Freigeben über


Allgemeines Warnungsschema

Mit dem allgemeinen Warnungsschema wird die Benutzeroberfläche für Warnungsbenachrichtigungen in Azure Monitor standardisiert. Früher verfügten Warnungen für Aktivitätsprotokolle, Metriken und Protokollsuchen jeweils über eigene E-Mail-Vorlagen und Webhookschemas. Das allgemeine Warnungsschema bietet ein standardisiertes Schema für alle Warnungsbenachrichtigungen.

Mithilfe eines standardisierten Schemas können Sie die Anzahl der Integrationen minimieren, wodurch sie einfacher verwaltet und gewartet werden können. Mit dem gängigen Schema wird eine umfassendere Oberfläche für die Nutzung von Warnungen bereitgestellt – sowohl im Azure-Portal als auch in der mobilen Azure-App.

Das allgemeine Warnungsschema bietet eine konsistente Struktur für:

  • E-Mail-Vorlagen: Verwenden Sie die detaillierte E-Mail-Vorlage, um Probleme auf einen Blick zu diagnostizieren. Eingebettete Links zur Warnungsinstanz im Portal und zur betroffenen Ressource stellen sicher, dass Sie so schnell wie möglich mit der Behebung beginnen können.
  • JSON-Struktur: Verwenden Sie die konsistente JSON-Struktur, um Integrationen für alle Warnungstypen zu erstellen, indem Sie Folgendes verwenden:
    • Azure Logic Apps
    • Azure-Funktionen
    • Azure Automation-Runbook

Hinweis

  • Von VM Insights generierte Warnungen bieten keine Unterstützung für das allgemeine Schema.
  • Warnungen der intelligenten Erkennung unterstützen standardmäßig das allgemeine Schema. Für Warnungen der intelligenten Erkennung müssen Sie das allgemeine Schema nicht aktivieren.

Struktur des allgemeinen Schemas

Das allgemeine Schema enthält Informationen zur betroffenen Ressource und zur Ursache der Warnung, die in den folgenden Abschnitten enthalten sind:

  • Grundlagen: Standardisierte Felder, die von allen Warnungstypen genutzt werden. Sie enthalten die von der Warnung betroffene Ressource und allgemeine Warnungsmetadaten, z. B. den Schweregrad oder die Beschreibung.

    Wenn Sie Warnungsinstanzen basierend auf Kriterien wie einer Ressourcengruppe an bestimmte Teams weiterleiten möchten, können Sie die Felder im Abschnitt Grundlagen verwenden, um Routinglogik für alle Warnungstypen bereitzustellen. Die Teams, die die Warnungsbenachrichtigung erhalten, können dann die Kontextfelder für ihre Untersuchung nutzen.

  • Warnungskontext: Felder, die je nach Warnungstyp variieren. In den Feldern unter „Warnungskontext“ wird die Ursache der Warnung beschrieben. Eine Metrikwarnung hätte beispielsweise Felder wie den Metriknamen und den Metrikwert im Warnungskontext. Eine Aktivitätsprotokollwarnung enthält Informationen zu dem Ereignis, das die Warnung generiert hat.

  • Benutzerdefinierte Eigenschaften: Zusätzliche Informationen, die standardmäßig nicht in den Warnungsnutzdaten enthalten sind, können mithilfe benutzerdefinierter Eigenschaften in die Warnungsnutzdaten einbezogen werden. Benutzerdefinierte Eigenschaften sind ein Schlüssel-Wert-Paar, das alle in der Warnungsregel konfigurierten Informationen enthalten kann.

