Мониторы активности Azure Monitor не достигают концентратора событий

Question

Я создал аккаунт Free Tier Azure. У меня есть события в моем журнале активности монитора Azure (получение ключей пространства имен и т. Д.), И нажатие на эти события позволяет мне увидеть их JSON. Я выбрал «Экспорт в концентратор событий», выбрал «Все регионы», проверил «Экспорт в концентратор событий» и настроил пространство имен и имя политики. Политика - это общая корневая политика, для которой установлены флажки Управление, Отправить, Прослушать. Это автоматически создает концентратор событий «insights-operating-logs».

Я использую клиент Azure Golang (https://github.com/Azure/azure-event-hubs-go) для запроса этого концентратора событий, но я не вижу событий ActivityLog в клиенте. Я получаю диагностические журналы с категориями, такими как "Действие" и " Напишите "но не журналы, которые я вижу в мониторе ActivityLog с категориями, подобными" Административные ".

Чего мне не хватает? Почему эти события не доходят до моего клиента?

Answer 1

Оказывается, что журналы активности на самом деле видоизменяются перед отправкой в ​​концентратор событий.Существует небольшая ссылка на это в документации (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-export#activity-log-schema). Я ожидал, что журналы активности будут отправлены в концентратор событий, как они появляются на панели JSON монитора активности, но, похоже, это не так, как "Работает функция «Экспорт в концентратор событий». Журнал действий преобразуется в несколько меньших журналов «Действие», которые описывают каждый этап действия, т. Е. Был ли он «запущен», «успешно выполнен» или «не выполнен». Они вместе представляют одно действиеЖурнал, но схема отличается.