资源管理器的用户或应用程序执行的每个作都建模为特定资源类型的作。 如果作类型为“写入”、“删除”或“作”,则会在“管理”类别中记录该作的开始和成功或失败记录。 管理类别还包括对订阅中基于角色的访问控制所做的任何更改。
示例事件
{
"authorization": {
"action": "Microsoft.Network/networkSecurityGroups/write",
"scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
},
"caller": "rob@contoso.com",
"channels": "Operation",
"claims": {
"aud": "https://management.core.chinacloudapi.cn/",
"iss": "https://sts.chinacloudapi.cn/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"_claim_names": "{\"groups\":\"src1\"}",
"_claim_sources": "{\"src1\":{\"endpoint\":\"https://microsoftgraph.chinacloudapi.cn/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
"http://schemas.microsoft.com/claims/authnclassreference": "1",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "2",
"http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
"e_exp": "262800",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
"ipaddr": "111.111.1.111",
"name": "Rob Robertson",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
"puid": "18247BBD84827C6D",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Administrative",
"localizedValue": "Administrative"
},
"eventTimestamp": "2018-01-29T20:42:31.3810679Z",
"id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
"level": "Informational",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Network/networkSecurityGroups/write",
"localizedValue": "Microsoft.Network/networkSecurityGroups/write"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Network",
"localizedValue": "Microsoft.Network"
},
"resourceType": {
"value": "Microsoft.Network/networkSecurityGroups",
"localizedValue": "Microsoft.Network/networkSecurityGroups"
},
"resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
"subscriptionId": "<subscription ID>",
"properties": {
"statusCode": "Created",
"serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
"responseBody": "",
"requestbody": ""
},
"relatedEvents": []
}
属性说明
| 元素名称 | Description |
|---|---|
| 授权 | 事件的 Azure RBAC 属性的 Blob。 通常包括和actionrolescope属性。 |
| 访客 | 已根据可用性执行作、UPN 声明或 SPN 声明的用户的电子邮件地址。 |
| 渠道 | 以下值之一: AdminOperation |
| claims | Active Directory 使用 JWT 令牌来验证用户或应用程序,以在资源管理器中执行此操作。 |
| correlationId | 通常为字符串格式的 GUID。 共享 correlationId 的事件属于同一 uber 操作。 |
| 描述 | 事件的静态文本说明。 |
| eventDataId | 事件的唯一标识符。 |
| eventName | 管理事件的友好名称。 |
| 分类 | 始终为 Administrative |
| httpRequest | 描述 Http 请求的 Blob。 通常包括 clientRequestId和 clientIpAddressmethod (HTTP 方法)。例如,PUT)。 |
| 水平仪 | 事件的严重性级别。 |
| resourceGroupName | 受影响资源的资源组的名称。 |
| resourceProviderName | 受影响资源的资源提供程序的名称 |
| resourceType | 受管理事件影响的资源类型。 |
| resourceId | 受影响的资源的资源 ID。 |
| operationId | 在对应于单个作的事件之间共享的 GUID。 |
| operationName | 操作的名称。 |
| 属性 | 描述事件详细信息的 <Key, Value> 对集(即字典)。 |
| 状态 | 描述作状态的字符串。 一些常见值包括:Started、In Progress、Succeeded、Failed、Active、Resolved。 |
| subStatus | 通常,相应的 REST 调用的 HTTP 状态代码,但也可能包含描述子状态的其他字符串,例如以下常见值:OK(HTTP 状态代码:200)、已创建(HTTP 状态代码:201)、接受(HTTP 状态代码:202)、无内容(HTTP 状态代码:204)、错误请求(HTTP 状态代码:400)、找不到(HTTP 状态代码: 404)、冲突(HTTP 状态代码:409)、内部服务器错误(HTTP 状态代码:500)、服务不可用(HTTP 状态代码:503)、网关超时(HTTP 状态代码:504)。 |
| eventTimestamp | 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。 |
| submissionTimestamp | 事件可供查询的时间戳。 |
| 订阅编号 | Azure 订阅 ID。 |
服务运行状况类别
此类别包含 Azure 中发生的任何服务运行状况事件的记录。 在此类别中看到的事件类型示例是“中国北部的 SQL Azure 正在经历停机”。服务运行状况事件分为五个品种:“作必需”、“事件”、“维护”、“信息”或“安全性”,仅当订阅中有一个受事件影响的资源时才会显示。
示例事件
{
"channels": "Admin",
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"description": "Active: Network Infrastructure - UK South",
"eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"eventName": {
"value": null
},
"category": {
"value": "ServiceHealth",
"localizedValue": "Service Health"
},
"eventTimestamp": "2017-07-20T23:30:14.8022297Z",
"id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
"level": "Warning",
"operationName": {
"value": "Microsoft.ServiceHealth/incident/action",
"localizedValue": "Microsoft.ServiceHealth/incident/action"
},
"resourceProviderName": {
"value": null
},
"resourceType": {
"value": null,
"localizedValue": ""
},
"resourceId": "/subscriptions/<subscription ID>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
"subscriptionId": "<subscription ID>",
"properties": {
"title": "Network Infrastructure - UK South",
"service": "Service Fabric",
"region": "UK South",
"communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"incidentType": "Incident",
"trackingId": "NA0F-BJG",
"impactStartTime": "2017-07-20T21:41:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
"defaultLanguageTitle": "Network Infrastructure - UK South",
"defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
"stage": "Active",
"communicationId": "636361902146035247",
"version": "0.1.1"
}
}
有关属性中的值的文档,请参阅 服务运行状况通知 文章。
资源运行状况类别
此类别包含对 Azure 资源发生的资源运行状况事件的记录。 在此类别中看到的事件类型示例是“虚拟机运行状况已更改为不可用”。资源运行状况事件可以表示四种运行状况之一:可用、不可用、已降级和未知。 此外,资源运行状况事件可以归类为平台启动或用户启动。
以下情况下,资源运行状况事件记录在活动日志中:
- 为资源提交批注,例如“ResourceDegraded”或“AccountClientThrottling”。
- 已转换到“不正常”或“不正常”的资源。
- 资源运行时间超过 15 分钟。
活动日志中未记录以下资源运行状况转换:
- 转换为未知状态。
- 如果出现:从未知状态转换:
- 这是第一次转换。
- 如果未知之前的状态与之后的新状态相同。 (例如,如果资源从“正常”转换为“未知”,然后转换回“正常”)。
- 对于计算资源:当运行不正常时间小于 35 秒时,从“正常”转换为“不正常”的 VM,然后返回到“正常”。
示例事件
{
"channels": "Admin, Operation",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "",
"eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "ResourceHealth",
"localizedValue": "Resource Health"
},
"eventTimestamp": "2018-09-04T15:33:43.65Z",
"id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
"level": "Critical",
"operationId": "",
"operationName": {
"value": "Microsoft.Resourcehealth/healthevent/Activated/action",
"localizedValue": "Health Event Activated"
},
"resourceGroupName": "<resource group>",
"resourceProviderName": {
"value": "Microsoft.Resourcehealth/healthevent/action",
"localizedValue": "Microsoft.Resourcehealth/healthevent/action"
},
"resourceType": {
"value": "Microsoft.Compute/virtualMachines",
"localizedValue": "Microsoft.Compute/virtualMachines"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
"subscriptionId": "<subscription ID>",
"properties": {
"stage": "Active",
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"healthStatus": "Unavailable",
"healthEventType": "Downtime",
"healthEventCause": "PlatformInitiated",
"healthEventCategory": "Unplanned"
},
"relatedEvents": []
}
属性说明
| 元素名称 | Description |
|---|---|
| 渠道 | 始终 Admin, Operation |
| correlationId | 字符串格式的 GUID。 |
| 描述 | 警报事件的静态文本说明。 |
| eventDataId | 警报事件的唯一标识符。 |
| 分类 | 始终为 ResourceHealth |
| eventTimestamp | 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。 |
| 水平仪 | 事件的严重性级别。 |
| operationId | 在对应于单个作的事件之间共享的 GUID。 |
| operationName | 操作的名称。 |
| resourceGroupName | 包含资源的资源组的名称。 |
| resourceProviderName | 始终为 Microsoft.Resourcehealth/healthevent/action。 |
| resourceType | 受资源运行状况事件影响的资源的类型。 |
| resourceId | 受影响资源的资源 ID 的名称。 |
| 状态 | 描述运行状况事件的状态的字符串。 值可以是:Active、Resolved、InProgress、Updated。 |
| subStatus | 警报通常为 null。 |
| submissionTimestamp | 事件可供查询的时间戳。 |
| 订阅编号 | Azure 订阅 ID。 |
| 属性 | 描述事件详细信息的 <Key, Value> 对集(即字典)。 |
