Etkinlik günlüğü uyarılarını almak için web kancası yapılandırma
Eylem grubunun tanımının bir parçası olarak, web kancası uç noktalarını etkinlik günlüğü uyarı bildirimlerini alacak şekilde yapılandırabilirsiniz. Web kancalarıyla, bu bildirimleri işlem sonrası veya özel eylemler için diğer sistemlere yönlendirebilirsiniz. Bu makalede, web kancasına HTTP POST yükünün nasıl göründüğü gösterilmektedir.
Etkinlik günlüğü uyarıları hakkında daha fazla bilgi için bkz. Azure etkinlik günlüğü uyarıları oluşturma.
Eylem grupları hakkında bilgi için bkz . Eylem grupları oluşturma.
Not
Web kancası tümleştirmeleriniz için ortak uyarı şemasını da kullanabilirsiniz. Azure İzleyici'deki tüm uyarı hizmetlerinde tek bir genişletilebilir ve birleşik uyarı yüküne sahip olmanın avantajını sağlar. Ortak uyarı şeması hakkında bilgi edinin.
Web kancasının kimliğini doğrulama
Web kancası, kimlik doğrulaması için isteğe bağlı olarak belirteç tabanlı yetkilendirme kullanabilir. Web kancası URI'si belirteç kimliğiyle (örneğin, https://mysamplealert/webcallback?tokenid=sometokenid&someparameter=somevalue) kaydedilir.
Yük şeması
POST işleminde yer alan JSON yükü, yükün data.context.activityLog.eventSource alanına göre farklılık gösterir.
Not
Şu anda etkinlik günlüğü olayının parçası olan açıklama tetiklenen Alert Description özelliğe kopyalanır.
Etkinlik günlüğü yükünü 1 Nisan 2021 itibarıyla diğer uyarı türleriyle hizalamak için tetiklenen uyarı özelliği Description bunun yerine uyarı kuralı açıklamasını içerir.
Bu değişikliğe hazırlanırken, etkinlik günlüğü tetiklenen uyarısı için yeni bir özelliği Activity Log Event Descriptionoluşturduk. Bu yeni özellik, zaten kullanılabilir olan özelliğiyle Description doldurulur. Bu nedenle, yeni alan Activity Log Event Description etkinlik günlüğü olayının parçası olan açıklamayı içerir.
Uyarı kurallarınızı, eylem kurallarınızı, web kancalarınızı, mantıksal uygulamanızı veya tetiklenen uyarıdan Description özelliğini kullanıyor olabileceğiniz diğer yapılandırmaları gözden geçirin. Description özelliğini özelliğiyle Activity Log Event Description değiştirin.
Eylem kurallarınızdaki, web kancaları, mantıksal uygulama veya diğer yapılandırmalardaki durumunuz şu anda etkinlik günlüğü uyarılarının özelliğini temel alırsa Description , bunun yerine özelliği temel Activity Log Event Description alarak değiştirmeniz gerekebilir.
Yeni Description özelliği doldurmak için uyarı kuralı tanımına bir açıklama ekleyebilirsiniz.
Yaygın
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Operation",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventSource": "Administrative",
"eventTimestamp": "2017-03-29T15:43:08.0019532+00:00",
"eventDataId": "8195a56a-85de-4663-943e-1a2bf401ad94",
"level": "Informational",
"operationName": "Microsoft.Insights/actionGroups/write",
"operationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"status": "Started",
"subStatus": "",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"submissionTimestamp": "2017-03-29T15:43:20.3863637+00:00",
...
