Sdílet prostřednictvím


Běžné schéma upozornění

Běžné schéma upozornění standardizuje spotřebu oznámení upozornění služby Azure Monitor. Historicky, protokol aktivit, metriky a upozornění prohledávání protokolů měly každá z nich vlastní e-mailové šablony a schémata webhooků. Společné schéma upozornění poskytuje jedno standardizované schéma pro všechna oznámení výstrah.

Použití standardizovaného schématu pomáhá minimalizovat počet integrací, což zjednodušuje proces správy a údržby integrací. Běžné schéma umožňuje širší možnosti využívání výstrah na webu Azure Portal i v mobilní aplikaci Azure.

Schéma běžných upozornění poskytuje konzistentní strukturu pro:

  • E-mailové šablony: Pomocí podrobné e-mailové šablony můžete na první pohled diagnostikovat problémy. Vložené odkazy na instanci upozornění na portálu a ovlivněný prostředek zajistí, že můžete rychle přejít na proces nápravy.
  • Struktura JSON: Pomocí konzistentní struktury JSON můžete vytvářet integrace pro všechny typy upozornění pomocí:
    • Azure Logic Apps
    • Azure Functions
    • Runbook Azure Automation

Poznámka:

  • Výstrahy vygenerované přehledy virtuálních počítačů nepodporují společné schéma.
  • Upozornění inteligentního zjišťování používají ve výchozím nastavení společné schéma. Pro upozornění inteligentního zjišťování nemusíte povolovat běžné schéma.

Struktura společného schématu

Běžné schéma obsahuje informace o ovlivněném prostředku a příčině výstrahy v těchto částech:

  • Základní informace: Standardizovaná pole používaná všemi typy výstrah, které popisují prostředek ovlivněný výstrahou a běžná metadata výstrah, jako je závažnost nebo popis.

    Pokud chcete směrovat instance upozornění na konkrétní týmy na základě kritérií, jako je skupina prostředků, můžete pomocí polí v části Základy poskytnout logiku směrování pro všechny typy upozornění. Týmy, které obdrží oznámení o upozornění, pak můžou pro šetření použít kontextová pole.

  • Kontext výstrahy: Pole, která se liší v závislosti na typu výstrahy. Kontextová pole výstrahy popisují příčinu výstrahy. Upozornění na metriku by například měla pole, jako je název metriky a hodnota metriky v kontextu upozornění. Výstraha protokolu aktivit by měla informace o události, která výstrahu vygenerovala.

  • Vlastní vlastnosti: Další informace, které nejsou zahrnuté do datové části výstrahy ve výchozím nastavení, mohou být zahrnuty do datové části výstrahy pomocí vlastních vlastností. Vlastní vlastnosti jsou dvojice Klíč:Hodnota , která může obsahovat všechny informace nakonfigurované v pravidle upozornění.

Ukázková datová část upozornění

{
  "schemaId": "azureMonitorCommonAlertSchema",
  "data": {
    "essentials": {
      "alertId": "/subscriptions/<subscription ID>/providers/Microsoft.AlertsManagement/alerts/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
      "alertRule": "WCUS-R2-Gen2",
      "severity": "Sev3",
      "signalType": "Metric",
      "monitorCondition": "Resolved",
      "monitoringService": "Platform",
      "alertTargetIDs": [
        "/subscriptions/<subscription ID>/resourcegroups/pipelinealertrg/providers/microsoft.compute/virtualmachines/wcus-r2-gen2"
      ],
      "configurationItems": [
        "wcus-r2-gen2"
      ],
      "originAlertId": "3f2d4487-b0fc-4125-8bd5-7ad17384221e_PipeLineAlertRG_microsoft.insights_metricAlerts_WCUS-R2-Gen2_-117781227",
      "firedDateTime": "2019-03-22T13:58:24.3713213Z",
      "resolvedDateTime": "2019-03-22T14:03:16.2246313Z",
      "description": "",
      "essentialsVersion": "1.0",
      "alertContextVersion": "1.0"
    },
    "alertContext": {
      "properties": null,
      "conditionType": "SingleResourceMultipleMetricCriteria",
      "condition": {
        "windowSize": "PT5M",
        "allOf": [
          {
            "metricName": "Percentage CPU",
            "metricNamespace": "Microsoft.Compute/virtualMachines",
            "operator": "GreaterThan",
            "threshold": "25",
            "timeAggregation": "Average",
            "dimensions": [
              {
                "name": "ResourceId",
                "value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
              }
            ],
            "metricValue": 7.727
          }
        ]
      }
    },
    "customProperties": {
      "Key1": "Value1",
      "Key2": "Value2"
    }
  }
}

Ukázkové výstrahy, které používají společné schéma, najdete v části Ukázkové datové části upozornění.