| properties.title | 描述资源运行状况的用户友好字符串。 |
| properties.details | 一个用户友好的字符串,描述有关事件的更多详细信息。 |
| properties.currentHealthStatus | 资源的当前运行状况。 以下值之一: Available、 Unavailable、 Degraded和 Unknown。 |
| properties.previousHealthStatus | 资源的上一个运行状况。 以下值之一: Available、 Unavailable、 Degraded和 Unknown。 |
| properties.type | 资源运行状况事件类型的说明。 |
| properties.cause | 有关资源运行状况事件原因的说明。 和 UserInitiatedPlatformInitiated. |
警报类别
此类别包含经典 Azure 警报的所有激活记录。 在此类别中看到的事件类型示例是“myVM 上的 CPU % 在过去 5 分钟内超过 80 个”。各种 Azure 系统都有一个警报概念:可以定义某种规则,并在条件与该规则匹配时接收通知。 每当受支持的 Azure 警报类型“激活”或满足生成通知的条件时,激活记录也会推送到活动日志的此类别。
示例事件
{
"caller": "Microsoft.Insights/alertRules",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
},
"correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
"eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
"eventName": {
"value": "Alert",
"localizedValue": "Alert"
},
"category": {
"value": "Alert",
"localizedValue": "Alert"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.ClassicCompute",
"localizedValue": "Microsoft.ClassicCompute"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
"resourceType": {
"value": "Microsoft.ClassicCompute/domainNames/slots/roles",
"localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
},
"operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
"operationName": {
"value": "Microsoft.Insights/AlertRules/Resolved/Action",
"localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
},
"properties": {
"RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
"RuleName": "myalert",
"RuleDescription": "",
"Threshold": "100000",
"WindowSizeInMinutes": "5",
"Aggregation": "Average",
"Operator": "LessThan",
"MetricName": "Disk read",
"MetricUnit": "Count"
},
"status": {
"value": "Resolved",
"localizedValue": "Resolved"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T09:24:13.522192Z",
"submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
"subscriptionId": "<subscription ID>"
}
属性说明
| 元素名称 | Description |
|---|---|
| 访客 | 始终Microsoft.Insights/alertRules |
| 渠道 | 始终 Admin, Operation |
| claims | 包含警报引擎的 SPN(服务主体名称)或资源类型的 JSON Blob。 |
| correlationId | 字符串格式的 GUID。 |
| 描述 | 警报事件的静态文本说明。 |
| eventDataId | 警报事件的唯一标识符。 |
| 分类 | 始终为 Alert |
| 水平仪 | 事件的严重性级别。 |
| resourceGroupName | 受影响资源的资源组的名称(如果是指标警报)。 对于其他警报类型,它是包含警报本身的资源组的名称。 |
| resourceProviderName | 受影响资源的资源提供程序的名称(如果是指标警报)。 对于其他警报类型,它是警报本身的资源提供程序的名称。 |
| resourceId | 受影响资源的资源 ID 的名称(如果是指标警报)。 对于其他警报类型,它是警报资源本身的资源 ID。 |
| operationId | 在对应于单个作的事件之间共享的 GUID。 |
| operationName | 操作的名称。 |
| 属性 | 描述事件详细信息的 <Key, Value> 对集(即字典)。 |
| 状态 | 描述作状态的字符串。 一些常见值包括:Started、In Progress、Succeeded、Failed、Active、Resolved。 |
| subStatus | 警报通常为 null。 |
| eventTimestamp | 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。 |
| submissionTimestamp | 事件可供查询的时间戳。 |
| 订阅编号 | Azure 订阅 ID。 |
每个警报类型的属性字段
属性字段包含不同的值,具体取决于警报事件的源。 两个常见的警报事件提供程序是活动日志警报和指标警报。
活动日志警报的属性
| 元素名称 | Description |
|---|---|
| properties.subscriptionId | 导致激活此活动日志警报规则的活动日志事件中的订阅 ID。 |
| properties.eventDataId | 导致激活此活动日志警报规则的活动日志事件的事件数据 ID。 |
| properties.resourceGroup | 活动日志事件中的资源组,导致激活此活动日志警报规则。 |
| properties.resourceId | 导致激活此活动日志警报规则的活动日志事件中的资源 ID。 |
| properties.eventTimestamp | 导致激活此活动日志警报规则的活动日志事件的事件时间戳。 |
| properties.operationName | 导致激活此活动日志警报规则的活动日志事件中的作名称。 |
| properties.status | 导致激活此活动日志警报规则的活动日志事件的状态。 |
指标警报的属性
| 元素名称 | Description |
|---|---|
| 性能。RuleUri | 指标警报规则本身的资源 ID。 |
| 性能。RuleName | 指标警报规则的名称。 |
| 性能。RuleDescription | 指标警报规则的说明(如警报规则中定义)。 |
| 性能。门槛 | 指标警报规则评估中使用的阈值。 |
