AzureActivity

Einträge aus dem Azure-Aktivitätsprotokoll, das Erkenntnisse zu Ereignissen auf Abonnement- oder Verwaltungsgruppenebene bietet, die in Azure aufgetreten sind.

Tabellenattribute

attribute Wert
Ressourcentypen microsoft.aad/domainservices,
microsoft.apimanagement/service,
microsoft.appconfiguration/configurationstores,
microsoft.network/applicationgateways,
microsoft.servicenetworking/trafficcontrollers,
microsoft.web/sites,
microsoft.kubernetes/connectedclusters,
microsoft.toolchainorchestrator/diagnostics,
microsoft.attestation/attestationproviders,
microsoft.cache/redis,
microsoft.cdn/profiles,
microsoft.hardwaresecuritymodules/cloudhsmclusters,
microsoft.communication/communicationservices,
microsoft.documentdb/databaseaccounts,
microsoft.datacollaboration/workspaces,
microsoft.digitaltwins/digitaltwinsinstances,
microsoft.network/dnsresolverpolicies,
microsoft.eventgrid/namespaces,
microsoft.eventgrid/topics,
microsoft.eventhub/namespaces,
microsoft.network/azurefirewalls,
microsoft.dashboard/grafana,
microsoft.keyvault/vaults,
microsoft.containerservice/managedclusters,
microsoft.loadtestservice/loadtests,
microsoft.managednetworkfabric/networkdevices,
microsoft.documentdb/cassandraclusters,
microsoft.network/loadbalancers,
microsoft.networkcloud/baremetalmachines,
microsoft.networkcloud/clustermanagers,
microsoft.networkcloud/clusters,
microsoft.networkcloud/storageappliances,
microsoft.purview/accounts,
microsoft.recoveryservices/vaults,
microsoft.relay/namespaces,
microsoft.servicebus/namespaces,
microsoft.networkfunction/azuretrafficcollectors,
microsoft.network/networkmanagers,
microsoft.botservice/botservices,
microsoft.chaos/experiments,
microsoft.cognitiveservices/accounts,
microsoft.connectedcache/cachenodes,
microsoft.connectedvehicle/platformaccounts,
microsoft.network/networkwatchers/connectionmonitors,
microsoft.app/managedenvironments,
microsoft.d365customerinsights/instances,
microsoft.databricks/workspaces,
microsoft.dbformysql/flexibleservers,
microsoft.dbforpostgresql/flexibleservers,
microsoft.dbforpostgresql/servergroupsv2,
microsoft.devcenter/devcenters,
microsoft.devopsinfrastructure/pools,
microsoft.experimentation/experimentworkspaces,
microsoft.hdinsight/clusters,
microsoft.compute/virtualmachines,
microsoft.logic/integrationaccounts,
microsoft.machinelearningservices/workspaces,
microsoft.machinelearningservices/registries,
microsoft.media/mediaservices,
microsoft.azureplaywrightservice/accounts,
microsoft.graph/tenants,
microsoft.networkanalytics/dataproducts,
microsoft.storage/storageaccounts,
microsoft.storagecache/amlfilesytems,
microsoft.storagemover/storagemovers,
microsoft.synapse/workspaces,
microsoft.desktopvirtualization/hostpools,
Vorgabe
Abonnement
ressourcengruppe,
microsoft.signalrservice/webpubsub,
microsoft.insights/components,
microsoft.desktopvirtualization/applicationgroups,
microsoft.desktopvirtualization/workspaces,
microsoft.timeseriesinsights/environments,
microsoft.workloadmonitor/monitore,
microsoft.analysisservices/servers,
microsoft.batch/batchaccounts,
microsoft.appplatform/spring,
microsoft.signalrservice/signalr,
microsoft.containerregistry/registries,
microsoft.kusto/clusters,
microsoft.blockchain/blockchainmembers,
microsoft.eventgrid/domains,
microsoft.eventgrid/partnernamespaces,
microsoft.eventgrid/partnertopics,
microsoft.eventgrid/systemtopics,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets,
microsoft.hybridcontainerservice/provisionedclusters,
microsoft.insights/autoscalesettings,
microsoft.devices/iothubs,
microsoft.servicefabric/clusters,
microsoft.logic/workflows,
microsoft.automation/automationaccounts,
microsoft.datafactory/factories,
microsoft.datalakestore/accounts,
microsoft.datalakeanalytics/accounts,
microsoft.powerbidedicated/capacities,
microsoft.datashare/accounts,
microsoft.sql/managedinstances,
microsoft.sql/Server,
microsoft.sql/server/databases,
microsoft.dbformysql/servers,
microsoft.dbforpostgresql/servers,
microsoft.dbforpostgresql/serversv2,
microsoft.dbformariadb/servers,
microsoft.devices/provisioningservices,
microsoft.network/expressroutecircuits,
microsoft.network/frontdoors,
microsoft.network/networkinterfaces,
microsoft.network/networksecuritygroups,
microsoft.network/publicipaddresses,
microsoft.network/trafficmanagerprofiles,
microsoft.network/virtualnetworkgateways,
microsoft.network/vpngateways,
microsoft.network/virtualnetworks,
microsoft.search/searchservices,
microsoft.streamanalytics/streamingjobs,
microsoft.network/bastionhosts,
microsoft.healthcareapis/services
Kategorien Azure-Ressourcen, Überwachen, Sicherheit
Lösungen LogManagement
Standardprotokoll No
Erfassungszeittransformation No
Beispielabfragen Ja

