Allgemeines Warnungsschema
Mit dem allgemeinen Warnungsschema wird die Benutzeroberfläche für Warnungsbenachrichtigungen in Azure Monitor standardisiert. Früher verfügten Warnungen für Aktivitätsprotokolle, Metriken und Protokollsuchen jeweils über eigene E-Mail-Vorlagen und Webhookschemas. Das allgemeine Warnungsschema bietet ein standardisiertes Schema für alle Warnungsbenachrichtigungen.
Mithilfe eines standardisierten Schemas können Sie die Anzahl der Integrationen minimieren, wodurch sie einfacher verwaltet und gewartet werden können. Mit dem gängigen Schema wird eine umfassendere Oberfläche für die Nutzung von Warnungen bereitgestellt – sowohl im Azure-Portal als auch in der mobilen Azure-App.
Das allgemeine Warnungsschema bietet eine konsistente Struktur für:
- E-Mail-Vorlagen: Verwenden Sie die detaillierte E-Mail-Vorlage, um Probleme auf einen Blick zu diagnostizieren. Eingebettete Links zur Warnungsinstanz im Portal und zur betroffenen Ressource stellen sicher, dass Sie so schnell wie möglich mit der Behebung beginnen können.
- JSON-Struktur: Verwenden Sie die konsistente JSON-Struktur, um Integrationen für alle Warnungstypen zu erstellen, indem Sie Folgendes verwenden:
- Azure Logic Apps
- Azure-Funktionen
- Azure Automation-Runbook
Hinweis
- Von VM Insights generierte Warnungen bieten keine Unterstützung für das allgemeine Schema.
- Warnungen der intelligenten Erkennung unterstützen standardmäßig das allgemeine Schema. Für Warnungen der intelligenten Erkennung müssen Sie das allgemeine Schema nicht aktivieren.
Struktur des allgemeinen Schemas
Das allgemeine Schema enthält Informationen zur betroffenen Ressource und zur Ursache der Warnung, die in den folgenden Abschnitten enthalten sind:
Grundlagen: Standardisierte Felder, die von allen Warnungstypen genutzt werden. Sie enthalten die von der Warnung betroffene Ressource und allgemeine Warnungsmetadaten, z. B. den Schweregrad oder die Beschreibung.
Wenn Sie Warnungsinstanzen basierend auf Kriterien wie einer Ressourcengruppe an bestimmte Teams weiterleiten möchten, können Sie die Felder im Abschnitt Grundlagen verwenden, um Routinglogik für alle Warnungstypen bereitzustellen. Die Teams, die die Warnungsbenachrichtigung erhalten, können dann die Kontextfelder für ihre Untersuchung nutzen.
Warnungskontext: Felder, die je nach Warnungstyp variieren. In den Feldern unter „Warnungskontext“ wird die Ursache der Warnung beschrieben. Eine Metrikwarnung hätte beispielsweise Felder wie den Metriknamen und den Metrikwert im Warnungskontext. Eine Aktivitätsprotokollwarnung enthält Informationen zu dem Ereignis, das die Warnung generiert hat.
Benutzerdefinierte Eigenschaften: Zusätzliche Informationen, die standardmäßig nicht in den Warnungsnutzdaten enthalten sind, können mithilfe benutzerdefinierter Eigenschaften in die Warnungsnutzdaten einbezogen werden. Benutzerdefinierte Eigenschaften sind ein Schlüssel-Wert-Paar, das alle in der Warnungsregel konfigurierten Informationen enthalten kann.