| 性能。WindowSizeInMinutes | 指标警报规则评估中使用的窗口大小。 |
| 性能。集合体 | 指标警报规则中定义的聚合类型。 |
| 性能。算子 | 指标警报规则评估中使用的条件运算符。 |
| 性能。MetricName | 指标警报规则评估中使用的指标的指标名称。 |
| 性能。MetricUnit | 指标警报规则评估中使用的指标单位。 |
自动缩放类别
此类别包含与自动缩放引擎作相关的任何事件的记录,这些事件基于订阅中定义的任何自动缩放设置。 在此类别中看到的事件类型示例是“自动缩放纵向扩展作失败”。使用自动缩放,可以使用自动缩放设置根据一天的时间和/或加载(指标)数据自动横向扩展或缩减受支持资源类型中的实例数。 满足纵向扩展或缩减条件时,将在此类别中记录开始和成功或失败的事件。
示例事件
{
"caller": "Microsoft.Insights/autoscaleSettings",
"channels": "Admin, Operation",
"claims": {
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
},
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
"eventName": {
"value": "AutoscaleAction",
"localizedValue": "AutoscaleAction"
},
"category": {
"value": "Autoscale",
"localizedValue": "Autoscale"
},
"id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
"level": "Informational",
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "microsoft.insights",
"localizedValue": "microsoft.insights"
},
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
"resourceType": {
"value": "microsoft.insights/autoscalesettings",
"localizedValue": "microsoft.insights/autoscalesettings"
},
"operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"operationName": {
"value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
"localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
},
"properties": {
"Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
"ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
"OldInstancesCount": "3",
"NewInstancesCount": "2",
"LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
},
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": null
},
"eventTimestamp": "2017-07-21T01:00:51.8681572Z",
"submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
"subscriptionId": "<subscription ID>"
}
属性说明
| 元素名称 | Description |
|---|---|
| 访客 | 始终为 Microsoft.Insights/autoscaleSettings |
| 渠道 | 始终 Admin, Operation |
| claims | 具有 SPN(服务主体名称)或资源类型的自动缩放引擎的 JSON Blob。 |
| correlationId | 字符串格式的 GUID。 |
| 描述 | 自动缩放事件的静态文本说明。 |
| eventDataId | 自动缩放事件的唯一标识符。 |
| 水平仪 | 事件的严重性级别。 |
| resourceGroupName | 自动缩放设置的资源组的名称。 |
| resourceProviderName | 自动缩放设置的资源提供程序的名称。 |
| resourceId | 自动缩放设置的资源 ID。 |
| operationId | 在对应于单个作的事件之间共享的 GUID。 |
| operationName | 操作的名称。 |
| 属性 | 描述事件详细信息的 <Key, Value> 对集(即字典)。 |
| 性能。描述 | 自动缩放引擎正在执行的作的详细说明。 |
| 性能。ResourceName | 受影响资源的资源 ID(执行缩放作的资源) |
| 性能。OldInstancesCount | 自动缩放作生效前的实例数。 |
| 性能。NewInstancesCount | 自动缩放作生效后的实例数。 |
| 性能。LastScaleActionTime | 自动缩放作发生时的时间戳。 |
| 状态 | 描述作状态的字符串。 一些常见值包括:Started、In Progress、Succeeded、Failed、Active、Resolved。 |
| subStatus | 对于自动缩放,通常为 null。 |
| eventTimestamp | 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。 |
| submissionTimestamp | 事件可供查询的时间戳。 |
| 订阅编号 | Azure 订阅 ID。 |
安全类别
此类别包含 Microsoft Defender for Cloud 生成的任何警报的记录。 在此类别中看到的事件类型示例是“执行可疑的双扩展文件”。
示例事件
{
"channels": "Operation",
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
"eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"eventName": {
"value": "Suspicious double extension file executed",
"localizedValue": "Suspicious double extension file executed"
},
"category": {
"value": "Security",
"localizedValue": "Security"
},
"eventTimestamp": "2017-10-18T06:02:18.6179339Z",
"id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/chinaeast/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
"level": "Informational",
"operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"operationName": {
"value": "Microsoft.Security/locations/alerts/activate/action",