Beispielnutzlast einer Warnung

{
  "schemaId": "azureMonitorCommonAlertSchema",
  "data": {
    "essentials": {
      "alertId": "/subscriptions/<subscription ID>/providers/Microsoft.AlertsManagement/alerts/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
      "alertRule": "WCUS-R2-Gen2",
      "severity": "Sev3",
      "signalType": "Metric",
      "monitorCondition": "Resolved",
      "monitoringService": "Platform",
      "alertTargetIDs": [
        "/subscriptions/<subscription ID>/resourcegroups/pipelinealertrg/providers/microsoft.compute/virtualmachines/wcus-r2-gen2"
      ],
      "configurationItems": [
        "wcus-r2-gen2"
      ],
      "originAlertId": "3f2d4487-b0fc-4125-8bd5-7ad17384221e_PipeLineAlertRG_microsoft.insights_metricAlerts_WCUS-R2-Gen2_-117781227",
      "firedDateTime": "2019-03-22T13:58:24.3713213Z",
      "resolvedDateTime": "2019-03-22T14:03:16.2246313Z",
      "description": "",
      "essentialsVersion": "1.0",
      "alertContextVersion": "1.0"
    },
    "alertContext": {
      "properties": null,
      "conditionType": "SingleResourceMultipleMetricCriteria",
      "condition": {
        "windowSize": "PT5M",
        "allOf": [
          {
            "metricName": "Percentage CPU",
            "metricNamespace": "Microsoft.Compute/virtualMachines",
            "operator": "GreaterThan",
            "threshold": "25",
            "timeAggregation": "Average",
            "dimensions": [
              {
                "name": "ResourceId",
                "value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
              }
            ],
            "metricValue": 7.727
          }
        ]
      }
    },
    "customProperties": {
      "Key1": "Value1",
      "Key2": "Value2"
    }
  }
}

Beispielwarnungen, die das allgemeine Schema verwenden, finden Sie unter Beispiele für Nutzdaten von Warnungen.

Felder unter „Grundlagen“

Feld BESCHREIBUNG
alertId Die eindeutige Ressourcen-ID, die die Warnungsinstanz identifiziert.
alertRule Der Name der Warnungsregel, die die Warnungsinstanz generiert hat.
severity Der Schweregrad der Warnung. Mögliche Werte sind Sev0, Sev1, Sev2, Sev3 oder Sev4.
signalType Identifiziert das Signal, für das die Warnungsregel definiert wurde. Mögliche Werte sind Metrik, Protokoll oder Aktivitätsprotokoll.
monitorCondition Wenn eine Warnung ausgelöst wird, wird die Überwachungsbedingung der Warnung auf Ausgelöst festgelegt. Wenn die zugrunde liegende Bedingung gelöscht wurde, die die Warnung ausgelöst hat, wird die Überwachungsbedingung auf Behoben festgelegt.
monitoringService Der Überwachungsdienst oder die Lösung, von dem bzw. der die Warnung generiert wurde. Der Überwachungsdienst bestimmt, welche Felder sich im Warnungskontext befinden.
alertTargetIDs Die Liste der Azure Resource Manager-IDs, die betroffene Ziele einer Warnung sind. Für eine Protokollsuchwarnung, die für einen Log Analytics-Arbeitsbereich oder eine Application Insights-Instanz definiert ist, ist es der jeweilige Arbeitsbereich oder die Anwendung.
configurationItems Die Liste der von einer Warnung betroffenen Ressourcen.
In einigen Fällen können sich die Konfigurationselemente von den Warnungszielen unterscheiden. Beispielsweise sind die Konfigurationselemente in Metrik-für-Protokoll- oder Protokollsuchwarnungen, die für einen Log Analytics-Arbeitsbereich definiert sind, die tatsächlichen Ressourcen, welche die Daten senden, und nicht der Arbeitsbereich.
  • In der API für Protokollsuchwarnungen (Geplante Abfrageregeln) v2021-08-01 werden die configurationItem-Werte von explizit definierten Dimensionen in dieser Priorität übernommen: _ResourceId, ResourceId, Resource, Computer.
  • In früheren Versionen der API für Protokollsuchwarnungen werden die configurationItem-Werte implizit aus den Ergebnissen in dieser Priorität übernommen: _ResourceId, ResourceId, Resource, Computer.
In ITSM-Systemen wird das configurationItems-Feld verwendet, um Warnungen mit Ressourcen in einer Datenbank für die Konfigurationsverwaltung zu korrelieren.
originAlertId Die ID der Warnungsinstanz, wie sie vom überwachenden Dienst generiert wird, der sie generiert.
firedDateTime Das Datum und die Uhrzeit, zu der die Warnungsinstanz ausgelöst wurde, in koordinierter Weltzeit (UTC).
resolvedDateTime Das Datum und die Uhrzeit, zu der die Überwachungsbedingung für die Warnungsinstanz auf Behoben festgelegt wurde, in UTC. Gilt derzeit nur für Metrikwarnungen.
description Die Beschreibung entsprechend der Definition in der Warnungsregel.
alertRuleID Die ID der Warnungsregel, die die Warnungsinstanz generiert hat
resourceType Der von der Warnung betroffene Ressourcentyp
resourceGroupName Name der Ressourcengruppe für die betroffene Ressource.
essentialsVersion Die Versionsnummer für den Abschnitt „essentials“.
alertContextVersion Die Versionsnummer für den Abschnitt alertContext.
investigationLink Verknüpfen Sie den Link, um die Warnung in Azure Monitor zu untersuchen. Zurzeit ist eine eingeschränkte Vorschauregistrierung erforderlich.