Beispielnutzlast einer Warnung
{
"schemaId": "azureMonitorCommonAlertSchema",
"data": {
"essentials": {
"alertId": "/subscriptions/<subscription ID>/providers/Microsoft.AlertsManagement/alerts/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"alertRule": "WCUS-R2-Gen2",
"severity": "Sev3",
"signalType": "Metric",
"monitorCondition": "Resolved",
"monitoringService": "Platform",
"alertTargetIDs": [
"/subscriptions/<subscription ID>/resourcegroups/pipelinealertrg/providers/microsoft.compute/virtualmachines/wcus-r2-gen2"
],
"configurationItems": [
"wcus-r2-gen2"
],
"originAlertId": "3f2d4487-b0fc-4125-8bd5-7ad17384221e_PipeLineAlertRG_microsoft.insights_metricAlerts_WCUS-R2-Gen2_-117781227",
"firedDateTime": "2019-03-22T13:58:24.3713213Z",
"resolvedDateTime": "2019-03-22T14:03:16.2246313Z",
"description": "",
"essentialsVersion": "1.0",
"alertContextVersion": "1.0"
},
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 7.727
}
]
}
},
"customProperties": {
"Key1": "Value1",
"Key2": "Value2"
}
}
}
Beispielwarnungen, die das allgemeine Schema verwenden, finden Sie unter Beispiele für Nutzdaten von Warnungen.
Felder unter „Grundlagen“
Feld | BESCHREIBUNG |
---|---|
alertId | Die eindeutige Ressourcen-ID, die die Warnungsinstanz identifiziert. |
alertRule | Der Name der Warnungsregel, die die Warnungsinstanz generiert hat. |
severity | Der Schweregrad der Warnung. Mögliche Werte sind Sev0, Sev1, Sev2, Sev3 oder Sev4. |
signalType | Identifiziert das Signal, für das die Warnungsregel definiert wurde. Mögliche Werte sind Metrik, Protokoll oder Aktivitätsprotokoll. |
monitorCondition | Wenn eine Warnung ausgelöst wird, wird die Überwachungsbedingung der Warnung auf Ausgelöst festgelegt. Wenn die zugrunde liegende Bedingung gelöscht wurde, die die Warnung ausgelöst hat, wird die Überwachungsbedingung auf Behoben festgelegt. |
monitoringService | Der Überwachungsdienst oder die Lösung, von dem bzw. der die Warnung generiert wurde. Der Überwachungsdienst bestimmt, welche Felder sich im Warnungskontext befinden. |
alertTargetIDs | Die Liste der Azure Resource Manager-IDs, die betroffene Ziele einer Warnung sind. Für eine Protokollsuchwarnung, die für einen Log Analytics-Arbeitsbereich oder eine Application Insights-Instanz definiert ist, ist es der jeweilige Arbeitsbereich oder die Anwendung. |
configurationItems | Die Liste der von einer Warnung betroffenen Ressourcen. In einigen Fällen können sich die Konfigurationselemente von den Warnungszielen unterscheiden. Beispielsweise sind die Konfigurationselemente in Metrik-für-Protokoll- oder Protokollsuchwarnungen, die für einen Log Analytics-Arbeitsbereich definiert sind, die tatsächlichen Ressourcen, welche die Daten senden, und nicht der Arbeitsbereich.
configurationItems -Feld verwendet, um Warnungen mit Ressourcen in einer Datenbank für die Konfigurationsverwaltung zu korrelieren. |
originAlertId | Die ID der Warnungsinstanz, wie sie vom überwachenden Dienst generiert wird, der sie generiert. |
firedDateTime | Das Datum und die Uhrzeit, zu der die Warnungsinstanz ausgelöst wurde, in koordinierter Weltzeit (UTC). |
resolvedDateTime | Das Datum und die Uhrzeit, zu der die Überwachungsbedingung für die Warnungsinstanz auf Behoben festgelegt wurde, in UTC. Gilt derzeit nur für Metrikwarnungen. |
description | Die Beschreibung entsprechend der Definition in der Warnungsregel. |
alertRuleID | Die ID der Warnungsregel, die die Warnungsinstanz generiert hat |
resourceType | Der von der Warnung betroffene Ressourcentyp |
resourceGroupName | Name der Ressourcengruppe für die betroffene Ressource. |
essentialsVersion | Die Versionsnummer für den Abschnitt „essentials“. |
alertContextVersion | Die Versionsnummer für den Abschnitt alertContext . |
investigationLink | Verknüpfen Sie den Link, um die Warnung in Azure Monitor zu untersuchen. Zurzeit ist eine eingeschränkte Vorschauregistrierung erforderlich. |
Felder unter „Warnungskontext“ für Metrikwarnungen
Feld | BESCHREIBUNG |
---|---|
properties | (Optional.) Eine Auflistung von benutzerdefinierten Eigenschaften. |