"localizedValue": "Microsoft.Security/locations/alerts/activate/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Security",
"localizedValue": "Microsoft.Security"
},
"resourceType": {
"value": "Microsoft.Security/locations/alerts",
"localizedValue": "Microsoft.Security/locations/alerts"
},
"resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/chinaeast/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": null
},
"submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
"subscriptionId": "<subscription ID>",
"properties": {
"accountLogonId": "0x2r4",
"commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
"domainName": "hpc",
"parentProcess": "unknown",
"parentProcess id": "0",
"processId": "6988",
"processName": "c:\\mydirectory\\doubleetension.pdf.exe",
"userName": "myUser",
"UserSID": "S-3-2-12",
"ActionTaken": "Detected",
"Severity": "High"
},
"relatedEvents": []
}
属性说明
| 元素名称 | Description |
|---|---|
| 渠道 | 始终为 Operation |
| correlationId | 字符串格式的 GUID。 |
| 描述 | 安全事件的静态文本说明。 |
| eventDataId | 安全事件的唯一标识符。 |
| eventName | 安全事件的友好名称。 |
| 分类 | 始终为 Security |
| ID | 安全事件的唯一资源标识符。 |
| 水平仪 | 事件的严重性级别。 |
| resourceGroupName | 资源的资源组的名称。 |
| resourceProviderName | Microsoft Defender for Cloud 的资源提供程序的名称。 始终为 Microsoft.Security。 |
| resourceType | 生成安全事件的资源类型,例如 Microsoft.Security/locations/alerts |
| resourceId | 安全警报的资源 ID。 |
| operationId | 在对应于单个作的事件之间共享的 GUID。 |
| operationName | 操作的名称。 |
| 属性 | 描述事件详细信息的 <Key, Value> 对集(即字典)。 这些属性因安全警报类型而异。 有关来自 Defender for Cloud 的警报类型的说明,请参阅 此页面 。 |
| 性能。严厉 | 严重性级别。 可能的值为 High, Medium或 Low。 |
| 状态 | 描述作状态的字符串。 一些常见值包括:Started、、In Progress、SucceededFailed、ActiveResolved。 |
| subStatus | 安全事件通常为 null。 |
| eventTimestamp | 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。 |
| submissionTimestamp | 事件可供查询的时间戳。 |
| 订阅编号 | Azure 订阅 ID。 |
建议类别
此类别包含为服务生成的任何新建议的记录。 建议的一个示例是“使用可用性集来提高容错能力”。可以生成四种类型的建议事件:高可用性、性能、安全性和成本优化。
示例事件
{
"channels": "Operation",
"correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
"description": "The action was successful.",
"eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
"eventName": {
"value": "",
"localizedValue": ""
},
"category": {
"value": "Recommendation",
"localizedValue": "Recommendation"
},
"eventTimestamp": "2018-06-07T21:30:42.976919Z",
"id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
"level": "Informational",
"operationId": "",
"operationName": {
"value": "Microsoft.Advisor/generateRecommendations/action",
"localizedValue": "Microsoft.Advisor/generateRecommendations/action"
},
"resourceGroupName": "MYRESOURCEGROUP",
"resourceProviderName": {
"value": "MICROSOFT.COMPUTE",
"localizedValue": "MICROSOFT.COMPUTE"
},
"resourceType": {
"value": "MICROSOFT.COMPUTE/virtualmachines",
"localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
},
"resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
"status": {
"value": "Active",
"localizedValue": "Active"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2018-06-07T21:30:42.976919Z",
"subscriptionId": "<Subscription ID>",
"properties": {
"recommendationSchemaVersion": "1.0",
"recommendationCategory": "Security",
"recommendationImpact": "High",
"recommendationRisk": "None"
},
"relatedEvents": []
}
属性说明
| 元素名称 | Description |
|---|---|
| 渠道 | 始终为 Operation |
| correlationId | 字符串格式的 GUID。 |
| 描述 | 建议事件的静态文本说明 |
| eventDataId | 建议事件的唯一标识符。 |
| 分类 | 始终为 Recommendation |
| ID | 建议事件的唯一资源标识符。 |
| 水平仪 | 事件的严重性级别。 |
| operationName | 操作的名称。 始终为 Microsoft.Advisor/generateRecommendations/action |
