Azure 活动日志事件架构

Azure 活动日志提供对 Azure 中发生的任何订阅级事件的见解。 本文介绍每个活动日志类别和架构。

架构因访问日志的方式而异:

严重性级别

活动日志中的每个条目都具有严重性级别。 严重性级别可以具有以下值之一:

Severity Description
危急 需要系统管理员立即注意的事件。 可能指示应用程序或系统失败或停止响应。
错误 指示问题但不需要立即注意的事件。
警告 提供潜在问题的警告事件,尽管不是实际错误。 指示资源不处于理想状态,以后可能会降级为显示错误或关键事件。
信息或信息 将非关键信息传递给管理员的事件。 类似于一条说明,上面写着:“为你的信息”。

每个资源提供程序的开发人员选择其资源条目的严重性级别。 因此,根据应用程序的生成方式,实际严重性可能会有所不同。 例如,隔离中特定资源“关键”的项可能不如 Azure 应用程序中心的资源类型中的“错误”那么重要。 确定要发出警报的事件时,请务必考虑这一事实。

类别

活动日志中的每个事件都有下表中所述的特定类别。 有关从门户、PowerShell、CLI 和 REST API 访问活动日志时每个类别及其架构的详细信息,请参阅以下部分。 将 活动日志流式传输到存储或事件中心时,架构会有所不同。 本文最后一部分提供了属性与 资源日志架构 的映射。

类别 Description
行政 包含通过资源管理器执行的所有创建、更新、删除和作作的记录。 管理事件的示例包括 创建虚拟机删除网络安全组

使用资源管理器的用户或应用程序执行的每个作都建模为特定资源类型的作。 如果作类型为 “写入”、“ 删除”或 “作”,则会在“管理”类别中记录该作的开始和成功或失败记录。 管理事件还包括对订阅中 Azure 基于角色的访问控制所做的任何更改。
服务运行状况 包含 Azure 中发生的任何服务运行状况事件的记录。 中国北部的服务运行状况事件 SQL Azure 的示例正在经历停机

服务运行状况事件分为六个品种: 需要作辅助恢复事件维护信息安全性。 仅当订阅中的资源受该事件影响时,才会创建这些事件。
资源运行状况 包含 Azure 资源发生的任何资源运行状况事件的记录。 资源运行状况事件的示例是 虚拟机运行状况状态更改为不可用

资源运行状况事件可以表示四种运行状况之一: 可用不可用已降级未知。 此外,资源运行状况事件可归类为 平台启动 事件或 用户启动事件。
Alert 包含 Azure 警报的激活记录。 警报事件的示例是 在过去 5 分钟内,myVM 上的 CPU % 超过 80
Autoscale 包含基于订阅中定义的任何自动缩放设置与自动缩放引擎作相关的任何事件的记录。 自动缩放事件的示例是 自动缩放纵向扩展作失败
Recommendation 包含来自 Azure 顾问的建议事件。
Security 包含由 Microsoft Defender for Cloud 生成的任何警报的记录。 安全事件的一个示例是 执行可疑的双扩展文件
Policy 包含 Azure Policy 执行的所有效果作作的记录。 策略事件的示例包括 审核拒绝。 策略执行的每个作都建模为对资源执行的作。

注释

记录的架构表示一个常规结构,但不在所有数据源中严格执行。 Azure 资源管理器(ARM)等服务可以根据环境(例如国家云)和自定义字段发出其他字段。 因此,可能会遇到架构变体,尤其是在跨租户或区域引入日志时。

管理类别

此类别包含通过 Resource Manager 执行的所有创建、更新、删除和作作的记录。 在此类别中看到的事件类型示例包括“创建虚拟机”和“删除网络安全组”。 使用资源管理器的用户或应用程序执行的每个作都建模为特定资源类型的作。 如果作类型为“写入”、“删除”或“作”,则会在“管理”类别中记录该作的开始和成功或失败记录。 管理类别还包括对订阅中基于角色的访问控制所做的任何更改。