conditionType | Der Typ der Bedingung, die für die Warnungsregel ausgewählt ist: - Statischer Schwellwert - dynamischer Schwellwert - webtest |
condition | |
windowSize | Der von der Warnungsregel analysierte Zeitraum. |
allOf | Gibt an, dass alle in der Warnungsregel definierten Bedingungen erfüllt sein müssen, um eine Warnung auszulösen. |
alertSensitivity | Gibt in einer Warnungsregel mit einem dynamischen Schwellwert an, wie empfindlich die Regel ist oder wie stark der Wert vom oberen oder unteren Schwellwert abweichen kann. |
failingPeriods | Die Anzahl der Auswertungszeiträume in einer Warnungsregel mit einem dynamischen Schwellwert, die den Warnungsschwellwert nicht erfüllen, der eine Warnung auslöst. Sie können beispielsweise angeben, dass eine Warnung ausgelöst wird, wenn 3 der letzten fünf Auswertungszeiträume nicht innerhalb der Schwellwerte der Warnung liegen. |
numberOfEvaluationPeriods | Die Gesamtzahl der Auswertungen. |
minFailingPeriodsToAlert | Die Mindestanzahl von Auswertungen, die die Bedingungen der Warnungsregel nicht erfüllen. |
ignoreDataBefore | (Optional.) In einer Warnungsregel mit einem dynamischen Schwellwert das Datum, ab dem der Schwellwert berechnet wird. Verwenden Sie diesen Wert, um anzugeben, dass die Regel den dynamischen Schwellwert nicht anhand von Daten vor dem angegebenen Datum berechnen soll. |
metricName | Der Name der Metrik, die durch die Warnungsregel überwacht werden soll. |
metricNamespace | Der Namespace der Metrik, die von der Warnungsregel überwacht wird. |
Operator | Der logische Operator der Warnungsregel. |
threshold | Der in der Warnungsregel definierte Schwellwert. Bei einer Warnungsregel mit einem dynamischen Schwellwert ist dieser Wert der berechnete Schwellwert. |
timeAggregation | Der Aggregationstyp der Warnungsregel. |
dimensions | Die Metrikdimension, die die Warnung ausgelöst hat. |
name | Der Dimensionsname. |
value | Der Dimensionswert. |
metricValue | Der Metrikwert zu dem Zeitpunkt, zu dem er den Schwellwert verletzt hat. |
webTestName | Der Name des Webtests, wenn der Bedingungstyp webtest ist. |
windowStartTime | Die Startzeit des Auswertungsfensters, in dem die Warnung ausgelöst wurde. |
windowEndTime | Die Endzeit des Auswertungsfensters, in dem die Warnung ausgelöst wurde. |
Beispiel: Metrikwarnung mit einem statischen Schwellwert und monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 31.1105
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Beispiel: Metrikwarnung mit einem dynamischen Schwellwert und monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "DynamicThresholdCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"alertSensitivity": "High",
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"ignoreDataBefore": null,
"metricName": "Egress",
"metricNamespace": "microsoft.storage/storageaccounts",
"operator": "GreaterThan",
"threshold": "47658",
"timeAggregation": "Total",
"dimensions": [],
"metricValue": 50101
}
],
"windowStartTime": "2021-07-20T05:07:26.363Z",
"windowEndTime": "2021-07-20T05:12:26.363Z"
}
}
}
Beispiel: Metrikwarnung für Verfügbarkeitstests und monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "WebtestLocationAvailabilityCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Failed Location",
"metricNamespace": null,
"operator": "GreaterThan",
"threshold": "2",
"timeAggregation": "Sum",
"dimensions": [],
"metricValue": 5,
"webTestName": "myAvailabilityTest-myApplication"
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Warnungskontextfelder für Protokollsuchwarnungen
Hinweis
Wenn Sie das allgemeine Schema aktivieren, werden die Felder in der Nutzlast auf die Felder des allgemeinen Schemas zurückgesetzt. Daher gelten bei Protokollsuchwarnungen diese Einschränkungen in Bezug auf das gemeinsame Schema:
- Das allgemeine Schema wird nicht für Protokollsuchwarnungen unterstützt, die Webhooks mit einem benutzerdefinierten E-Mail-Betreff und/oder benutzerdefinierte JSON-Nutzdaten verwenden, da das allgemeine Schema die benutzerdefinierten Konfigurationen überschreibt.