Pole Základy

Pole Popis
alertId Jedinečné ID prostředku, které identifikuje instanci výstrahy.
alertRule Název pravidla upozornění, které vygenerovalo instanci výstrahy.
Závažnost Závažnost výstrahy. Možné hodnoty jsou Sev0, Sev1, Sev2, Sev3 nebo Sev4.
signalType Identifikuje signál, na kterém bylo definováno pravidlo upozornění. Možné hodnoty jsou metrika, protokol nebo protokol aktivit.
MonitorCondition Když se aktivuje výstraha, nastaví se stav monitorování výstrahy na hodnotu Aktivováno. Pokud se základní podmínka, která způsobila, že výstraha aktivovala, vymaže, nastaví se podmínka monitorování na Hodnotu Vyřešeno.
monitoringService Monitorovací služba nebo řešení, které výstrahu vygenerovalo. Monitorovací služba určuje, která pole jsou v kontextu výstrahy.
alertTargetIDs Seznam ID Azure Resource Manageru, které jsou ovlivněné cíli výstrahy. Upozornění prohledávání protokolu definované v pracovním prostoru služby Log Analytics nebo instanci Application Insights je to příslušný pracovní prostor nebo aplikace.
configurationItems Seznam ovlivněných prostředků výstrahy
V některých případech se položky konfigurace můžou lišit od cílů upozornění. Například v upozorněních prohledávání protokolů nebo protokolů definovaných v pracovním prostoru služby Log Analytics jsou položky konfigurace skutečnými prostředky odesílajícími data, nikoli v pracovním prostoru.
  • V rozhraní API upozornění prohledávání protokolu (pravidla naplánovaných dotazů) v2021-08-01 configurationItem se hodnoty přijímají z explicitně definovaných dimenzí v této prioritě: _ResourceId, ResourceIdResource, Computer.
  • Ve starších verzích rozhraní API configurationItem upozornění prohledávání protokolu se hodnoty implicitně odvozují z výsledků v této prioritě: _ResourceId, ResourceId, Resource, Computer.
V systémech configurationItems ITSM se toto pole používá ke korelaci výstrah s prostředky v databázi správy konfigurace.
originAlertId ID instance výstrahy vygenerované službou monitorování, která ji generuje.
firedDateTime Datum a čas, kdy byla instance výstrahy aktivována ve standardu UTC (Coordinated Universal Time).
resolvedDateTime Datum a čas, kdy je podmínka monitorování instance výstrahy nastavená na Hodnotu Vyřešeno v UTC. Aktuálně platí jenom pro upozornění na metriky.
description Popis, jak je definováno v pravidle upozornění.
alertRuleID ID pravidla upozornění, které vygenerovalo instanci výstrahy.
resourceType Typ prostředku ovlivněný výstrahou.
resourceGroupName Název skupiny prostředků pro ovlivněný prostředek
essentialsVersion Číslo verze pro část Základy.
alertContextVersion Číslo verze oddílu alertContext .
investigationLink Odkaz na prozkoumání výstrahy ve službě Azure Monitor V současné době vyžaduje omezenou registraci ve verzi Preview.