| resourceGroupName | 资源的资源组的名称。 |
| resourceProviderName | 此建议应用于的资源的资源提供程序的名称,例如“MICROSOFT。计算” |
| resourceType | 此建议应用于的资源的资源类型的名称,例如 MICROSOFT.COMPUTE/virtualmachines |
| resourceId | 建议应用于的资源的资源 ID |
| 状态 | 始终为 Active |
| submissionTimestamp | 事件可供查询的时间戳。 |
| 订阅编号 | Azure 订阅 ID。 |
| 属性 | 描述建议详细信息的 <Key, Value> 对集(即字典)。 |
| properties.recommendationSchemaVersion | 活动日志条目中发布的建议属性的架构版本 |
| properties.recommendationCategory | 建议的类别。 可能的值为 High Availability、 Performance、 Security和 Cost |
| properties.recommendationImpact | 建议的影响。 可能的值为 High, MediumLow |
| properties.recommendationRisk | 建议的风险。 可能的值为 Error, WarningNone |
策略类别
此类别包含 Azure Policy 执行的所有效果作作的记录。 在此类别中看到的事件类型的示例包括 “审核 ”和 “拒绝”。 策略执行的每个作都建模为对资源执行的作。
示例策略事件
{
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<subscriptionID>"
},
"caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
"channels": "Operation",
"claims": {
"aud": "https://management.chinacloudapi.cn/",
"iss": "https://sts.chinacloudapi.cn/1114444b-7467-4144-a616-e3a5d63e147b/",
"iat": "1234567890",
"nbf": "1234567890",
"exp": "1234567890",
"aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
"appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.chinacloudapi.cn/1114444b-7467-4144-a616-e3a5d63e147b/",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
"http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"uti": "IdP3SUJGtkGlt7dDQVRPAA",
"ver": "1.0"
},
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"description": "",
"eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"eventName": {
"value": "EndRequest",
"localizedValue": "End request"
},
"category": {
"value": "Policy",
"localizedValue": "Policy"
},
"eventTimestamp": "2019-01-15T13:19:56.1227642Z",
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
"level": "Warning",
"operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
"operationName": {
"value": "Microsoft.Authorization/policies/audit/action",
"localizedValue": "Microsoft.Authorization/policies/audit/action"
},
"resourceGroupName": "myResourceGroup",
"resourceProviderName": {
"value": "Microsoft.Sql",
"localizedValue": "Microsoft SQL"
},
"resourceType": {
"value": "Microsoft.Resources/checkPolicyCompliance",
"localizedValue": "Microsoft.Resources/checkPolicyCompliance"
},
"resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
"status": {
"value": "Succeeded",
"localizedValue": "Succeeded"
},
"subStatus": {
"value": "",
"localizedValue": ""
},
"submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
"subscriptionId": "<subscriptionID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "chinaeast2",
"ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
/policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
nmentParameters\":{}}]"
},
"relatedEvents": []
}
策略事件属性说明
| 元素名称 | Description |
|---|---|
| 授权 | 事件的 Azure RBAC 属性数组。 对于新资源,这是触发评估的请求的作和范围。 对于现有资源,该作为“Microsoft.Resources/checkPolicyCompliance/read”。 |
| 访客 | 对于新资源,启动部署的标识。 对于现有资源,Azure Policy Insights RP 的 GUID。 |
| 渠道 | 策略事件仅使用“作”通道。 |
| claims | Active Directory 使用 JWT 令牌来验证用户或应用程序,以在资源管理器中执行此操作。 |
| correlationId | 通常为字符串格式的 GUID。 共享 correlationId 的事件属于同一 uber 操作。 |
| 描述 | 对于策略事件,此字段为空。 |
| eventDataId | 事件的唯一标识符。 |
| eventName | “BeginRequest”或“EndRequest”。 “BeginRequest”用于延迟 auditIfNotExists 和 deployIfNotExists 评估,当 deployIfNotExists 效果启动模板部署时。 所有其他作返回“EndRequest”。 |
| 分类 | 将活动日志事件声明为属于“Policy”。 |
| eventTimestamp | 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。 |
| ID | 特定资源上事件的唯一标识符。 |