- Für Warnungen, die das allgemeine Schema nutzen, gilt eine Größenbeschränkung von 256 KB pro Warnung. Wenn die Nutzdaten von Protokollsuchwarnungen Suchergebnisse enthalten, durch welche die Warnung die maximale Größe überschreitet, werden die Suchergebnisse nicht in die Nutzdaten der Protokollsuchwarnungen eingebettet. Mit dem
IncludedSearchResults
-Flag können Sie überprüfen, ob die Nutzlast die Suchergebnisse enthält. Wenn die Suchergebnisse nicht enthalten sind, verwenden SieLinkToFilteredSearchResultsAPI
oderLinkToSearchResultsAPI
, um über die Log Analytics-API auf die Abfrageergebnisse zuzugreifen.
Feld | BESCHREIBUNG |
---|---|
SearchQuery | Die Abfrage, die in der Warnungsregel definiert ist. |
SearchIntervalStartTimeUtc | Die Startzeit des Auswertungsfensters in UTC, in dem die Warnung ausgelöst wurde. |
SearchIntervalEndTimeUtc | Die Endzeit des Auswertungsfensters in UTC, in dem die Warnung ausgelöst wurde. |
ResultCount | Die Anzahl der von der Abfrage zurückgegebenen Ergebnisse. Bei Metrikmessregeln die Anzahl der Datensätze, die der spezifischen Dimensionskombination entsprechen. |
LinkToSearchResults | Ein Link zu den Suchergebnissen. |
LinkToFilteredSearchResultsUI | Bei Metrikmessregeln der Link zu den Suchergebnissen, nachdem sie nach den Dimensionskombinationen gefiltert wurden. |
LinkToSearchResultsAPI | Ein Link zu den Abfrageergebnissen mithilfe der Log Analytics-API. |
LinkToFilteredSearchResultsAPI | Bei Metrikmessregeln der Link zu den Suchergebnissen, die die Log Analytics-API verwenden, nachdem sie nach den Dimensionskombinationen gefiltert wurden. |
SearchIntervalDurationMin | Die Gesamtzahl der Minuten im Suchintervall. |
SearchIntervalInMin | Die Gesamtzahl der Minuten im Suchintervall. |
Schwellenwert | Der in der Warnungsregel definierte Schwellwert. |
Betreiber | Der Operator entsprechend der Definition in der Warnungsregel. |
ApplicationID | Die Application Insights-ID, für die die Warnung ausgelöst wurde. |
Dimensionen | Bei Metrikmessregeln die Metrikdimensionen, für die die Warnung ausgelöst wurde. |
name | Der Dimensionsname. |
value | Der Dimensionswert. |
SearchResults | Alle Suchergebnisse. |
table | Die Tabelle der Ergebnisse in den Suchergebnissen. |
name | Der Name der Tabelle in den Suchergebnissen. |
Spalten | Die Spalten in der Tabelle. |
name | Der Name der Spalte. |
Typ | Der Typ der Spalte. |
rows | Die Zeilen in der Tabelle. |
DataSources | Die Datenquellen, für die die Warnung ausgelöst wurde. |
resourceID | Die von der Warnung betroffene Ressourcen-ID. |
Tabellen | Die in der Abfrage enthaltenen Entwurfsantworttabellen. |
IncludedSearchResults | Flag, das angibt, ob die Nutzdaten die Ergebnisse enthalten sollen. |
AlertType | Der Warnungstyp: - Metrikmessung - Anzahl von Ergebnissen |
Beispielprotokollsuchwarnung, wenn der monitoringService = Log Analytics ist
{
"alertContext": {