Kontextová pole upozornění pro upozornění metrik

Pole Popis
vlastnosti (Volitelné.) Kolekce vlastností definovaných zákazníkem.
conditionType Typ podmínky vybrané pro pravidlo upozornění:
- statická prahová hodnota
– dynamická prahová hodnota
- webtest
condition
windowSize Časové období analyzované pravidlem upozornění.
allOf Označuje, že všechny podmínky definované v pravidle upozornění musí být splněny, aby se aktivovalo upozornění.
upozorněníSensitivity V pravidle upozornění s dynamickou prahovou hodnotou určuje, jak je pravidlo citlivé nebo kolik hodnoty se může odlišovat od horní nebo nižší prahové hodnoty.
selháníPeriods V pravidlu upozornění s dynamickou prahovou hodnotou je počet období vyhodnocení, která nesplňují prahovou hodnotu upozornění, která aktivují výstrahu. Můžete například označit, že se výstraha aktivuje, když 3 z posledních pěti období vyhodnocení nejsou v rámci prahových hodnot upozornění.
numberOfEvaluationPeriods Celkový počet vyhodnocení.
minFailingPeriodsToAlert Minimální počet vyhodnocení, která nesplňují podmínky pravidla upozornění.
ignoreDataBefore (Volitelné.) V pravidlu upozornění s dynamickou prahovou hodnotou je datum, ze kterého se prahová hodnota vypočítá. Tuto hodnotu použijte k označení, že pravidlo by nemělo vypočítat dynamickou prahovou hodnotu pomocí dat před zadaným datem.
metricName Název metriky monitorované pravidlem upozornění
metricNamespace Obor názvů metrik monitorované pravidlem upozornění.
operator Logický operátor pravidla upozornění.
threshold Prahová hodnota definovaná v pravidle upozornění. Pro pravidlo upozornění s dynamickou prahovou hodnotou je tato hodnota vypočítanou prahovou hodnotou.
timeAggregation Typ agregace pravidla upozornění.
dimensions Dimenze metriky, která výstrahu aktivovala.
name Název dimenze.
hodnota Hodnota dimenze.
metricValue Hodnota metriky v době, kdy porušila prahovou hodnotu.
webTestName Pokud je webtesttyp podmínky , název webového testu.
windowStartTime Počáteční čas vyhodnocení, ve kterém se výstraha aktivovala.
windowEndTime Koncový čas okna vyhodnocení, ve kterém se výstraha aktivovala.

Ukázkové upozornění na metriku se statickou prahovou hodnotou při monitorováníService = Platform

{
  "alertContext": {
      "properties": null,
      "conditionType": "SingleResourceMultipleMetricCriteria",
      "condition": {
        "windowSize": "PT5M",
        "allOf": [
          {
            "metricName": "Percentage CPU",
            "metricNamespace": "Microsoft.Compute/virtualMachines",
            "operator": "GreaterThan",
            "threshold": "25",
            "timeAggregation": "Average",
            "dimensions": [
              {
                "name": "ResourceId",
                "value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
              }
            ],
            "metricValue": 31.1105
          }
        ],
        "windowStartTime": "2019-03-22T13:40:03.064Z",
        "windowEndTime": "2019-03-22T13:45:03.064Z"
      }
    }
}

Ukázkové upozornění na metriku s dynamickou prahovou hodnotou při monitorováníService = Platform

{
  "alertContext": {
      "properties": null,
      "conditionType": "DynamicThresholdCriteria",
      "condition": {
        "windowSize": "PT5M",
        "allOf": [
          {
            "alertSensitivity": "High",
            "failingPeriods": {
              "numberOfEvaluationPeriods": 1,
              "minFailingPeriodsToAlert": 1
            },
            "ignoreDataBefore": null,
            "metricName": "Egress",
            "metricNamespace": "microsoft.storage/storageaccounts",
            "operator": "GreaterThan",
            "threshold": "47658",
            "timeAggregation": "Total",
            "dimensions": [],
            "metricValue": 50101
          }
        ],
        "windowStartTime": "2021-07-20T05:07:26.363Z",
        "windowEndTime": "2021-07-20T05:12:26.363Z"
      }
    }
}

Ukázkové upozornění na metriku pro testy dostupnosti při monitorováníService = Platform

{
  "alertContext": {
      "properties": null,
      "conditionType": "WebtestLocationAvailabilityCriteria",
      "condition": {
        "windowSize": "PT5M",
        "allOf": [
          {
            "metricName": "Failed Location",
            "metricNamespace": null,
            "operator": "GreaterThan",
            "threshold": "2",
            "timeAggregation": "Sum",
            "dimensions": [],
            "metricValue": 5,
            "webTestName": "myAvailabilityTest-myApplication"
          }
        ],
        "windowStartTime": "2019-03-22T13:40:03.064Z",
        "windowEndTime": "2019-03-22T13:45:03.064Z"
      }
    }
}

Kontextová pole upozornění pro upozornění prohledávání protokolu

Poznámka:

Když povolíte společné schéma, pole v datové části se resetují na běžná pole schématu. Upozornění prohledávání protokolů proto mají tato omezení týkající se běžného schématu:

  • Běžné schéma není podporováno pro upozornění prohledávání protokolů pomocí webhooků s vlastním předmětem e-mailu nebo datovou částí JSON, protože běžné schéma přepíše vlastní konfigurace.
  • Výstrahy používající běžné schéma mají horní limit velikosti 256 kB na výstrahu. Pokud datová část upozornění prohledávání protokolu obsahuje výsledky hledání, které způsobí, že upozornění překročí maximální velikost, výsledky hledání se nevloží do datové části upozornění prohledávání protokolu. Můžete zkontrolovat, jestli datová část obsahuje výsledky hledání s příznakem IncludedSearchResults . Pokud výsledky hledání nejsou zahrnuté, použijte LinkToFilteredSearchResultsAPI nebo LinkToSearchResultsAPI přistupujte k výsledkům dotazů pomocí rozhraní LOG Analytics API .
Pole Popis
SearchQuery Dotaz definovaný v pravidle upozornění.
SearchIntervalStartTimeUtc Čas zahájení vyhodnocení, ve kterém se výstraha aktivovala v UTC.
SearchIntervalEndTimeUtc Koncový čas okna vyhodnocení, ve kterém se výstraha aktivovala v UTC.
ResultCount Počet záznamů vrácených dotazem. Pro pravidla měření metriky počet nebo záznamy, které odpovídají konkrétní kombinaci dimenzí.
LinkToSearchResults Odkaz na výsledky hledání
LinkToFilteredSearchResultsUI V případě pravidel měření metrik je odkaz na výsledky hledání po jejich filtrování kombinacemi dimenzí.
LinkToSearchResultsAPI Odkaz na výsledky dotazu pomocí rozhraní LOG Analytics API.
LinkToFilteredSearchResultsAPI V případě pravidel měření metrik odkaz na výsledky hledání pomocí rozhraní LOG Analytics API po jejich filtrování pomocí kombinací dimenzí.
SearchIntervalDurationMin Celkový počet minut v intervalu hledání.
SearchIntervalInMin Celkový počet minut v intervalu hledání.
Prahová hodnota Prahová hodnota definovaná v pravidle upozornění.
Operátor Operátor definovaný v pravidle upozornění.
ApplicationID ID Application Insights, na kterém se výstraha aktivovala.
Dimenze Pro pravidla měření metriky dimenze metriky, na kterých byla výstraha aktivována.
name Název dimenze.
hodnota Hodnota dimenze.
SearchResults Kompletní výsledky hledání.
table Tabulka výsledků hledání.
name Název tabulky ve výsledcích hledání
sloupce Sloupce v tabulce.
name Název sloupce.
type Typ sloupce.
řádky Řádky v tabulce.
Zdroje dat Zdroje dat, na kterých se výstraha aktivovala.
RESOURCEID ID prostředku ovlivněné výstrahou.
V tabulkách Tabulky konceptů odpovědí zahrnuté v dotazu.
IncludedSearchResults Příznak označující, jestli datová část by měla obsahovat výsledky.
AlertType Typ výstrahy:
- Měření metriky
- Počet výsledků

Ukázkové upozornění prohledávání protokolu při monitorováníService = Log Analytics

{
  "alertContext": {
    "SearchQuery": "Perf | where ObjectName == \"Processor\" and CounterName == \"% Processor Time\" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), Computer",
    "SearchIntervalStartTimeUtc": "3/22/2019 1:36:31 PM",
    "SearchIntervalEndtimeUtc": "3/22/2019 1:51:31 PM",
    "ResultCount": 2,
    "LinkToSearchResults": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
    "LinkToFilteredSearchResultsUI": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
    "LinkToSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat&timespan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
    "LinkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat&timespan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
    "SeverityDescription": "Warning",
    "WorkspaceId": "12345a-1234b-123c-123d-12345678e",
    "SearchIntervalDurationMin": "15",
    "AffectedConfigurationItems": [
      "INC-Gen2Alert"
    ],
    "SearchIntervalInMinutes": "15",
    "Threshold": 10000,
    "Operator": "Less Than",
    "Dimensions": [
      {
        "name": "Computer",
        "value": "INC-Gen2Alert"
      }
    ],
    "SearchResults": {
      "tables": [
        {
          "name": "PrimaryResult",
          "columns": [
            {
              "name": "$table",
              "type": "string"
            },
            {
              "name": "Computer",
              "type": "string"
            },
            {
              "name": "TimeGenerated",
              "type": "datetime"
            }
          ],
          "rows": [
            [
              "Fabrikam",
              "33446677a",
              "2018-02-02T15:03:12.18Z"
            ],
            [
              "Contoso",
              "33445566b",
              "2018-02-02T15:16:53.932Z"
            ]
          ]
        }
      ],
      "dataSources": [
        {
          "resourceId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
          "tables": [
            "Heartbeat"
          ]
        }
      ]
    },
    "IncludedSearchResults": "True",
    "AlertType": "Metric measurement"
  }
}