示例事件

{
    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/write",
        "scope": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG"
    },
    "caller": "rob@contoso.com",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.core.chinacloudapi.cn/",
        "iss": "https://sts.chinacloudapi.cn/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "_claim_names": "{\"groups\":\"src1\"}",
        "_claim_sources": "{\"src1\":{\"endpoint\":\"https://microsoftgraph.chinacloudapi.cn/1114444b-7467-4144-a616-e3a5d63e147b/users/f409edeb-4d29-44b5-9763-ee9348ad91bb/getMemberObjects\"}}",
        "http://schemas.microsoft.com/claims/authnclassreference": "1",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "http://schemas.microsoft.com/claims/authnmethodsreferences": "rsa,mfa",
        "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "appidacr": "2",
        "http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier": "10845a4d-ffa4-4b61-a3b4-e57b9b31cdb5",
        "e_exp": "262800",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Robertson",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "Rob",
        "ipaddr": "111.111.1.111",
        "name": "Rob Robertson",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "onprem_sid": "S-1-5-21-4837261184-168309720-1886587427-18514304",
        "puid": "18247BBD84827C6D",
        "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "rob@contoso.com",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "rob@contoso.com",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2018-01-29T20:42:31.3810679Z",
    "id": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636528553513810679",
    "level": "Informational",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Network/networkSecurityGroups/write",
        "localizedValue": "Microsoft.Network/networkSecurityGroups/write"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Network",
        "localizedValue": "Microsoft.Network"
    },
    "resourceType": {
        "value": "Microsoft.Network/networkSecurityGroups",
        "localizedValue": "Microsoft.Network/networkSecurityGroups"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourcegroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-01-29T20:42:50.0724829Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "statusCode": "Created",
        "serviceRequestId": "a4c11dbd-697e-47c5-9663-12362307157d",
        "responseBody": "",
        "requestbody": ""
    },
    "relatedEvents": []
}

属性说明

元素名称 Description
授权 事件的 Azure RBAC 属性的 Blob。 通常包括和actionrolescope属性。
访客 已根据可用性执行作、UPN 声明或 SPN 声明的用户的电子邮件地址。
渠道 以下值之一: AdminOperation
claims Active Directory 使用 JWT 令牌来验证用户或应用程序,以在资源管理器中执行此操作。
correlationId 通常为字符串格式的 GUID。 共享 correlationId 的事件属于同一 uber 操作。
描述 事件的静态文本说明。
eventDataId 事件的唯一标识符。
eventName 管理事件的友好名称。
分类 始终为 Administrative
httpRequest 描述 Http 请求的 Blob。 通常包括 clientRequestIdclientIpAddressmethod (HTTP 方法)。例如,PUT)。
水平仪 事件的严重性级别
resourceGroupName 受影响资源的资源组的名称。
resourceProviderName 受影响资源的资源提供程序的名称
resourceType 受管理事件影响的资源类型。
resourceId 受影响的资源的资源 ID。
operationId 在对应于单个作的事件之间共享的 GUID。
operationName 操作的名称。
属性 描述事件详细信息的 <Key, Value> 对集(即字典)。
状态 描述作状态的字符串。 一些常见值包括:Started、In Progress、Succeeded、Failed、Active、Resolved。
subStatus 通常,相应的 REST 调用的 HTTP 状态代码,但也可能包含描述子状态的其他字符串,例如以下常见值:OK(HTTP 状态代码:200)、已创建(HTTP 状态代码:201)、接受(HTTP 状态代码:202)、无内容(HTTP 状态代码:204)、错误请求(HTTP 状态代码:400)、找不到(HTTP 状态代码: 404)、冲突(HTTP 状态代码:409)、内部服务器错误(HTTP 状态代码:500)、服务不可用(HTTP 状态代码:503)、网关超时(HTTP 状态代码:504)。
eventTimestamp 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。
submissionTimestamp 事件可供查询的时间戳。
订阅编号 Azure 订阅 ID。

服务运行状况类别

此类别包含 Azure 中发生的任何服务运行状况事件的记录。 在此类别中看到的事件类型示例是“中国北部的 SQL Azure 正在经历停机”。服务运行状况事件分为五个品种:“作必需”、“事件”、“维护”、“信息”或“安全性”,仅当订阅中有一个受事件影响的资源时才会显示。

示例事件

{
  "channels": "Admin",
  "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
  "description": "Active: Network Infrastructure - UK South",
  "eventDataId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
  "eventName": {
      "value": null
  },
  "category": {
      "value": "ServiceHealth",
      "localizedValue": "Service Health"
  },
  "eventTimestamp": "2017-07-20T23:30:14.8022297Z",
  "id": "/subscriptions/<subscription ID>/events/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/ticks/636361902148022297",
  "level": "Warning",
  "operationName": {
      "value": "Microsoft.ServiceHealth/incident/action",
      "localizedValue": "Microsoft.ServiceHealth/incident/action"
  },
  "resourceProviderName": {
      "value": null
  },
  "resourceType": {
      "value": null,
      "localizedValue": ""
  },
  "resourceId": "/subscriptions/<subscription ID>",
  "status": {
      "value": "Active",
      "localizedValue": "Active"
  },
  "subStatus": {
      "value": null
  },
  "submissionTimestamp": "2017-07-20T23:30:34.7431946Z",
  "subscriptionId": "<subscription ID>",
  "properties": {
    "title": "Network Infrastructure - UK South",
    "service": "Service Fabric",
    "region": "UK South",
    "communication": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "incidentType": "Incident",
    "trackingId": "NA0F-BJG",
    "impactStartTime": "2017-07-20T21:41:00.0000000Z",
    "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"UK South\"}],\"ServiceName\":\"Service Fabric\"}]",
    "defaultLanguageTitle": "Network Infrastructure - UK South",
    "defaultLanguageContent": "Starting at approximately 21:41 UTC on 20 Jul 2017, a subset of customers in UK South may experience degraded performance, connectivity drops or timeouts when accessing their Azure resources hosted in this region. Engineers are investigating underlying Network Infrastructure issues in this region. Impacted services may include, but are not limited to App Services, Automation, Service Bus, Log Analytics, Key Vault, SQL Database, Service Fabric, Event Hubs, Stream Analytics, Azure Data Movement, API Management, and Azure Cognitive Search. Multiple engineering teams are engaged in multiple workflows to mitigate the impact. The next update will be provided in 60 minutes, or as events warrant.",
    "stage": "Active",
    "communicationId": "636361902146035247",
    "version": "0.1.1"
  }
}