"SearchQuery": "Perf | where ObjectName == \"Processor\" and CounterName == \"% Processor Time\" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), Computer",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:31 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:31 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"LinkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"SeverityDescription": "Warning",
"WorkspaceId": "12345a-1234b-123c-123d-12345678e",
"SearchIntervalDurationMin": "15",
"AffectedConfigurationItems": [
"INC-Gen2Alert"
],
"SearchIntervalInMinutes": "15",
"Threshold": 10000,
"Operator": "Less Than",
"Dimensions": [
{
"name": "Computer",
"value": "INC-Gen2Alert"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Computer",
"type": "string"
},
{
"name": "TimeGenerated",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Beispielprotokollsuchwarnung wenn der monitoringService = Application Insights ist
{
"alertContext": {
"SearchQuery": "requests | where resultCode == \"500\" | summarize AggregatedValue = Count by bin(Timestamp, 5m), IP",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:33 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:33 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"LinkToFilteredSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"SearchIntervalDurationMin": "15",
"SearchIntervalInMinutes": "15",
"Threshold": 10000.0,
"Operator": "Less Than",
"ApplicationId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"Dimensions": [
{
"name": "IP",
"value": "1.1.1.1"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Id",
"type": "string"
},
{
"name": "Timestamp",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Beispielprotokollsuchwarnung wenn der monitoringService = Log Alerts V2
Hinweis
Regeln für Protokollsuchwarnungen der API-Version 2020-05-01 verwenden diesen Nutzdatentyp, der nur das allgemeine Schema unterstützt. Bei Verwendung dieser Version werden Suchergebnisse nicht in die Nutzdaten der Protokollsuchwarnungen eingebettet. Verwenden Sie Dimensionen, um Kontext für ausgelöste Warnungen bereitzustellen. Sie können auch LinkToFilteredSearchResultsAPI
oder LinkToSearchResultsAPI
verwenden, um mit der Log Analytics-API auf Abfrageergebnisse zuzugreifen. Wenn Sie die Ergebnisse einbetten müssen, verwenden Sie eine Logik-App mit den bereitgestellten Links, die benutzerdefinierte Nutzdaten generieren.
{
"alertContext": {
"properties": {
"name1": "value1",
"name2": "value2"
},
"conditionType": "LogQueryCriteria",
"condition": {
"windowSize": "PT10M",
"allOf": [
{
"searchQuery": "Heartbeat",
"metricMeasureColumn": "CounterValue",
"targetResourceTypes": "['Microsoft.Compute/virtualMachines']",
"operator": "LowerThan",
"threshold": "1",
"timeAggregation": "Count",
"dimensions": [
{
"name": "Computer",
"value": "TestComputer"
}
],
"metricValue": 0.0,
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"linkToSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z"
}
],
"windowStartTime": "2020-07-07T13:54:34Z",
"windowEndTime": "2020-07-09T13:54:34Z"
}
}
}
Felder unter „Warnungskontext“ für Aktivitätsprotokollwarnungen
Ausführliche Informationen zu den Feldern in Aktivitätsprotokollwarnungen finden Sie unter Ereignisschema des Azure-Aktivitätsprotokolls.