Ukázkové upozornění prohledávání protokolu při monitorováníService = Application Insights

{
  "alertContext": {
    "SearchQuery": "requests | where resultCode == \"500\" | summarize AggregatedValue = Count by bin(Timestamp, 5m), IP",
    "SearchIntervalStartTimeUtc": "3/22/2019 1:36:33 PM",
    "SearchIntervalEndtimeUtc": "3/22/2019 1:51:33 PM",
    "ResultCount": 2,
    "LinkToSearchResults": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
    "LinkToFilteredSearchResultsUI": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
    "LinkToSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
    "LinkToFilteredSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
    "SearchIntervalDurationMin": "15",
    "SearchIntervalInMinutes": "15",
    "Threshold": 10000.0,
    "Operator": "Less Than",
    "ApplicationId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "Dimensions": [
      {
        "name": "IP",
        "value": "1.1.1.1"
      }
    ],
    "SearchResults": {
      "tables": [
        {
          "name": "PrimaryResult",
          "columns": [
            {
              "name": "$table",
              "type": "string"
            },
            {
              "name": "Id",
              "type": "string"
            },
            {
              "name": "Timestamp",
              "type": "datetime"
            }
          ],
          "rows": [
            [
              "Fabrikam",
              "33446677a",
              "2018-02-02T15:03:12.18Z"
            ],
            [
              "Contoso",
              "33445566b",
              "2018-02-02T15:16:53.932Z"
            ]
          ]
        }
      ],
      "dataSources": [
        {
          "resourceId": "/subscriptions/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
          "tables": [
            "Heartbeat"
          ]
        }
      ]
    },
    "IncludedSearchResults": "True",
    "AlertType": "Metric measurement"
  }
}

Ukázkové upozornění prohledávání protokolu při monitorováníService = upozornění protokolu V2

Poznámka:

Pravidla upozornění prohledávání protokolu z rozhraní API verze 2020-05-01 používají tento typ datové části, který podporuje pouze běžné schéma. Výsledky hledání se při použití této verze nevkládají do datové části upozornění prohledávání protokolu. Pomocí dimenzí můžete poskytnout kontext aktivovaným výstrahám. Pomocí rozhraní LOG Analytics API můžete také získat LinkToFilteredSearchResultsAPI LinkToSearchResultsAPI přístup k výsledkům dotazů. Pokud je nutné vložit výsledky, použijte aplikaci logiky s poskytnutými odkazy k vygenerování vlastní datové části.

{
  "alertContext": {
    "properties": {
      "name1": "value1",
      "name2": "value2"
    },
    "conditionType": "LogQueryCriteria",
    "condition": {
      "windowSize": "PT10M",
      "allOf": [
        {
          "searchQuery": "Heartbeat",
          "metricMeasureColumn": "CounterValue",
          "targetResourceTypes": "['Microsoft.Compute/virtualMachines']",
          "operator": "LowerThan",
          "threshold": "1",
          "timeAggregation": "Count",
          "dimensions": [
            {
              "name": "Computer",
              "value": "TestComputer"
            }
          ],
          "metricValue": 0.0,
          "failingPeriods": {
            "numberOfEvaluationPeriods": 1,
            "minFailingPeriodsToAlert": 1
          },
          "linkToSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
          "linkToFilteredSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
          "linkToSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29&timespan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
          "linkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29&timespan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z"
        }
      ],
      "windowStartTime": "2020-07-07T13:54:34Z",
      "windowEndTime": "2020-07-09T13:54:34Z"
    }
  }
}

Pole kontextu upozornění pro upozornění protokolu aktivit

Podrobné informace o polích v upozorněních protokolu aktivit najdete ve schématu událostí protokolu aktivit Azure.