有关属性中的值的文档,请参阅 服务运行状况通知 文章。

资源运行状况类别

此类别包含对 Azure 资源发生的资源运行状况事件的记录。 在此类别中看到的事件类型示例是“虚拟机运行状况已更改为不可用”。资源运行状况事件可以表示四种运行状况之一:可用、不可用、已降级和未知。 此外,资源运行状况事件可以归类为平台启动或用户启动。

以下情况下,资源运行状况事件记录在活动日志中:

  • 为资源提交批注,例如“ResourceDegraded”或“AccountClientThrottling”。
  • 已转换到“不正常”或“不正常”的资源。
  • 资源运行时间超过 15 分钟。

活动日志中未记录以下资源运行状况转换:

  • 转换为未知状态。
  • 如果出现:从未知状态转换:
    • 这是第一次转换。
    • 如果未知之前的状态与之后的新状态相同。 (例如,如果资源从“正常”转换为“未知”,然后转换回“正常”)。
    • 对于计算资源:当运行不正常时间小于 35 秒时,从“正常”转换为“不正常”的 VM,然后返回到“正常”。

示例事件

{
    "channels": "Admin, Operation",
    "correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
    "description": "",
    "eventDataId": "a80024e1-883d-37ur-8b01-7591a1befccb",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "ResourceHealth",
        "localizedValue": "Resource Health"
    },
    "eventTimestamp": "2018-09-04T15:33:43.65Z",
    "id": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>/events/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/ticks/636716720236500000",
    "level": "Critical",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Resourcehealth/healthevent/Activated/action",
        "localizedValue": "Health Event Activated"
    },
    "resourceGroupName": "<resource group>",
    "resourceProviderName": {
        "value": "Microsoft.Resourcehealth/healthevent/action",
        "localizedValue": "Microsoft.Resourcehealth/healthevent/action"
    },
    "resourceType": {
        "value": "Microsoft.Compute/virtualMachines",
        "localizedValue": "Microsoft.Compute/virtualMachines"
    },
    "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-09-04T15:36:24.2240867Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "stage": "Active",
        "title": "Virtual Machine health status changed to unavailable",
        "details": "Virtual machine has experienced an unexpected event",
        "healthStatus": "Unavailable",
        "healthEventType": "Downtime",
        "healthEventCause": "PlatformInitiated",
        "healthEventCategory": "Unplanned"
    },
    "relatedEvents": []
}

属性说明

元素名称 Description
渠道 始终 AdminOperation
correlationId 字符串格式的 GUID。
描述 警报事件的静态文本说明。
eventDataId 警报事件的唯一标识符。
分类 始终为 ResourceHealth
eventTimestamp 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。
水平仪 事件的严重性级别
operationId 在对应于单个作的事件之间共享的 GUID。
operationName 操作的名称。
resourceGroupName 包含资源的资源组的名称。
resourceProviderName 始终为 Microsoft.Resourcehealth/healthevent/action
resourceType 受资源运行状况事件影响的资源的类型。
resourceId 受影响资源的资源 ID 的名称。
状态 描述运行状况事件的状态的字符串。 值可以是:Active、Resolved、InProgress、Updated。
subStatus 警报通常为 null。
submissionTimestamp 事件可供查询的时间戳。
订阅编号 Azure 订阅 ID。
属性 描述事件详细信息的 <Key, Value> 对集(即字典)。
properties.title 描述资源运行状况的用户友好字符串。
properties.details 一个用户友好的字符串,描述有关事件的更多详细信息。
properties.currentHealthStatus 资源的当前运行状况。 以下值之一: AvailableUnavailableDegradedUnknown
properties.previousHealthStatus 资源的上一个运行状况。 以下值之一: AvailableUnavailableDegradedUnknown
properties.type 资源运行状况事件类型的说明。
properties.cause 有关资源运行状况事件原因的说明。 和 UserInitiatedPlatformInitiated.