Beispiel: Aktivitätsprotokollwarnung mit monitoringService = Activity Log – Administrative
{
"alertContext": {
"authorization": {
"action": "Microsoft.Compute/virtualMachines/restart/action",
"scope": "/subscriptions/<subscription ID>/resourceGroups/PipeLineAlertRG/providers/Microsoft.Compute/virtualMachines/WCUS-R2-ActLog"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.core.windows.net/\",\"iss\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"iat\":\"1553260826\",\"nbf\":\"1553260826\",\"exp\":\"1553264726\",\"aio\":\"42JgYNjdt+rr+3j/dx68v018XhuFAwA=\",\"appid\":\"11112222-bbbb-3333-cccc-4444dddd5555\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"12345a-1234b-123c-123d-12345678e\",\"uti\":\"v5wYC9t9ekuA2rkZSVZbAA\",\"ver\":\"1.0\"}",
"caller": "22223333-cccc-4444-dddd-5555eeee6666",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventSource": "Administrative",
"eventTimestamp": "2019-03-22T13:56:31.2917159+00:00",
"eventDataId": "161fda7e-1cb4-4bc5-9c90-857c55a8f57b",
"level": "Informational",
"operationName": "Microsoft.Compute/virtualMachines/restart/action",
"operationId": "310db69b-690f-436b-b740-6103ab6b0cba",
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-03-22T13:56:54.067593+00:00"
}
}
Beispiel: Aktivitätsprotokollwarnung mit monitoringService = Activity Log – Policy
{
"alertContext": {
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<GUID>"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.azure.com/\",\"iss\":\"https://sts.windows.net/<GUID>/\",\"iat\":\"1566711059\",\"nbf\":\"1566711059\",\"exp\":\"1566740159\",\"aio\":\"42FgYOhynHNw0scy3T/bL71+xLyqEwA=\",\"appid\":\"<GUID>\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/<GUID>/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"<GUID>\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"<GUID>\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"<GUID>\",\"uti\":\"Miy1GzoAG0Scu_l3m1aIAA\",\"ver\":\"1.0\"}",
"caller": "<GUID>",
"correlationId": "<GUID>",
"eventSource": "Policy",
"eventTimestamp": "2019-08-25T11:11:34.2269098+00:00",
"eventDataId": "<GUID>",
"level": "Warning",
"operationName": "Microsoft.Authorization/policies/audit/action",
"operationId": "<GUID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "eastus2",
"ancestors": "<GUID>",
"policies": "[{\"policyDefinitionId\":\"/providers/Microsoft.Authorization/policyDefinitions/<GUID>/\",\"policySetDefinitionId\":\"/providers/Microsoft.Authorization/policySetDefinitions/<GUID>/\",\"policyDefinitionReferenceId\":\"vulnerabilityAssessmentMonitoring\",\"policySetDefinitionName\":\"<GUID>\",\"policyDefinitionName\":\"<GUID>\",\"policyDefinitionEffect\":\"AuditIfNotExists\",\"policyAssignmentId\":\"/subscriptions/<GUID>/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn/\",\"policyAssignmentName\":\"SecurityCenterBuiltIn\",\"policyAssignmentScope\":\"/subscriptions/<GUID>\",\"policyAssignmentSku\":{\"name\":\"A1\",\"tier\":\"Standard\"},\"policyAssignmentParameters\":{}}]"
},
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-08-25T11:12:46.1557298+00:00"
}
}
Beispiel: Aktivitätsprotokollwarnung mit monitoringService = Activity Log – Autoscale
{
"alertContext": {
"channels": "Admin, Operation",
"claims": "{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn\":\"Microsoft.Insights/autoscaleSettings\"}",
"caller": "Microsoft.Insights/autoscaleSettings",
"correlationId": "<GUID>",
"eventSource": "Autoscale",
"eventTimestamp": "2019-08-21T16:17:47.1551167+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Insights/AutoscaleSettings/Scaleup/Action",
"operationId": "<GUID>",
"properties": {
"description": "The autoscale engine attempting to scale resource '/subscriptions/d<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS' from 9 instances count to 10 instances count.",
"resourceName": "/subscriptions/<GUID>/resourceGroups/voiceassistancedemo/providers/Microsoft.Compute/virtualMachineScaleSets/alexademo",
"oldInstancesCount": "9",
"newInstancesCount": "10",