Ukázkové upozornění protokolu aktivit při monitorováníService = Protokol aktivit – Správa

{
  "alertContext": {
      "authorization": {
        "action": "Microsoft.Compute/virtualMachines/restart/action",
        "scope": "/subscriptions/<subscription ID>/resourceGroups/PipeLineAlertRG/providers/Microsoft.Compute/virtualMachines/WCUS-R2-ActLog"
      },
      "channels": "Operation",
      "claims": "{\"aud\":\"https://management.core.windows.net/\",\"iss\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"iat\":\"1553260826\",\"nbf\":\"1553260826\",\"exp\":\"1553264726\",\"aio\":\"42JgYNjdt+rr+3j/dx68v018XhuFAwA=\",\"appid\":\"11112222-bbbb-3333-cccc-4444dddd5555\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"12345a-1234b-123c-123d-12345678e\",\"uti\":\"v5wYC9t9ekuA2rkZSVZbAA\",\"ver\":\"1.0\"}",
      "caller": "22223333-cccc-4444-dddd-5555eeee6666",
      "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
      "eventSource": "Administrative",
      "eventTimestamp": "2019-03-22T13:56:31.2917159+00:00",
      "eventDataId": "161fda7e-1cb4-4bc5-9c90-857c55a8f57b",
      "level": "Informational",
      "operationName": "Microsoft.Compute/virtualMachines/restart/action",
      "operationId": "310db69b-690f-436b-b740-6103ab6b0cba",
      "status": "Succeeded",
      "subStatus": "",
      "submissionTimestamp": "2019-03-22T13:56:54.067593+00:00"
    }
}

Ukázkové upozornění protokolu aktivit při monitorováníService = Protokol aktivit – Zásady

{
  "alertContext": {
    "authorization": {
      "action": "Microsoft.Resources/checkPolicyCompliance/read",
      "scope": "/subscriptions/<GUID>"
    },
    "channels": "Operation",
    "claims": "{\"aud\":\"https://management.azure.com/\",\"iss\":\"https://sts.windows.net/<GUID>/\",\"iat\":\"1566711059\",\"nbf\":\"1566711059\",\"exp\":\"1566740159\",\"aio\":\"42FgYOhynHNw0scy3T/bL71+xLyqEwA=\",\"appid\":\"<GUID>\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/<GUID>/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"<GUID>\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"<GUID>\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"<GUID>\",\"uti\":\"Miy1GzoAG0Scu_l3m1aIAA\",\"ver\":\"1.0\"}",
    "caller": "<GUID>",
    "correlationId": "<GUID>",
    "eventSource": "Policy",
    "eventTimestamp": "2019-08-25T11:11:34.2269098+00:00",
    "eventDataId": "<GUID>",
    "level": "Warning",
    "operationName": "Microsoft.Authorization/policies/audit/action",
    "operationId": "<GUID>",
    "properties": {
      "isComplianceCheck": "True",
      "resourceLocation": "eastus2",
      "ancestors": "<GUID>",
      "policies": "[{\"policyDefinitionId\":\"/providers/Microsoft.Authorization/policyDefinitions/<GUID>/\",\"policySetDefinitionId\":\"/providers/Microsoft.Authorization/policySetDefinitions/<GUID>/\",\"policyDefinitionReferenceId\":\"vulnerabilityAssessmentMonitoring\",\"policySetDefinitionName\":\"<GUID>\",\"policyDefinitionName\":\"<GUID>\",\"policyDefinitionEffect\":\"AuditIfNotExists\",\"policyAssignmentId\":\"/subscriptions/<GUID>/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn/\",\"policyAssignmentName\":\"SecurityCenterBuiltIn\",\"policyAssignmentScope\":\"/subscriptions/<GUID>\",\"policyAssignmentSku\":{\"name\":\"A1\",\"tier\":\"Standard\"},\"policyAssignmentParameters\":{}}]"
    },
    "status": "Succeeded",
    "subStatus": "",
    "submissionTimestamp": "2019-08-25T11:12:46.1557298+00:00"
  }
}

Ukázkové upozornění protokolu aktivit při monitorováníService = Protokol aktivit – Automatické škálování