警报类别

此类别包含经典 Azure 警报的所有激活记录。 在此类别中看到的事件类型示例是“myVM 上的 CPU % 在过去 5 分钟内超过 80 个”。各种 Azure 系统都有一个警报概念:可以定义某种规则,并在条件与该规则匹配时接收通知。 每当受支持的 Azure 警报类型“激活”或满足生成通知的条件时,激活记录也会推送到活动日志的此类别。

示例事件

{
  "caller": "Microsoft.Insights/alertRules",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/alertRules"
  },
  "correlationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "description": "'Disk read LessThan 100000 ([Count]) in the last 5 minutes' has been resolved for CloudService: myResourceGroup/Production/Event.BackgroundJobsWorker.razzle (myResourceGroup)",
  "eventDataId": "dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b",
  "eventName": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "category": {
    "value": "Alert",
    "localizedValue": "Alert"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle/events/dddd3d3d-ee4e-ff5f-aa6a-bbbbbb7b7b7b/ticks/636362258535221920",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "Microsoft.ClassicCompute",
    "localizedValue": "Microsoft.ClassicCompute"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/Event.BackgroundJobsWorker.razzle",
  "resourceType": {
    "value": "Microsoft.ClassicCompute/domainNames/slots/roles",
    "localizedValue": "Microsoft.ClassicCompute/domainNames/slots/roles"
  },
  "operationId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert/incidents/L3N1YnNjcmlwdGlvbnMvZGY2MDJjOWMtN2FhMC00MDdkLWE2ZmItZWIyMGM4YmQxMTkyL3Jlc291cmNlR3JvdXBzL0NzbUV2ZW50RE9HRk9PRC1XZXN0VVMvcHJvdmlkZXJzL21pY3Jvc29mdC5pbnNpZ2h0cy9hbGVydHJ1bGVzL215YWxlcnQwNjM2MzYyMjU4NTM1MjIxOTIw",
  "operationName": {
    "value": "Microsoft.Insights/AlertRules/Resolved/Action",
    "localizedValue": "Microsoft.Insights/AlertRules/Resolved/Action"
  },
  "properties": {
    "RuleUri": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/alertrules/myalert",
    "RuleName": "myalert",
    "RuleDescription": "",
    "Threshold": "100000",
    "WindowSizeInMinutes": "5",
    "Aggregation": "Average",
    "Operator": "LessThan",
    "MetricName": "Disk read",
    "MetricUnit": "Count"
  },
  "status": {
    "value": "Resolved",
    "localizedValue": "Resolved"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T09:24:13.522192Z",
  "submissionTimestamp": "2017-07-21T09:24:15.6578651Z",
  "subscriptionId": "<subscription ID>"
}

属性说明

元素名称 Description
访客 始终Microsoft.Insights/alertRules
渠道 始终 AdminOperation
claims 包含警报引擎的 SPN(服务主体名称)或资源类型的 JSON Blob。
correlationId 字符串格式的 GUID。
描述 警报事件的静态文本说明。
eventDataId 警报事件的唯一标识符。
分类 始终为 Alert
水平仪 事件的严重性级别
resourceGroupName 受影响资源的资源组的名称(如果是指标警报)。 对于其他警报类型,它是包含警报本身的资源组的名称。
resourceProviderName 受影响资源的资源提供程序的名称(如果是指标警报)。 对于其他警报类型,它是警报本身的资源提供程序的名称。
resourceId 受影响资源的资源 ID 的名称(如果是指标警报)。 对于其他警报类型,它是警报资源本身的资源 ID。
operationId 在对应于单个作的事件之间共享的 GUID。
operationName 操作的名称。
属性 描述事件详细信息的 <Key, Value> 对集(即字典)。
状态 描述作状态的字符串。 一些常见值包括:Started、In Progress、Succeeded、Failed、Active、Resolved。
subStatus 警报通常为 null。
eventTimestamp 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。
submissionTimestamp 事件可供查询的时间戳。
订阅编号 Azure 订阅 ID。

每个警报类型的属性字段

属性字段包含不同的值,具体取决于警报事件的源。 两个常见的警报事件提供程序是活动日志警报和指标警报。

活动日志警报的属性

元素名称 Description
properties.subscriptionId 导致激活此活动日志警报规则的活动日志事件中的订阅 ID。
properties.eventDataId 导致激活此活动日志警报规则的活动日志事件的事件数据 ID。
properties.resourceGroup 活动日志事件中的资源组,导致激活此活动日志警报规则。
properties.resourceId 导致激活此活动日志警报规则的活动日志事件中的资源 ID。
properties.eventTimestamp 导致激活此活动日志警报规则的活动日志事件的事件时间戳。
properties.operationName 导致激活此活动日志警报规则的活动日志事件中的作名称。
properties.status 导致激活此活动日志警报规则的活动日志事件的状态。