"activeAutoscaleProfile": "{\r\n \"Name\": \"Auto created scale condition\",\r\n \"Capacity\": {\r\n \"Minimum\": \"1\",\r\n \"Maximum\": \"10\",\r\n \"Default\": \"1\"\r\n },\r\n \"Rules\": [\r\n {\r\n \"MetricTrigger\": {\r\n \"Name\": \"Percentage CPU\",\r\n \"Namespace\": \"microsoft.compute/virtualmachinescalesets\",\r\n \"Resource\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"ResourceLocation\": \"eastus\",\r\n \"TimeGrain\": \"PT1M\",\r\n \"Statistic\": \"Average\",\r\n \"TimeWindow\": \"PT5M\",\r\n \"TimeAggregation\": \"Average\",\r\n \"Operator\": \"GreaterThan\",\r\n \"Threshold\": 0.0,\r\n \"Source\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"MetricType\": \"MDM\",\r\n \"Dimensions\": [],\r\n \"DividePerInstance\": false\r\n },\r\n \"ScaleAction\": {\r\n \"Direction\": \"Increase\",\r\n \"Type\": \"ChangeCount\",\r\n \"Value\": \"1\",\r\n \"Cooldown\": \"PT1M\"\r\n }\r\n }\r\n ]\r\n}",
"lastScaleActionTime": "Wed, 21 Aug 2019 16:17:47 GMT"
},
"status": "Succeeded",
"submissionTimestamp": "2019-08-21T16:17:47.2410185+00:00"
}
}
Beispiel: Aktivitätsprotokollwarnung mit monitoringService = Activity Log – Security
{
"alertContext": {
"channels": "Operation",
"correlationId": "<GUID>",
"eventSource": "Security",
"eventTimestamp": "2019-08-26T08:34:14+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Security/locations/alerts/activate/action",
"operationId": "<GUID>",
"properties": {
"threatStatus": "Quarantined",
"category": "Virus",
"threatID": "2147519003",
"filePath": "C:\\AlertGeneration\\test.eicar",
"protectionType": "Windows Defender",
"actionTaken": "Blocked",
"resourceType": "Virtual Machine",
"severity": "Low",
"compromisedEntity": "testVM",
"remediationSteps": "[\"No user action is necessary\"]",
"attackedResourceType": "Virtual Machine"
},
"status": "Active",
"submissionTimestamp": "2019-08-26T09:28:58.3019107+00:00"
}
}
Beispiel: Aktivitätsprotokollwarnung mit monitoringService = ServiceHealth
{
"alertContext": {
"authorization": null,
"channels": 1,
"claims": null,
"caller": null,
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"eventSource": 2,
"eventTimestamp": "2019-06-24T11:31:19.0312699+00:00",
"httpRequest": null,
"eventDataId": "<GUID>",
"level": 3,
"operationName": "Microsoft.ServiceHealth/maintenance/action",
"operationId": "<GUID>",
"properties": {
"title": "Azure Synapse Analytics Scheduled Maintenance Pending",
"service": "Azure Synapse Analytics",
"region": "East US",
"communication": "<MESSAGE>",
"incidentType": "Maintenance",
"trackingId": "<GUID>",
"impactStartTime": "2019-06-26T04:00:00Z",
"impactMitigationTime": "2019-06-26T12:00:00Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"East US\"}],\"ServiceName\":\"Azure Synapse Analytics\"}]",
"impactedServicesTableRows": "<tr>\r\n<td align='center' style='padding: 5px 10px; border-right:1px solid black; border-bottom:1px solid black'>Azure Synapse Analytics</td>\r\n<td align='center' style='padding: 5px 10px; border-bottom:1px solid black'>East US<br></td>\r\n</tr>\r\n",
"defaultLanguageTitle": "Azure Synapse Analytics Scheduled Maintenance Pending",
"defaultLanguageContent": "<MESSAGE>",
"stage": "Planned",
"communicationId": "<GUID>",
"maintenanceId": "<GUID>",
"isHIR": "false",
"version": "0.1.1"
},
"status": "Active",
"subStatus": null,
"submissionTimestamp": "2019-06-24T11:31:31.7147357+00:00",
"ResourceType": null
}
}
Beispiel: Aktivitätsprotokollwarnung mit monitoringService = ResourceHealth
{
"alertContext": {
"channels": "Admin, Operation",
"correlationId": "<GUID>",
"eventSource": "ResourceHealth",
"eventTimestamp": "2019-06-24T15:42:54.074+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "<GUID>",
"properties": {
"title": "This virtual machine is stopping and deallocating as requested by an authorized user or process",
"details": null,
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "UserInitiated"
},
"status": "Active",
"submissionTimestamp": "2019-06-24T15:45:20.4488186+00:00"
}
}
Felder unter „Warnungskontext“ für Prometheus-Warnungen
Ausführliche Informationen zu den Feldern in Prometheus-Warnungen finden Sie unter Verwalteter Azure Monitor-Dienst für Prometheus-Regelgruppen (Vorschau).