{
  "alertContext": {
    "channels": "Admin, Operation",
    "claims": "{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn\":\"Microsoft.Insights/autoscaleSettings\"}",
    "caller": "Microsoft.Insights/autoscaleSettings",
    "correlationId": "<GUID>",
    "eventSource": "Autoscale",
    "eventTimestamp": "2019-08-21T16:17:47.1551167+00:00",
    "eventDataId": "<GUID>",
    "level": "Informational",
    "operationName": "Microsoft.Insights/AutoscaleSettings/Scaleup/Action",
    "operationId": "<GUID>",
    "properties": {
      "description": "The autoscale engine attempting to scale resource '/subscriptions/d<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS' from 9 instances count to 10 instances count.",
      "resourceName": "/subscriptions/<GUID>/resourceGroups/voiceassistancedemo/providers/Microsoft.Compute/virtualMachineScaleSets/alexademo",
      "oldInstancesCount": "9",
      "newInstancesCount": "10",
      "activeAutoscaleProfile": "{\r\n  \"Name\": \"Auto created scale condition\",\r\n  \"Capacity\": {\r\n    \"Minimum\": \"1\",\r\n    \"Maximum\": \"10\",\r\n    \"Default\": \"1\"\r\n  },\r\n  \"Rules\": [\r\n    {\r\n      \"MetricTrigger\": {\r\n        \"Name\": \"Percentage CPU\",\r\n        \"Namespace\": \"microsoft.compute/virtualmachinescalesets\",\r\n        \"Resource\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n        \"ResourceLocation\": \"eastus\",\r\n        \"TimeGrain\": \"PT1M\",\r\n        \"Statistic\": \"Average\",\r\n        \"TimeWindow\": \"PT5M\",\r\n        \"TimeAggregation\": \"Average\",\r\n        \"Operator\": \"GreaterThan\",\r\n        \"Threshold\": 0.0,\r\n        \"Source\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n        \"MetricType\": \"MDM\",\r\n        \"Dimensions\": [],\r\n        \"DividePerInstance\": false\r\n      },\r\n      \"ScaleAction\": {\r\n        \"Direction\": \"Increase\",\r\n        \"Type\": \"ChangeCount\",\r\n        \"Value\": \"1\",\r\n        \"Cooldown\": \"PT1M\"\r\n      }\r\n    }\r\n  ]\r\n}",
      "lastScaleActionTime": "Wed, 21 Aug 2019 16:17:47 GMT"
    },
    "status": "Succeeded",
    "submissionTimestamp": "2019-08-21T16:17:47.2410185+00:00"
  }
}

Ukázkové upozornění protokolu aktivit při monitorováníService = Protokol aktivit – Zabezpečení

{
  "alertContext": {
    "channels": "Operation",
    "correlationId": "<GUID>",
    "eventSource": "Security",
    "eventTimestamp": "2019-08-26T08:34:14+00:00",
    "eventDataId": "<GUID>",
    "level": "Informational",
    "operationName": "Microsoft.Security/locations/alerts/activate/action",
    "operationId": "<GUID>",
    "properties": {
      "threatStatus": "Quarantined",
      "category": "Virus",
      "threatID": "2147519003",
      "filePath": "C:\\AlertGeneration\\test.eicar",
      "protectionType": "Windows Defender",
      "actionTaken": "Blocked",
      "resourceType": "Virtual Machine",
      "severity": "Low",
      "compromisedEntity": "testVM",
      "remediationSteps": "[\"No user action is necessary\"]",
      "attackedResourceType": "Virtual Machine"
    },
    "status": "Active",
    "submissionTimestamp": "2019-08-26T09:28:58.3019107+00:00"
  }
}

Ukázkové upozornění protokolu aktivit při monitorováníService = ServiceHealth

{
  "alertContext": {
    "authorization": null,
    "channels": 1,
    "claims": null,
    "caller": null,
    "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
    "eventSource": 2,
    "eventTimestamp": "2019-06-24T11:31:19.0312699+00:00",
    "httpRequest": null,
    "eventDataId": "<GUID>",
    "level": 3,
    "operationName": "Microsoft.ServiceHealth/maintenance/action",
    "operationId": "<GUID>",
    "properties": {
      "title": "Azure Synapse Analytics Scheduled Maintenance Pending",
      "service": "Azure Synapse Analytics",
      "region": "East US",
      "communication": "<MESSAGE>",
      "incidentType": "Maintenance",
      "trackingId": "<GUID>",
      "impactStartTime": "2019-06-26T04:00:00Z",
      "impactMitigationTime": "2019-06-26T12:00:00Z",
      "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"East US\"}],\"ServiceName\":\"Azure Synapse Analytics\"}]",
      "impactedServicesTableRows": "<tr>\r\n<td align='center' style='padding: 5px 10px; border-right:1px solid black; border-bottom:1px solid black'>Azure Synapse Analytics</td>\r\n<td align='center' style='padding: 5px 10px; border-bottom:1px solid black'>East US<br></td>\r\n</tr>\r\n",
      "defaultLanguageTitle": "Azure Synapse Analytics Scheduled Maintenance Pending",
      "defaultLanguageContent": "<MESSAGE>",
      "stage": "Planned",
      "communicationId": "<GUID>",
      "maintenanceId": "<GUID>",
      "isHIR": "false",
      "version": "0.1.1"
    },
    "status": "Active",
    "subStatus": null,
    "submissionTimestamp": "2019-06-24T11:31:31.7147357+00:00",
    "ResourceType": null
  }
}