指标警报的属性

元素名称 Description
性能。RuleUri 指标警报规则本身的资源 ID。
性能。RuleName 指标警报规则的名称。
性能。RuleDescription 指标警报规则的说明(如警报规则中定义)。
性能。门槛 指标警报规则评估中使用的阈值。
性能。WindowSizeInMinutes 指标警报规则评估中使用的窗口大小。
性能。集合体 指标警报规则中定义的聚合类型。
性能。算子 指标警报规则评估中使用的条件运算符。
性能。MetricName 指标警报规则评估中使用的指标的指标名称。
性能。MetricUnit 指标警报规则评估中使用的指标单位。

自动缩放类别

此类别包含与自动缩放引擎作相关的任何事件的记录,这些事件基于订阅中定义的任何自动缩放设置。 在此类别中看到的事件类型示例是“自动缩放纵向扩展作失败”。使用自动缩放,可以使用自动缩放设置根据一天的时间和/或加载(指标)数据自动横向扩展或缩减受支持资源类型中的实例数。 满足纵向扩展或缩减条件时,将在此类别中记录开始和成功或失败的事件。

示例事件

{
  "caller": "Microsoft.Insights/autoscaleSettings",
  "channels": "Admin, Operation",
  "claims": {
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/autoscaleSettings"
  },
  "correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
  "eventDataId": "eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c",
  "eventName": {
    "value": "AutoscaleAction",
    "localizedValue": "AutoscaleAction"
  },
  "category": {
    "value": "Autoscale",
    "localizedValue": "Autoscale"
  },
  "id": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup/events/eeee4efe-ff5f-aa6a-bb7b-cccccc8c8c8c/ticks/636361956518681572",
  "level": "Informational",
  "resourceGroupName": "myResourceGroup",
  "resourceProviderName": {
    "value": "microsoft.insights",
    "localizedValue": "microsoft.insights"
  },
  "resourceId": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/microsoft.insights/autoscalesettings/myResourceGroup-Production-myResource-myResourceGroup",
  "resourceType": {
    "value": "microsoft.insights/autoscalesettings",
    "localizedValue": "microsoft.insights/autoscalesettings"
  },
  "operationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
  "operationName": {
    "value": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action",
    "localizedValue": "Microsoft.Insights/AutoscaleSettings/Scaledown/Action"
  },
  "properties": {
    "Description": "The autoscale engine attempting to scale resource '/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource' from 3 instances count to 2 instances count.",
    "ResourceName": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.ClassicCompute/domainNames/myResourceGroup/slots/Production/roles/myResource",
    "OldInstancesCount": "3",
    "NewInstancesCount": "2",
    "LastScaleActionTime": "Fri, 21 Jul 2017 01:00:51 GMT"
  },
  "status": {
    "value": "Succeeded",
    "localizedValue": "Succeeded"
  },
  "subStatus": {
    "value": null
  },
  "eventTimestamp": "2017-07-21T01:00:51.8681572Z",
  "submissionTimestamp": "2017-07-21T01:00:52.3008754Z",
  "subscriptionId": "<subscription ID>"
}

属性说明

元素名称 Description
访客 始终为 Microsoft.Insights/autoscaleSettings
渠道 始终 AdminOperation
claims 具有 SPN(服务主体名称)或资源类型的自动缩放引擎的 JSON Blob。
correlationId 字符串格式的 GUID。
描述 自动缩放事件的静态文本说明。
eventDataId 自动缩放事件的唯一标识符。
水平仪 事件的严重性级别
resourceGroupName 自动缩放设置的资源组的名称。
resourceProviderName 自动缩放设置的资源提供程序的名称。
resourceId 自动缩放设置的资源 ID。
operationId 在对应于单个作的事件之间共享的 GUID。
operationName 操作的名称。
属性 描述事件详细信息的 <Key, Value> 对集(即字典)。
性能。描述 自动缩放引擎正在执行的作的详细说明。
性能。ResourceName 受影响资源的资源 ID(执行缩放作的资源)
性能。OldInstancesCount 自动缩放作生效前的实例数。
性能。NewInstancesCount 自动缩放作生效后的实例数。
性能。LastScaleActionTime 自动缩放作发生时的时间戳。
状态 描述作状态的字符串。 一些常见值包括:Started、In Progress、Succeeded、Failed、Active、Resolved。
subStatus 对于自动缩放,通常为 null。
eventTimestamp 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。
submissionTimestamp 事件可供查询的时间戳。
订阅编号 Azure 订阅 ID。