Beispiel: Prometheus-Warnung
{
"alertContext": {
"interval": "PT1M",
"expression": "sql_up > 0",
"expressionValue": "0",
"for": "PT2M",
"labels": {
"Environment": "Prod",
"cluster": "myCluster1"
},
"annotations": {
"summary": "alert on SQL availability"
},
"ruleGroup": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.AlertsManagement/prometheusRuleGroups/myRuleGroup"
}
}
Felder für benutzerdefinierte Eigenschaften
Wenn die Warnungsregel, die Ihre Warnung generiert hat, Aktionsgruppen enthält, können benutzerdefinierte Eigenschaften zusätzliche Informationen zur Warnung enthalten. Der Abschnitt „benutzerdefinierte Eigenschaften“ enthält „key: value“-Objekte, die Webhookbenachrichtigungen hinzugefügt werden.
Wenn in der Warnungsregel keine benutzerdefinierten Eigenschaften festgelegt sind, ist das Feld auf NULL festgelegt.
Aktivieren des allgemeinen Warnungsschemas
Verwenden Sie Aktionsgruppen im Azure-Portal oder verwenden Sie die REST-API, um das allgemeine Warnungsschema zu aktivieren. Schemas werden auf Aktionsebene definiert. Beispielsweise müssen Sie das Schema für eine E-Mail-Aktion und eine Webhookaktion separat aktivieren.
Aktivieren des allgemeinen Schemas im Azure-Portal
- Öffnen Sie eine vorhandene Aktion oder eine neue Aktion in einer Aktionsgruppe.
- Wählen Sie Ja aus, um das allgemeine Warnungsschema zu aktivieren.
Aktivieren des allgemeinen Schemas mithilfe der REST-API
Sie können auch die Aktionsgruppen-API verwenden, um das allgemeine Warnungsschema zu aktivieren. Im Aufruf zum Erstellen oder Aktualisieren der Rest-API:
- Legen Sie das useCommonAlertSchema-Flag auf
true
fest, um das allgemeine Schema zu aktivieren. - Legen Sie das useCommonAlertSchema-Flag auf
false
fest, um das nicht allgemeine Schema für E-Mail-, Webhook-, Logic Apps-, Azure Functions- oder Automation-Runbookaktionen zu verwenden.
Beispiel: REST-API-Aufruf für die Verwendung des allgemeinen Schemas
Diese Anforderung zum Erstellen oder Aktualisieren der REST-API bewirkt Folgendes:
- Das allgemeine Warnungsschema für die E-Mail-Aktion „John Doe's email“ wird aktiviert.
- Das allgemeine Warnungsschema für die E-Mail-Aktion „Jane Smith's email“ wird deaktiviert.
- Das allgemeine Warnungsschema für die Webhookaktion „Sample webhook“ wird aktiviert.
{
"properties": {
"groupShortName": "sample",
"enabled": true,
"emailReceivers": [
{
"name": "John Doe's email",
"emailAddress": "johndoe@email.com",
"useCommonAlertSchema": true
},
{
"name": "Jane Smith's email",
"emailAddress": "janesmith@email.com",
"useCommonAlertSchema": false
}
],
"smsReceivers": [
{
"name": "John Doe's mobile",
"countryCode": "1",
"phoneNumber": "1234567890"
},
{
"name": "Jane Smith's mobile",
"countryCode": "1",
"phoneNumber": "0987654321"
}
],
"webhookReceivers": [
{
"name": "Sample webhook",
"serviceUri": "http://www.example.com/webhook",
"useCommonAlertSchema": true
}
]
},
"location": "Global",
"tags": {}
}