Azure 活动日志中的条目,可用于深入了解 Azure 中发生的任何订阅级别或管理组级别事件。
| 属性 | 值 |
|---|---|
| 资源类型 | microsoft.aad/domainservices, microsoft.apimanagement/service, microsoft.appconfiguration/configurationstores, microsoft.network/applicationgateways, microsoft.servicenetworking/trafficcontrollers, microsoft.web/sites, microsoft.kubernetes/connectedclusters, microsoft.toolchainorchestrator/diagnostics, microsoft.attestation/attestationproviders, microsoft.cache/redis, microsoft.cdn/profiles, microsoft.hardwaresecuritymodules/cloudhsmclusters, microsoft.communication/communicationservices, microsoft.documentdb/databaseaccounts, microsoft.datacollaboration/workspaces, microsoft.digitaltwins/digitaltwinsinstances, microsoft.network/dnsresolverpolicies, microsoft.eventgrid/namespaces, microsoft.eventgrid/topics, microsoft.eventhub/namespaces, microsoft.network/azurefirewalls, microsoft.dashboard/grafana, microsoft.keyvault/vaults, microsoft.containerservice/managedclusters, microsoft.loadtestservice/loadtests, microsoft.managednetworkfabric/networkdevices, microsoft.documentdb/cassandraclusters, microsoft.network/loadbalancers, microsoft.networkcloud/baremetalmachines, microsoft.networkcloud/clustermanagers, microsoft.networkcloud/clusters, microsoft.networkcloud/storageappliances, microsoft.purview/accounts, microsoft.recoveryservices/vaults, microsoft.relay/namespaces, microsoft.servicebus/namespaces, microsoft.networkfunction/azuretrafficcollectors, microsoft.network/networkmanagers, microsoft.botservice/botservices, microsoft.chaos/experiments, microsoft.cognitiveservices/accounts, microsoft.connectedcache/cachenodes, microsoft.connectedvehicle/platformaccounts, microsoft.network/networkwatchers/connectionmonitors, microsoft.app/managedenvironments, microsoft.d365customerinsights/instances, microsoft.databricks/workspaces, microsoft.dbformysql/flexibleservers, microsoft.dbforpostgresql/flexibleservers, microsoft.dbforpostgresql/servergroupsv2, microsoft.devcenter/devcenters, microsoft.devopsinfrastructure/pools, microsoft.experimentation/experimentworkspaces, microsoft.hdinsight/clusters, microsoft.compute/virtualmachines, microsoft.logic/integrationaccounts, microsoft.machinelearningservices/workspaces, microsoft.machinelearningservices/registries, microsoft.media/mediaservices, microsoft.azureplaywrightservice/accounts, microsoft.graph/tenants, microsoft.networkanalytics/dataproducts, microsoft.storage/storageaccounts, microsoft.storagecache/amlfilesytems, microsoft.storagemover/storagemovers, microsoft.synapse/workspaces, microsoft.desktopvirtualization/hostpools, default, subscription, resourcegroup, microsoft.signalrservice/webpubsub, microsoft.insights/components, microsoft.desktopvirtualization/applicationgroups, microsoft.desktopvirtualization/workspaces, microsoft.timeseriesinsights/environments, microsoft.workloadmonitor/monitors, microsoft.analysisservices/servers, microsoft.batch/batchaccounts, microsoft.appplatform/spring, microsoft.signalrservice/signalr, microsoft.containerregistry/registries, microsoft.kusto/clusters, microsoft.blockchain/blockchainmembers, microsoft.eventgrid/domains, microsoft.eventgrid/partnernamespaces, microsoft.eventgrid/partnertopics, microsoft.eventgrid/systemtopics, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets, microsoft.hybridcontainerservice/provisionedclusters, microsoft.insights/autoscalesettings, microsoft.devices/iothubs, microsoft.servicefabric/clusters, microsoft.logic/workflows, microsoft.automation/automationaccounts, microsoft.datafactory/factories, microsoft.datalakestore/accounts, microsoft.datalakeanalytics/accounts, microsoft.powerbidedicated/capacities, microsoft.datashare/accounts, microsoft.sql/managedinstances, microsoft.sql/servers, microsoft.sql/servers/databases, microsoft.dbformysql/servers, microsoft.dbforpostgresql/servers, microsoft.dbforpostgresql/serversv2, microsoft.dbformariadb/servers, microsoft.devices/provisioningservices, microsoft.network/expressroutecircuits, microsoft.network/frontdoors, microsoft.network/networkinterfaces, microsoft.network/networksecuritygroups, microsoft.network/publicipaddresses, microsoft.network/trafficmanagerprofiles, microsoft.network/virtualnetworkgateways, microsoft.network/vpngateways, microsoft.network/virtualnetworks, microsoft.search/searchservices, microsoft.streamanalytics/streamingjobs, microsoft.network/bastionhosts, microsoft.healthcareapis/services |
| 类别 | Azure 资源、审核、安全性 |
| 解决方案 | LogManagement |
| 基本日志 | 否 |
| 引入时转换 | 否 |
| 示例查询 | 是 |
| 列 | 类型 | 描述 |
|---|---|---|
| ActivityStatus | string | |
| ActivityStatusValue | string | 以方便显示的格式显示操作状态。 常见值包括:Started、In Progress、Succeeded、Failed、Active、Resolved。 |
| ActivitySubstatus | string | |
| ActivitySubstatusValue | string | 以方便显示的格式显示操作的子状态。 例如:OK(HTTP 状态代码:200)。 |
| 授权 | string | 包含事件的 RBAC 属性的 Blob。 通常包括“action”、“role”和“scope”属性。 以字符串形式存储。 今后应优先使用 Authorization_d。 |
| Authorization_d | 动态 | 包含事件的 RBAC 属性的 Blob。 通常包括“action”、“role”和“scope”属性。 存储为动态列。 |
| _BilledSize | real | 记录大小(字节) |
| 调用方 | string | 调用方的 GUID。 |
| CallerIpAddress | string | 根据可用性执行了 UPN 声明或 SPN 声明操作的用户的 IP 地址。 |
| 类别 | string | |
| CategoryValue | string | 活动日志的类别,如管理、策略、安全性。 |
| 申请 | string | Active Directory 使用 JWT 令牌来验证用户或应用程序,以在资源管理器中执行此操作。 今后应优先使用 claims_d。 |
| Claims_d | 动态 | Active Directory 使用 JWT 令牌来验证用户或应用程序,以在资源管理器中执行此操作。 |
| CorrelationId | string | 通常为字符串格式的 GUID。 共享 correlationId 的事件属于同一 uber 操作。 |
| EventDataId | string | 事件的唯一标识符。 |
| EventSubmissionTimestamp | datetime | 事件可供查询的时间戳。 |
| 层次结构 | string | 事件所属管理组或订阅的管理组层次结构。 |
| HTTPRequest | string | 描述 Http 请求的 Blob。 通常包括“clientRequestId”、“clientIpAddress”和“method”(HTTP 方法。例如 PUT)。 |
| _IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 级别 | string | 事件的级别。 以下值之一:Critical、Error、Warning、Informational 和 Verbose。 |
| OperationId | string | 操作的 GUID |
| OperationName | string | |
| OperationNameValue | string | 操作的标识符,例如 Microsoft.Storage/storageAccounts/listAccountSas/action。 |
| 属性 | string | 描述事件详细信息的“键值”<>对集合(即字典)。 以字符串形式存储。 建议改为使用 Properties_d。 |
| Properties_d | 动态 | 描述事件详细信息的“键值”<>对集合(即字典)。 存储为动态列。 |
| 资源 | string | |
| ResourceGroup | string | 受影响资源的资源组名称。 |
| ResourceId | string | |
| _ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
| ResourceProvider | string | |
| ResourceProviderValue | string | 受影响资源的资源提供程序的 ID - 例如 Microsoft.Storage。 |
| SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| SubscriptionId | string | 受影响资源的订阅 ID。 |
| _SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
| TenantId | string | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 处理与事件对应的请求的 Azure 服务生成事件时的时间戳。 |
| 类型 | 字符串 | 表的名称 |