安全类别

此类别包含 Microsoft Defender for Cloud 生成的任何警报的记录。 在此类别中看到的事件类型示例是“执行可疑的双扩展文件”。

示例事件

{
    "channels": "Operation",
    "correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "description": "Suspicious double extension file executed. Machine logs indicate an execution of a process with a suspicious double extension.\r\nThis extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system.",
    "eventDataId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "eventName": {
        "value": "Suspicious double extension file executed",
        "localizedValue": "Suspicious double extension file executed"
    },
    "category": {
        "value": "Security",
        "localizedValue": "Security"
    },
    "eventTimestamp": "2017-10-18T06:02:18.6179339Z",
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/chinaeast/alerts/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/events/eeee4444-ff55-6666-77aa-888888bbbbbb/ticks/636439033386179339",
    "level": "Informational",
    "operationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
    "operationName": {
        "value": "Microsoft.Security/locations/alerts/activate/action",
        "localizedValue": "Microsoft.Security/locations/alerts/activate/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Security",
        "localizedValue": "Microsoft.Security"
    },
    "resourceType": {
        "value": "Microsoft.Security/locations/alerts",
        "localizedValue": "Microsoft.Security/locations/alerts"
    },
    "resourceId": "/subscriptions/<subscription ID>/providers/Microsoft.Security/locations/chinaeast/alerts/2518939942613820660_a48f8653-3fc6-4166-9f19-914f030a13d3",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": null
    },
    "submissionTimestamp": "2017-10-18T06:02:52.2176969Z",
    "subscriptionId": "<subscription ID>",
    "properties": {
        "accountLogonId": "0x2r4",
        "commandLine": "c:\\mydirectory\\doubleetension.pdf.exe",
        "domainName": "hpc",
        "parentProcess": "unknown",
        "parentProcess id": "0",
        "processId": "6988",
        "processName": "c:\\mydirectory\\doubleetension.pdf.exe",
        "userName": "myUser",
        "UserSID": "S-3-2-12",
        "ActionTaken": "Detected",
        "Severity": "High"
    },
    "relatedEvents": []
}

属性说明

元素名称 Description
渠道 始终为 Operation
correlationId 字符串格式的 GUID。
描述 安全事件的静态文本说明。
eventDataId 安全事件的唯一标识符。
eventName 安全事件的友好名称。
分类 始终为 Security
ID 安全事件的唯一资源标识符。
水平仪 事件的严重性级别
resourceGroupName 资源的资源组的名称。
resourceProviderName Microsoft Defender for Cloud 的资源提供程序的名称。 始终为 Microsoft.Security
resourceType 生成安全事件的资源类型,例如 Microsoft.Security/locations/alerts
resourceId 安全警报的资源 ID。
operationId 在对应于单个作的事件之间共享的 GUID。
operationName 操作的名称。
属性 描述事件详细信息的 <Key, Value> 对集(即字典)。 这些属性因安全警报类型而异。 有关来自 Defender for Cloud 的警报类型的说明,请参阅 此页面
性能。严厉 严重性级别。 可能的值为 HighMediumLow
状态 描述作状态的字符串。 一些常见值包括:Started、、In ProgressSucceededFailedActiveResolved
subStatus 安全事件通常为 null。
eventTimestamp 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。
submissionTimestamp 事件可供查询的时间戳。
订阅编号 Azure 订阅 ID。

建议类别

此类别包含为服务生成的任何新建议的记录。 建议的一个示例是“使用可用性集来提高容错能力”。可以生成四种类型的建议事件:高可用性、性能、安全性和成本优化。

示例事件

{
    "channels": "Operation",
    "correlationId": "ffff5555-aa66-7777-88bb-999999cccccc",
    "description": "The action was successful.",
    "eventDataId": "aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Recommendation",
        "localizedValue": "Recommendation"
    },
    "eventTimestamp": "2018-06-07T21:30:42.976919Z",
    "id": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM/events/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e/ticks/636640038429769190",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Advisor/generateRecommendations/action",
        "localizedValue": "Microsoft.Advisor/generateRecommendations/action"
    },
    "resourceGroupName": "MYRESOURCEGROUP",
    "resourceProviderName": {
        "value": "MICROSOFT.COMPUTE",
        "localizedValue": "MICROSOFT.COMPUTE"
    },
    "resourceType": {
        "value": "MICROSOFT.COMPUTE/virtualmachines",
        "localizedValue": "MICROSOFT.COMPUTE/virtualmachines"
    },
    "resourceId": "/SUBSCRIPTIONS/<Subscription ID>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MYVM",
    "status": {
        "value": "Active",
        "localizedValue": "Active"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2018-06-07T21:30:42.976919Z",
    "subscriptionId": "<Subscription ID>",
    "properties": {
        "recommendationSchemaVersion": "1.0",
        "recommendationCategory": "Security",
        "recommendationImpact": "High",
        "recommendationRisk": "None"
    },
    "relatedEvents": []
}