Spalten

Spalte Type Beschreibung
ActivityStatus Zeichenfolge
ActivityStatusValue Zeichenfolge Status des Vorgangs im anzeigefreundlichen Format. Allgemeine Werte sind "Started", "In Progress", "Succeeded", "Failed", "Active", "Resolved".
ActivitySubstatus Zeichenfolge
ActivitySubstatusValue Zeichenfolge Unterstatus des Vorgangs im anzeigefreundlichen Format. Z.B. OK (HTTP-Statuscode: 200).
Autorisierung Zeichenfolge Blob mit RBAC-Eigenschaften des Ereignisses. Enthält in der Regel die Eigenschaften "action", "role" und "scope". Als Zeichenfolge gespeichert. Die Verwendung von Authorization_d sollte in Zukunft bevorzugt werden.
Authorization_d dynamisch Blob mit RBAC-Eigenschaften des Ereignisses. Enthält in der Regel die Eigenschaften "action", "role" und "scope". Als dynamische Spalte gespeichert.
_BilledSize real Die Datensatzgröße in Bytes.
Caller Zeichenfolge GUID des Aufrufers.
CallerIpAddress Zeichenfolge IP-Adresse des Benutzers, der die Operation durchgeführt hat UPN-Anspruch oder SPN-Anspruch je nach Verfügbarkeit.
Kategorie Zeichenfolge
CategoryValue Zeichenfolge Kategorie des Aktivitätsprotokolls z. B. Administrative, Richtlinie, Sicherheit.
Ansprüche Zeichenfolge Das JWT-Token, das von Active Directory zum Authentifizieren des Benutzers oder der Anwendung zur Ausführung dieses Vorgangs in Resource Manager verwendet wird. Die Verwendung von claims_d sollte in Zukunft bevorzugt werden.
Claims_d dynamisch Das JWT-Token, das von Active Directory zum Authentifizieren des Benutzers oder der Anwendung zur Ausführung dieses Vorgangs in Resource Manager verwendet wird.
CorrelationId Zeichenfolge Normalerweise eine GUID im Zeichenfolgenformat. Ereignisse, die über die gleiche correlationId verfügen, gehören zu derselben übergeordneten Aktion.
EventDataId Zeichenfolge Eindeutiger Bezeichner eines Ereignisses.
EventSubmissionTimestamp datetime Zeitstempel des Zeitpunkts, ab dem das Ereignis für Abfragen verfügbar war.
Hierarchie Zeichenfolge Verwaltungsgruppenhierarchie der Verwaltungsgruppe oder des Abonnements, zu der das Ereignis gehört.
HTTPRequest Zeichenfolge Blob, das die HTTP-Anforderung beschreibt. Enthält in der Regel die "clientRequestId", "clientIpAddress" und "method" (HTTP-Methode). Beispiel: PUT).
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
Ebene Zeichenfolge Ebene des Ereignisses. Einer der folgenden Werte: Kritisch, Fehler, Warnung, Informativ und Ausführlich.
OperationId Zeichenfolge GUID des Vorgangs
Vorgangsname Zeichenfolge
OperationNameValue Zeichenfolge Bezeichner des Vorgangs, z. B. Microsoft.Storage/storageAccounts/listAccountSas/action.
Eigenschaften Zeichenfolge Gruppe von <Schlüsselwertpaaren> (d. h. Wörterbuch), die die Details des Ereignisses beschreiben. Als Zeichenfolge gespeichert. Stattdessen wird die Verwendung von Properties_d empfohlen.
Properties_d dynamisch Gruppe von <Schlüsselwertpaaren> (d. h. Wörterbuch), die die Details des Ereignisses beschreiben. Als dynamische Spalte gespeichert.
Resource Zeichenfolge
ResourceGroup Zeichenfolge Ressourcengruppenname der betroffenen Ressource.
resourceId Zeichenfolge
_ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist.
ResourceProvider Zeichenfolge
ResourceProviderValue Zeichenfolge ID des Ressourcenanbieters für die betroffene Ressource – z. B. Microsoft.Storage.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
SubscriptionId Zeichenfolge Abonnement-ID der betroffenen Ressource.
_SubscriptionId Zeichenfolge Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist.
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Zeitstempel der Ereignisgenerierung durch den Azure-Dienst, der die zum Ereignis gehörende Anforderung verarbeitet hat.
type Zeichenfolge Der Name der Tabelle.