Felder unter „Warnungskontext“ für Metrikwarnungen

Feld BESCHREIBUNG
properties (Optional.) Eine Auflistung von benutzerdefinierten Eigenschaften.
conditionType Der Typ der Bedingung, die für die Warnungsregel ausgewählt ist:
- Statischer Schwellwert
- dynamischer Schwellwert
- webtest
condition
windowSize Der von der Warnungsregel analysierte Zeitraum.
allOf Gibt an, dass alle in der Warnungsregel definierten Bedingungen erfüllt sein müssen, um eine Warnung auszulösen.
alertSensitivity Gibt in einer Warnungsregel mit einem dynamischen Schwellwert an, wie empfindlich die Regel ist oder wie stark der Wert vom oberen oder unteren Schwellwert abweichen kann.
failingPeriods Die Anzahl der Auswertungszeiträume in einer Warnungsregel mit einem dynamischen Schwellwert, die den Warnungsschwellwert nicht erfüllen, der eine Warnung auslöst. Sie können beispielsweise angeben, dass eine Warnung ausgelöst wird, wenn 3 der letzten fünf Auswertungszeiträume nicht innerhalb der Schwellwerte der Warnung liegen.
numberOfEvaluationPeriods Die Gesamtzahl der Auswertungen.
minFailingPeriodsToAlert Die Mindestanzahl von Auswertungen, die die Bedingungen der Warnungsregel nicht erfüllen.
ignoreDataBefore (Optional.) In einer Warnungsregel mit einem dynamischen Schwellwert das Datum, ab dem der Schwellwert berechnet wird. Verwenden Sie diesen Wert, um anzugeben, dass die Regel den dynamischen Schwellwert nicht anhand von Daten vor dem angegebenen Datum berechnen soll.
metricName Der Name der Metrik, die durch die Warnungsregel überwacht werden soll.
metricNamespace Der Namespace der Metrik, die von der Warnungsregel überwacht wird.
Operator Der logische Operator der Warnungsregel.
threshold Der in der Warnungsregel definierte Schwellwert. Bei einer Warnungsregel mit einem dynamischen Schwellwert ist dieser Wert der berechnete Schwellwert.
timeAggregation Der Aggregationstyp der Warnungsregel.
dimensions Die Metrikdimension, die die Warnung ausgelöst hat.
name Der Dimensionsname.
value Der Dimensionswert.
metricValue Der Metrikwert zu dem Zeitpunkt, zu dem er den Schwellwert verletzt hat.
webTestName Der Name des Webtests, wenn der Bedingungstyp webtest ist.
windowStartTime Die Startzeit des Auswertungsfensters, in dem die Warnung ausgelöst wurde.
windowEndTime Die Endzeit des Auswertungsfensters, in dem die Warnung ausgelöst wurde.