}
},
"properties": {}
}
}
İdari
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"authorization": {
"action": "Microsoft.Insights/actionGroups/write",
"scope": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions"
},
"claims": "{...}",
"caller": "me@contoso.com",
"description": "",
"httpRequest": "{...}",
"resourceId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/CONTOSO-TEST/providers/Microsoft.Insights/actionGroups/IncidentActions",
"resourceGroupName": "CONTOSO-TEST",
"resourceProviderName": "Microsoft.Insights",
"resourceType": "Microsoft.Insights/actionGroups"
}
},
"properties": {}
}
}
Güvenlik
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"correlationId":"2518408115673929999",
"description":"Failed SSH brute force attack. Failed brute force attacks were detected from the following attackers: [\"IP Address: 01.02.03.04\"]. Attackers were trying to access the host with the following user names: [\"root\"].",
"eventSource":"Security",
"eventTimestamp":"2017-06-25T19:00:32.607+00:00",
"eventDataId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
"level":"Informational",
"operationName":"Microsoft.Security/locations/alerts/activate/action",
"operationId":"Sec-07f2-4d74-aaf0-03d2f53d5a33",
"properties":{
"attackers":"[\"IP Address: 01.02.03.04\"]",
"numberOfFailedAuthenticationAttemptsToHost":"456",
"accountsUsedOnFailedSignInToHostAttempts":"[\"root\"]",
"wasSSHSessionInitiated":"No","endTimeUTC":"06/25/2017 19:59:39",
"actionTaken":"Detected",
"resourceType":"Virtual Machine",
"severity":"Medium",
"compromisedEntity":"LinuxVM1",
"remediationSteps":"[In case this is an Azure virtual machine, add the source IP to NSG block list for 24 hours (see https://azure.microsoft.com/documentation/articles/virtual-networks-nsg/)]",
"attackedResourceType":"Virtual Machine"
},
"resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/Microsoft.Security/locations/centralus/alerts/Sec-07f2-4d74-aaf0-03d2f53d5a33",
"resourceGroupName":"contoso",
"resourceProviderName":"Microsoft.Security",
"status":"Active",
"subscriptionId":"12345-5645-123a-9867-123b45a6789",
"submissionTimestamp":"2017-06-25T20:23:04.9743772+00:00",
"resourceType":"MICROSOFT.SECURITY/LOCATIONS/ALERTS"
}
},
"properties":{}
}
}
Öneri
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{
"status":"Activated",
"context":{
"activityLog":{
"channels":"Operation",
"claims":"{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Microsoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"bbbb1111-cc22-3333-44dd-555555eeeeee",
"description":"A new recommendation is available.",
"eventSource":"Recommendation",
"eventTimestamp":"2017-06-29T13:52:33.2742943+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"1bf234ef-e45f-4567-8bba-fb9b0ee1dbcb",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"HighAvailability",
"recommendationImpact":"Medium",
"recommendationName":"Enable Soft Delete to protect your blob data",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azure_Expert/RecommendationListBlade/recommendationTypeId/12dbf883-5e4b-4f56-7da8-123b45c4b6e6",
"recommendationType":"12dbf883-5e4b-4f56-7da8-123b45c4b6e6"
},
"resourceId":"/subscriptions/12345-5645-123a-9867-123b45a6789/resourceGroups/contoso/providers/microsoft.storage/storageaccounts/contosoStore",
"resourceGroupName":"CONTOSO",
"resourceProviderName":"MICROSOFT.STORAGE",
"status":"Active",
"subStatus":"",
"subscriptionId":"12345-5645-123a-9867-123b45a6789",
"submissionTimestamp":"2017-06-29T13:52:33.2742943+00:00",
"resourceType":"MICROSOFT.STORAGE/STORAGEACCOUNTS"
}
},
"properties":{}
}
}
ServiceHealth
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Admin",
"correlationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"description": "Active: Virtual Machines - Australia East",
"eventSource": "ServiceHealth",
"eventTimestamp": "2017-10-18T23:49:25.3736084+00:00",
"eventDataId": "6fa98c0f-334a-b066-1934-1a4b3d929856",
"level": "Informational",
"operationName": "Microsoft.ServiceHealth/incident/action",
"operationId": "cccc2222-dd33-4444-55ee-666666ffffff",
"properties": {
"title": "Virtual Machines - Australia East",
"service": "Virtual Machines",
"region": "Australia East",
"communication": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
"incidentType": "Incident",
"trackingId": "0NIH-U2O",
"impactStartTime": "2017-10-18T02:48:00.0000000Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"Australia East\"}],\"ServiceName\":\"Virtual Machines\"}]",
"defaultLanguageTitle": "Virtual Machines - Australia East",
"defaultLanguageContent": "Starting at 02:48 UTC on 18 Oct 2017 you have been identified as a customer using Virtual Machines in Australia East who may receive errors starting Dv2 Promo and DSv2 Promo Virtual Machines which are in a stopped "deallocated" or suspended state. Customers can still provision Dv1 and Dv2 series Virtual Machines or try deploying Virtual Machines in other regions, as a possible workaround. Engineers have identified a possible fix for the underlying cause, and are exploring implementation options. The next update will be provided as events warrant.",
"stage": "Active",
"communicationId": "636439673646212912",
"version": "0.1.1"
},
"status": "Active",
"subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"submissionTimestamp": "2017-10-18T23:49:28.7864349+00:00"
}
},
"properties": {}
}
}
Hizmet durumu bildirimi etkinlik günlüğü uyarılarıyla ilgili belirli şema ayrıntıları için bkz. Hizmet durumu bildirimleri. Ayrıca, mevcut sorun yönetimi çözümlerinizle hizmet durumu web kancası bildirimlerini yapılandırmayı da öğrenebilirsiniz.