Ukázkové upozornění protokolu aktivit při monitorováníService = ResourceHealth

{
  "alertContext": {
    "channels": "Admin, Operation",
    "correlationId": "<GUID>",
    "eventSource": "ResourceHealth",
    "eventTimestamp": "2019-06-24T15:42:54.074+00:00",
    "eventDataId": "<GUID>",
    "level": "Informational",
    "operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
    "operationId": "<GUID>",
    "properties": {
      "title": "This virtual machine is stopping and deallocating as requested by an authorized user or process",
      "details": null,
      "currentHealthStatus": "Unavailable",
      "previousHealthStatus": "Available",
      "type": "Downtime",
      "cause": "UserInitiated"
    },
    "status": "Active",
    "submissionTimestamp": "2019-06-24T15:45:20.4488186+00:00"
  }
}

Kontextová pole výstrahy pro výstrahy Prometheus

Podrobné informace opolích

Ukázková výstraha prometheus

{
  "alertContext": {
    "interval": "PT1M",
    "expression": "sql_up > 0",
    "expressionValue": "0",
    "for": "PT2M",
    "labels": {
      "Environment": "Prod",
      "cluster": "myCluster1"
    },
    "annotations": {
      "summary": "alert on SQL availability"
    },
    "ruleGroup": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.AlertsManagement/prometheusRuleGroups/myRuleGroup"
  }
}

Pole vlastních vlastností

Pokud pravidlo upozornění, které vygenerovalo upozornění, obsahuje skupiny akcí, můžou vlastní vlastnosti obsahovat další informace o této výstraze. Oddíl vlastních vlastností obsahuje objekty "klíč: hodnota", které jsou přidány do oznámení webhooku.

Pokud nejsou v pravidle upozornění nastaveny vlastní vlastnosti, pole má hodnotu null.

Povolení běžného schématu upozornění

Pomocí skupin akcí na webu Azure Portal nebo pomocí rozhraní REST API povolte běžné schéma upozornění. Schémata jsou definována na úrovni akce. Musíte například samostatně povolit schéma pro e-mailovou akci a akci webhooku.

Povolení běžného schématu na webu Azure Portal

Snímek obrazovky znázorňující výslovný souhlas se schématem běžných upozornění

  1. Otevřete jakoukoli existující akci nebo novou akci ve skupině akcí.
  2. Chcete-li povolit společné schéma upozornění, vyberte možnost Ano .

Povolení běžného schématu pomocí rozhraní REST API

K vyjádření souhlasu se společným schématem upozornění můžete použít také rozhraní API skupin akcí. Ve volání rozhraní REST API pro vytvoření nebo aktualizaci

  • Nastavte příznak useCommonAlertSchema tak, aby true se povolilo společné schéma.
  • Nastavte příznak useCommonAlertSchema tak, aby false používal nestandardní schéma pro e-mail, webhook, Logic Apps, Azure Functions nebo akce runbooku Automation.

Ukázkové volání rozhraní REST API pro použití společného schématu

Následující požadavek rozhraní REST API vytvořte nebo aktualizujte :

  • Povolí běžné schéma upozornění pro e-mailovou akci John Doe.
  • Zakáže běžné schéma upozornění pro e-mailovou akci Jane Smithova e-mailu.
  • Povolí společné schéma upozornění pro akci webhooku Ukázka webhooku.
{
  "properties": {
    "groupShortName": "sample",
    "enabled": true,
    "emailReceivers": [
      {
        "name": "John Doe's email",
        "emailAddress": "johndoe@email.com",
        "useCommonAlertSchema": true
      },
      {
        "name": "Jane Smith's email",
        "emailAddress": "janesmith@email.com",
        "useCommonAlertSchema": false
      }
    ],
    "smsReceivers": [
      {
        "name": "John Doe's mobile",
        "countryCode": "1",
        "phoneNumber": "1234567890"
      },
      {
        "name": "Jane Smith's mobile",
        "countryCode": "1",
        "phoneNumber": "0987654321"
      }
    ],
    "webhookReceivers": [
      {
        "name": "Sample webhook",
        "serviceUri": "http://www.example.com/webhook",
        "useCommonAlertSchema": true
      }
    ]
  },
  "location": "Global",
  "tags": {}
}

Další kroky