Beispiel: Metrikwarnung mit einem statischen Schwellwert und monitoringService = Platform

{
  "alertContext": {
      "properties": null,
      "conditionType": "SingleResourceMultipleMetricCriteria",
      "condition": {
        "windowSize": "PT5M",
        "allOf": [
          {
            "metricName": "Percentage CPU",
            "metricNamespace": "Microsoft.Compute/virtualMachines",
            "operator": "GreaterThan",
            "threshold": "25",
            "timeAggregation": "Average",
            "dimensions": [
              {
                "name": "ResourceId",
                "value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
              }
            ],
            "metricValue": 31.1105
          }
        ],
        "windowStartTime": "2019-03-22T13:40:03.064Z",
        "windowEndTime": "2019-03-22T13:45:03.064Z"
      }
    }
}

Beispiel: Metrikwarnung mit einem dynamischen Schwellwert und monitoringService = Platform

{
  "alertContext": {
      "properties": null,
      "conditionType": "DynamicThresholdCriteria",
      "condition": {
        "windowSize": "PT5M",
        "allOf": [
          {
            "alertSensitivity": "High",
            "failingPeriods": {
              "numberOfEvaluationPeriods": 1,
              "minFailingPeriodsToAlert": 1
            },
            "ignoreDataBefore": null,
            "metricName": "Egress",
            "metricNamespace": "microsoft.storage/storageaccounts",
            "operator": "GreaterThan",
            "threshold": "47658",
            "timeAggregation": "Total",
            "dimensions": [],
            "metricValue": 50101
          }
        ],
        "windowStartTime": "2021-07-20T05:07:26.363Z",
        "windowEndTime": "2021-07-20T05:12:26.363Z"
      }
    }
}

Beispiel: Metrikwarnung für Verfügbarkeitstests und monitoringService = Platform

{
  "alertContext": {
      "properties": null,
      "conditionType": "WebtestLocationAvailabilityCriteria",
      "condition": {
        "windowSize": "PT5M",
        "allOf": [
          {
            "metricName": "Failed Location",
            "metricNamespace": null,
            "operator": "GreaterThan",
            "threshold": "2",
            "timeAggregation": "Sum",
            "dimensions": [],
            "metricValue": 5,
            "webTestName": "myAvailabilityTest-myApplication"
          }
        ],
        "windowStartTime": "2019-03-22T13:40:03.064Z",
        "windowEndTime": "2019-03-22T13:45:03.064Z"
      }
    }
}

Warnungskontextfelder für Protokollsuchwarnungen

Hinweis

Wenn Sie das allgemeine Schema aktivieren, werden die Felder in der Nutzlast auf die Felder des allgemeinen Schemas zurückgesetzt. Daher gelten bei Protokollsuchwarnungen diese Einschränkungen in Bezug auf das gemeinsame Schema:

  • Das allgemeine Schema wird nicht für Protokollsuchwarnungen unterstützt, die Webhooks mit einem benutzerdefinierten E-Mail-Betreff und/oder benutzerdefinierte JSON-Nutzdaten verwenden, da das allgemeine Schema die benutzerdefinierten Konfigurationen überschreibt.
  • Für Warnungen, die das allgemeine Schema nutzen, gilt eine Größenbeschränkung von 256 KB pro Warnung. Wenn die Nutzdaten von Protokollsuchwarnungen Suchergebnisse enthalten, durch welche die Warnung die maximale Größe überschreitet, werden die Suchergebnisse nicht in die Nutzdaten der Protokollsuchwarnungen eingebettet. Mit dem IncludedSearchResults-Flag können Sie überprüfen, ob die Nutzlast die Suchergebnisse enthält. Wenn die Suchergebnisse nicht enthalten sind, verwenden Sie LinkToFilteredSearchResultsAPI oder LinkToSearchResultsAPI, um über die Log Analytics-API auf die Abfrageergebnisse zuzugreifen.
Feld BESCHREIBUNG
SearchQuery Die Abfrage, die in der Warnungsregel definiert ist.
SearchIntervalStartTimeUtc Die Startzeit des Auswertungsfensters in UTC, in dem die Warnung ausgelöst wurde.
SearchIntervalEndTimeUtc Die Endzeit des Auswertungsfensters in UTC, in dem die Warnung ausgelöst wurde.
ResultCount Die Anzahl der von der Abfrage zurückgegebenen Ergebnisse. Bei Metrikmessregeln die Anzahl der Datensätze, die der spezifischen Dimensionskombination entsprechen.
LinkToSearchResults Ein Link zu den Suchergebnissen.
LinkToFilteredSearchResultsUI Bei Metrikmessregeln der Link zu den Suchergebnissen, nachdem sie nach den Dimensionskombinationen gefiltert wurden.
LinkToSearchResultsAPI Ein Link zu den Abfrageergebnissen mithilfe der Log Analytics-API.
LinkToFilteredSearchResultsAPI Bei Metrikmessregeln der Link zu den Suchergebnissen, die die Log Analytics-API verwenden, nachdem sie nach den Dimensionskombinationen gefiltert wurden.
SearchIntervalDurationMin Die Gesamtzahl der Minuten im Suchintervall.
SearchIntervalInMin Die Gesamtzahl der Minuten im Suchintervall.
Schwellenwert Der in der Warnungsregel definierte Schwellwert.
Betreiber Der Operator entsprechend der Definition in der Warnungsregel.
ApplicationID Die Application Insights-ID, für die die Warnung ausgelöst wurde.
Dimensionen Bei Metrikmessregeln die Metrikdimensionen, für die die Warnung ausgelöst wurde.
name Der Dimensionsname.
value Der Dimensionswert.
SearchResults Alle Suchergebnisse.
table Die Tabelle der Ergebnisse in den Suchergebnissen.
name Der Name der Tabelle in den Suchergebnissen.
Spalten Die Spalten in der Tabelle.
name Der Name der Spalte.
Typ Der Typ der Spalte.
rows Die Zeilen in der Tabelle.
DataSources Die Datenquellen, für die die Warnung ausgelöst wurde.
resourceID Die von der Warnung betroffene Ressourcen-ID.
Tabellen Die in der Abfrage enthaltenen Entwurfsantworttabellen.
IncludedSearchResults Flag, das angibt, ob die Nutzdaten die Ergebnisse enthalten sollen.
AlertType Der Warnungstyp:
- Metrikmessung
- Anzahl von Ergebnissen

Beispielprotokollsuchwarnung, wenn der monitoringService = Log Analytics ist

{
  "alertContext": {
    "SearchQuery": "Perf | where ObjectName == \"Processor\" and CounterName == \"% Processor Time\" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), Computer",
    "SearchIntervalStartTimeUtc": "3/22/2019 1:36:31 PM",
    "SearchIntervalEndtimeUtc": "3/22/2019 1:51:31 PM",
    "ResultCount": 2,
    "LinkToSearchResults": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
    "LinkToFilteredSearchResultsUI": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
    "LinkToSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat&timespan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
    "LinkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat&timespan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
    "SeverityDescription": "Warning",
    "WorkspaceId": "12345a-1234b-123c-123d-12345678e",
    "SearchIntervalDurationMin": "15",
    "AffectedConfigurationItems": [
      "INC-Gen2Alert"
    ],
    "SearchIntervalInMinutes": "15",
    "Threshold": 10000,
    "Operator": "Less Than",
    "Dimensions": [
      {
        "name": "Computer",
        "value": "INC-Gen2Alert"
      }
    ],
    "SearchResults": {
      "tables": [
        {
          "name": "PrimaryResult",
          "columns": [
            {
              "name": "$table",
              "type": "string"
            },
            {
              "name": "Computer",
              "type": "string"
            },
            {
              "name": "TimeGenerated",
              "type": "datetime"
            }
          ],
          "rows": [
            [
              "Fabrikam",
              "33446677a",
              "2018-02-02T15:03:12.18Z"
            ],
            [
              "Contoso",
              "33445566b",
              "2018-02-02T15:16:53.932Z"
            ]
          ]
        }
      ],
      "dataSources": [
        {
          "resourceId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
          "tables": [
            "Heartbeat"
          ]
        }
      ]
    },
    "IncludedSearchResults": "True",
    "AlertType": "Metric measurement"
  }
}

Beispielprotokollsuchwarnung wenn der monitoringService = Application Insights ist