属性说明

元素名称 Description
渠道 始终为 Operation
correlationId 字符串格式的 GUID。
描述 建议事件的静态文本说明
eventDataId 建议事件的唯一标识符。
分类 始终为 Recommendation
ID 建议事件的唯一资源标识符。
水平仪 事件的严重性级别
operationName 操作的名称。 始终为 Microsoft.Advisor/generateRecommendations/action
resourceGroupName 资源的资源组的名称。
resourceProviderName 此建议应用于的资源的资源提供程序的名称,例如“MICROSOFT。计算”
resourceType 此建议应用于的资源的资源类型的名称,例如 MICROSOFT.COMPUTE/virtualmachines
resourceId 建议应用于的资源的资源 ID
状态 始终为 Active
submissionTimestamp 事件可供查询的时间戳。
订阅编号 Azure 订阅 ID。
属性 描述建议详细信息的 <Key, Value> 对集(即字典)。
properties.recommendationSchemaVersion 活动日志条目中发布的建议属性的架构版本
properties.recommendationCategory 建议的类别。 可能的值为 High AvailabilityPerformanceSecurityCost
properties.recommendationImpact 建议的影响。 可能的值为 HighMediumLow
properties.recommendationRisk 建议的风险。 可能的值为 ErrorWarningNone

策略类别

此类别包含 Azure Policy 执行的所有效果作作的记录。 在此类别中看到的事件类型的示例包括 “审核 ”和 “拒绝”。 策略执行的每个作都建模为对资源执行的作。

示例策略事件

{
    "authorization": {
        "action": "Microsoft.Resources/checkPolicyCompliance/read",
        "scope": "/subscriptions/<subscriptionID>"
    },
    "caller": "33a68b9d-63ce-484c-a97e-94aef4c89648",
    "channels": "Operation",
    "claims": {
        "aud": "https://management.chinacloudapi.cn/",
        "iss": "https://sts.chinacloudapi.cn/1114444b-7467-4144-a616-e3a5d63e147b/",
        "iat": "1234567890",
        "nbf": "1234567890",
        "exp": "1234567890",
        "aio": "A3GgTJdwK4vy7Fa7l6DgJC2mI0GX44tML385OpU1Q+z+jaPnFMwB",
        "appid": "1d78a85d-813d-46f0-b496-dd72f50a3ec0",
        "appidacr": "2",
        "http://schemas.microsoft.com/identity/claims/identityprovider": "https://sts.chinacloudapi.cn/1114444b-7467-4144-a616-e3a5d63e147b/",
        "http://schemas.microsoft.com/identity/claims/objectidentifier": "f409edeb-4d29-44b5-9763-ee9348ad91bb",
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "b-24Jf94A3FH2sHWVIFqO3-RSJEiv24Jnif3gj7s",
        "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "uti": "IdP3SUJGtkGlt7dDQVRPAA",
        "ver": "1.0"
    },
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "description": "",
    "eventDataId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "eventName": {
        "value": "EndRequest",
        "localizedValue": "End request"
    },
    "category": {
        "value": "Policy",
        "localizedValue": "Policy"
    },
    "eventTimestamp": "2019-01-15T13:19:56.1227642Z",
    "id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy/events/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/ticks/636831551961227642",
    "level": "Warning",
    "operationId": "04e575f8-48d0-4c43-a8b3-78c4eb01d287",
    "operationName": {
        "value": "Microsoft.Authorization/policies/audit/action",
        "localizedValue": "Microsoft.Authorization/policies/audit/action"
    },
    "resourceGroupName": "myResourceGroup",
    "resourceProviderName": {
        "value": "Microsoft.Sql",
        "localizedValue": "Microsoft SQL"
    },
    "resourceType": {
        "value": "Microsoft.Resources/checkPolicyCompliance",
        "localizedValue": "Microsoft.Resources/checkPolicyCompliance"
    },
    "resourceId": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/contososqlpolicy",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-01-15T13:20:17.1077672Z",
    "subscriptionId": "<subscriptionID>",
    "properties": {
        "isComplianceCheck": "True",
        "resourceLocation": "chinaeast2",
        "ancestors": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "policies": "[{\"policyDefinitionId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.
            Authorization/policyDefinitions/5775cdd5-d3d3-47bf-bc55-bb8b61746506/\",\"policyDefiniti
            onName\":\"5775cdd5-d3d3-47bf-bc55-bb8b61746506\",\"policyDefinitionEffect\":\"Deny\",\"
            policyAssignmentId\":\"/subscriptions/<subscriptionID>/providers/Microsoft.Authorization
            /policyAssignments/991a69402a6c484cb0f9b673/\",\"policyAssignmentName\":\"991a69402a6c48
            4cb0f9b673\",\"policyAssignmentScope\":\"/subscriptions/<subscriptionID>\",\"policyAssig
            nmentParameters\":{}}]"
    },
    "relatedEvents": []
}