| 水平仪 | 事件的严重性级别。 审核使用“警告”,拒绝使用“错误”。 auditIfNotExists 或 deployIfNotExists 错误可能会根据严重性生成“警告”或“错误”。 所有其他策略事件都使用“信息”。 |
| operationId | 在对应于单个作的事件之间共享的 GUID。 |
| operationName | 作的名称,并直接关联到策略效果。 |
| resourceGroupName | 评估的资源的资源组的名称。 |
| resourceProviderName | 已评估资源的资源提供程序的名称。 |
| resourceType | 对于新资源,它是要评估的类型。 对于现有资源,返回“Microsoft.Resources/checkPolicyCompliance”。 |
| resourceId | 评估的资源的资源 ID。 |
| 状态 | 描述策略评估结果状态的字符串。 大多数策略评估返回“Succeeded”,但拒绝效果返回“Failed”。 auditIfNotExists 或 deployIfNotExists 中的错误也会返回“Failed”。 |
| subStatus | 对于策略事件,字段为空。 |
| submissionTimestamp | 事件可供查询的时间戳。 |
| 订阅编号 | Azure 订阅 ID。 |
| properties.isComplianceCheck | 部署新资源或更新现有资源的资源管理器属性时,返回“False”。 所有其他 评估触发器 都会导致“True”。 |
| properties.resourceLocation | 要评估的资源的 Azure 区域。 |
| properties.ancestors | 从直接父级到最远的祖父母排序的父管理组的逗号分隔列表。 |
| properties.policies | 包括有关此策略评估结果的策略定义、分配、效果和参数的详细信息。 |
| relatedEvents | 对于策略事件,此字段为空。 |
存储帐户和事件中心的架构
将 Azure 活动日志流式传输到存储帐户或事件中心时,数据将遵循 资源日志架构。 下表提供从上述架构到资源日志架构的属性映射。
| 资源日志架构属性 | 活动日志 REST API 架构属性 | 注释 |
|---|---|---|
| time | eventTimestamp | |
| resourceId | resourceId | subscriptionId、resourceType、resourceGroupName 都从 resourceId 推断。 |
| operationName | operationName.value | |
| 分类 | 作名称的一部分 | 始终为“管理” |
| resultType | status.value | |
| resultSignature | substatus.value | |
| resultDescription | 描述 | |
| durationMs | N/A | 始终为 0 |
| callerIpAddress | httpRequest.clientIpAddress | |
| correlationId | correlationId | |
| 标识 | 声明和授权属性 | |
| 级别 | 级别 | |
| 位置 | N/A | 处理事件的位置。 这不是资源的位置,而是处理事件的位置。 在将来的更新中将删除此属性。 |
| 属性 | properties.eventProperties | |
| properties.eventCategory | 分类 | 如果 properties.eventCategory 不存在,则类别为“管理” |
| properties.eventName | eventName | |
| properties.operationId | operationId | |
| properties.eventProperties | 属性 |
下面是使用此架构的事件示例:
{
"records": [
{
"time": "2019-01-21T22:14:26.9792776Z",
"resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
"operationName": "microsoft.support/supporttickets/write",
"category": "Write",
"resultType": "Success",
"resultSignature": "Succeeded.Created",
"durationMs": 2826,
"callerIpAddress": "111.111.111.11",
"correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
"identity": {
"authorization": {
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/ msftstorageaccount",
"action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
"evidence": {
"role": "Azure Eventhubs Service Role",
"roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
"roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
"roleDefinitionId": "123456789de042a6a64b29b123456789",
"principalId": "abcdef038c6444c18f1c31311fabcdef",
"principalType": "ServicePrincipal"
}
},
"claims": {
"aud": "https://management.core.chinacloudapi.cn/",
"iss": "https://sts.chinacloudapi.cn/abcde123-86f1-41af-91ab-abcde1234567/",
"iat": "1421876371",
"nbf": "1421876371",
"exp": "1421880271",
"ver": "1.0",
"http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
"http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
"puid": "20030000801A118C",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
"name": "John Smith",
"groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
"appid": "11112222-bbbb-3333-cccc-4444dddd5555",
"appidacr": "2",
"http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
"http://schemas.microsoft.com/claims/authnclassreference": "1"
}
},
"level": "Information",
"location": "global",
"properties": {
"statusCode": "Created",
"serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
}
}
]
}