ResourceHealth
{
"schemaId": "Microsoft.Insights/activityLogs",
"data": {
"status": "Activated",
"context": {
"activityLog": {
"channels": "Admin, Operation",
"correlationId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
"eventSource": "ResourceHealth",
"eventTimestamp": "2018-09-04T23:09:03.343+00:00",
"eventDataId": "2b37e2d0-7bda-4de7-ur8c6-1447d02265b2",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "2b37e2d0-7bda-489f-81c6-1447d02265b2",
"properties": {
"title": "Virtual Machine health status changed to unavailable",
"details": "Virtual machine has experienced an unexpected event",
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "PlatformInitiated"
},
"resourceId": "/subscriptions/<subscription Id>/resourceGroups/<resource group>/providers/Microsoft.Compute/virtualMachines/<resource name>",
"resourceGroupName": "<resource group>",
"resourceProviderName": "Microsoft.Resourcehealth/healthevent/action",
"status": "Active",
"subscriptionId": "<subscription Id>",
"submissionTimestamp": "2018-09-04T23:11:06.1607287+00:00",
"resourceType": "Microsoft.Compute/virtualMachines"
}
}
}
}
| Öğe adı | Açıklama |
|---|---|
| durum | Ölçüm uyarıları için kullanılır. Etkinlik günlüğü uyarıları için her zaman olarak ayarlanır activated . |
| bağlam | Olayın bağlamı. |
| resourceProviderName | Etkilenen kaynağın kaynak sağlayıcısı. |
| conditionType | Her zaman Event. |
| Adı | Uyarı kuralının adı. |
| Kimlik | Uyarının kaynak kimliği. |
| açıklama | Uyarı oluşturulduğunda uyarı açıklaması ayarlanır. |
| subscriptionId | Azure abonelik kimliği. |
| timestamp | İsteği işleyen Azure hizmeti tarafından olayın oluşturulduğu saat. |
| resourceId | Etkilenen kaynağın kaynak kimliği. |
| resourceGroupName | Etkilenen kaynağın kaynak grubunun adı. |
| özellikler | <Key, Value> Olayla ilgili ayrıntıları içeren çiftler (yani) Dictionary<String, String>kümesi. |
| event | Olay hakkındaki meta verileri içeren öğe. |
| yetkilendirme | Olayın Azure rol tabanlı erişim denetimi özellikleri. Bu özellikler genellikle eylemi, rolü ve kapsamı içerir. |
| category | Olayın kategorisi. Desteklenen değerler , , Alert, SecurityServiceHealthve Recommendationdeğerlerini içerirAdministrative. |
| Ara -yan | Kullanılabilirliğe bağlı olarak işlemi, UPN talebi veya SPN talebi gerçekleştiren kullanıcının e-posta adresi. Bazı sistem çağrıları için null olabilir. |
| correlationId | Genellikle dize biçiminde bir GUID. ile olaylar correlationId aynı daha büyük eyleme aittir ve genellikle bir correlationIdpaylaşır. |
| eventDescription | Olayın statik metin açıklaması. |
| eventDataId | Olayın benzersiz tanımlayıcısı. |
| eventSource | Olayı oluşturan Azure hizmetinin veya altyapısının adı. |
| httpRequest | İstek genellikle , clientIpAddressve HTTP yöntemini (örneğin PUT) içerirclientRequestId. |
| düzey | Aşağıdaki değerlerden biri: Critical, Error, Warningve Informational. |
| operationId | Genellikle tek bir işleme karşılık gelen olaylar arasında paylaşılan bir GUID. |
| operationName | İşlemin adı. |
| özellikler | Olayın özellikleri. |
| durum | Dizgi. İşlemin durumu. Yaygın değerler , , In Progress, Succeeded, Failed, Activeve Resolveddeğerlerini içerirStarted. |
| subStatus | Genellikle ilgili REST çağrısının HTTP durum kodunu içerir. Ayrıca bir alt durumu açıklayan diğer dizeleri de içerebilir. Yaygın alt durum değerleri arasında (HTTP Durum Kodu: 200), Created (HTTP Durum Kodu: 201), Accepted (HTTP Durum Kodu: 202), No Content (HTTP Durum Kodu: 204), Bad Request (HTTP Durum Kodu: 400), Not Found (HTTP Durum Kodu: 404), Conflict (HTTP Durum Kodu: 409), Internal Server Error (HTTP Durum Kodu: 500), Service Unavailable (HTTP Durum Kodu: 503) ve Gateway Timeout (HTTP Durum Kodu: 504) bulunur OK . |
Diğer tüm etkinlik günlüğü uyarılarıyla ilgili belirli şema ayrıntıları için bkz . Azure etkinlik günlüğüne genel bakış.
Sonraki adımlar
- Etkinlik günlüğü hakkında daha fazla bilgi edinin.
- Azure uyarılarında Azure Otomasyonu betikleri (Runbook'lar) yürütün.
- Azure uyarısından Twilio aracılığıyla SMS göndermek için mantıksal uygulama kullanın. Bu örnek ölçüm uyarılarına yöneliktir, ancak etkinlik günlüğü uyarısıyla çalışacak şekilde değiştirilebilir.
- Azure uyarısından Slack iletisi göndermek için mantıksal uygulama kullanın. Bu örnek ölçüm uyarılarına yöneliktir, ancak etkinlik günlüğü uyarısıyla çalışacak şekilde değiştirilebilir.
- Azure uyarısından Azure kuyruğuna ileti göndermek için mantıksal uygulama kullanın. Bu örnek ölçüm uyarılarına yöneliktir, ancak etkinlik günlüğü uyarısıyla çalışacak şekilde değiştirilebilir.