策略事件属性说明

元素名称 Description
授权 事件的 Azure RBAC 属性数组。 对于新资源,这是触发评估的请求的作和范围。 对于现有资源,该作为“Microsoft.Resources/checkPolicyCompliance/read”。
访客 对于新资源,启动部署的标识。 对于现有资源,Azure Policy Insights RP 的 GUID。
渠道 策略事件仅使用“作”通道。
claims Active Directory 使用 JWT 令牌来验证用户或应用程序,以在资源管理器中执行此操作。
correlationId 通常为字符串格式的 GUID。 共享 correlationId 的事件属于同一 uber 操作。
描述 对于策略事件,此字段为空。
eventDataId 事件的唯一标识符。
eventName “BeginRequest”或“EndRequest”。 “BeginRequest”用于延迟 auditIfNotExists 和 deployIfNotExists 评估,当 deployIfNotExists 效果启动模板部署时。 所有其他作返回“EndRequest”。
分类 将活动日志事件声明为属于“Policy”。
eventTimestamp 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。
ID 特定资源上事件的唯一标识符。
水平仪 事件的严重性级别。 审核使用“警告”,拒绝使用“错误”。 auditIfNotExists 或 deployIfNotExists 错误可能会根据严重性生成“警告”或“错误”。 所有其他策略事件都使用“信息”。
operationId 在对应于单个作的事件之间共享的 GUID。
operationName 作的名称,并直接关联到策略效果。
resourceGroupName 评估的资源的资源组的名称。
resourceProviderName 已评估资源的资源提供程序的名称。
resourceType 对于新资源,它是要评估的类型。 对于现有资源,返回“Microsoft.Resources/checkPolicyCompliance”。
resourceId 评估的资源的资源 ID。
状态 描述策略评估结果状态的字符串。 大多数策略评估返回“Succeeded”,但拒绝效果返回“Failed”。 auditIfNotExists 或 deployIfNotExists 中的错误也会返回“Failed”。
subStatus 对于策略事件,字段为空。
submissionTimestamp 事件可供查询的时间戳。
订阅编号 Azure 订阅 ID。
properties.isComplianceCheck 部署新资源或更新现有资源的资源管理器属性时,返回“False”。 所有其他 评估触发器 都会导致“True”。
properties.resourceLocation 要评估的资源的 Azure 区域。
properties.ancestors 从直接父级到最远的祖父母排序的父管理组的逗号分隔列表。
properties.policies 包括有关此策略评估结果的策略定义、分配、效果和参数的详细信息。
relatedEvents 对于策略事件,此字段为空。

存储帐户和事件中心的架构

将 Azure 活动日志流式传输到存储帐户或事件中心时,数据将遵循 资源日志架构。 下表提供从上述架构到资源日志架构的属性映射。

资源日志架构属性 活动日志 REST API 架构属性 注释
time eventTimestamp
resourceId resourceId subscriptionId、resourceType、resourceGroupName 都从 resourceId 推断。
operationName operationName.value
分类 作名称的一部分 始终为“管理”
resultType status.value
resultSignature substatus.value
resultDescription 描述
durationMs N/A 始终为 0
callerIpAddress httpRequest.clientIpAddress
correlationId correlationId
标识 声明和授权属性
级别 级别
位置 N/A 处理事件的位置。 这不是资源的位置,而是处理事件的位置。 在将来的更新中将删除此属性。
属性 properties.eventProperties
properties.eventCategory 分类 如果 properties.eventCategory 不存在,则类别为“管理”
properties.eventName eventName
properties.operationId operationId
properties.eventProperties 属性

下面是使用此架构的事件示例:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/123456112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa6666-bb77-8888-99cc-000000dddddd",
            "identity": {
               "authorization": {
                   "scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/rg-001/providers/Microsoft.Storage/storageAccounts/       msftstorageaccount",
                   "action": "Microsoft.Storage/storageAccounts/listAccountSas/action",
                   "evidence": {
                       "role": "Azure Eventhubs Service Role",
                       "roleAssignmentScope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f",
                       "roleAssignmentId": "123abc2a6c314b0ab03a891259123abc",
                       "roleDefinitionId": "123456789de042a6a64b29b123456789",
                       "principalId": "abcdef038c6444c18f1c31311fabcdef",
                       "principalType": "ServicePrincipal"
                   }
               },
                "claims": {
                    "aud": "https://management.core.chinacloudapi.cn/",
                    "iss": "https://sts.chinacloudapi.cn/abcde123-86f1-41af-91ab-abcde1234567/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "123abc45-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9876543210DKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "12345678-cacfe77c-e058-4712-83qw-f9b08849fd60,12345678-4c41-4b23-99d2-d32ce7aa621c,12345678-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "11112222-bbbb-3333-cccc-4444dddd5555",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "12345678-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

后续步骤