{
  "alertContext": {
    "SearchQuery": "requests | where resultCode == \"500\" | summarize AggregatedValue = Count by bin(Timestamp, 5m), IP",
    "SearchIntervalStartTimeUtc": "3/22/2019 1:36:33 PM",
    "SearchIntervalEndtimeUtc": "3/22/2019 1:51:33 PM",
    "ResultCount": 2,
    "LinkToSearchResults": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
    "LinkToFilteredSearchResultsUI": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
    "LinkToSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
    "LinkToFilteredSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
    "SearchIntervalDurationMin": "15",
    "SearchIntervalInMinutes": "15",
    "Threshold": 10000.0,
    "Operator": "Less Than",
    "ApplicationId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "Dimensions": [
      {
        "name": "IP",
        "value": "1.1.1.1"
      }
    ],
    "SearchResults": {
      "tables": [
        {
          "name": "PrimaryResult",
          "columns": [
            {
              "name": "$table",
              "type": "string"
            },
            {
              "name": "Id",
              "type": "string"
            },
            {
              "name": "Timestamp",
              "type": "datetime"
            }
          ],
          "rows": [
            [
              "Fabrikam",
              "33446677a",
              "2018-02-02T15:03:12.18Z"
            ],
            [
              "Contoso",
              "33445566b",
              "2018-02-02T15:16:53.932Z"
            ]
          ]
        }
      ],
      "dataSources": [
        {
          "resourceId": "/subscriptions/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
          "tables": [
            "Heartbeat"
          ]
        }
      ]
    },
    "IncludedSearchResults": "True",
    "AlertType": "Metric measurement"
  }
}

Beispielprotokollsuchwarnung wenn der monitoringService = Log Alerts V2

Hinweis

Regeln für Protokollsuchwarnungen der API-Version 2020-05-01 verwenden diesen Nutzdatentyp, der nur das allgemeine Schema unterstützt. Bei Verwendung dieser Version werden Suchergebnisse nicht in die Nutzdaten der Protokollsuchwarnungen eingebettet. Verwenden Sie Dimensionen, um Kontext für ausgelöste Warnungen bereitzustellen. Sie können auch LinkToFilteredSearchResultsAPI oder LinkToSearchResultsAPI verwenden, um mit der Log Analytics-API auf Abfrageergebnisse zuzugreifen. Wenn Sie die Ergebnisse einbetten müssen, verwenden Sie eine Logik-App mit den bereitgestellten Links, die benutzerdefinierte Nutzdaten generieren.

{
  "alertContext": {
    "properties": {
      "name1": "value1",
      "name2": "value2"
    },
    "conditionType": "LogQueryCriteria",
    "condition": {
      "windowSize": "PT10M",
      "allOf": [
        {
          "searchQuery": "Heartbeat",
          "metricMeasureColumn": "CounterValue",
          "targetResourceTypes": "['Microsoft.Compute/virtualMachines']",
          "operator": "LowerThan",
          "threshold": "1",
          "timeAggregation": "Count",
          "dimensions": [
            {
              "name": "Computer",
              "value": "TestComputer"
            }
          ],
          "metricValue": 0.0,
          "failingPeriods": {
            "numberOfEvaluationPeriods": 1,
            "minFailingPeriodsToAlert": 1
          },
          "linkToSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
          "linkToFilteredSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
          "linkToSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29&timespan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
          "linkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29&timespan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z"
        }
      ],
      "windowStartTime": "2020-07-07T13:54:34Z",
      "windowEndTime": "2020-07-09T13:54:34Z"
    }
  }
}

Felder unter „Warnungskontext“ für Aktivitätsprotokollwarnungen

Ausführliche Informationen zu den Feldern in Aktivitätsprotokollwarnungen finden Sie unter Ereignisschema des Azure-Aktivitätsprotokolls.

Beispiel: Aktivitätsprotokollwarnung mit monitoringService = Activity Log – Administrative

{
  "alertContext": {
      "authorization": {
        "action": "Microsoft.Compute/virtualMachines/restart/action",
        "scope": "/subscriptions/<subscription ID>/resourceGroups/PipeLineAlertRG/providers/Microsoft.Compute/virtualMachines/WCUS-R2-ActLog"
      },
      "channels": "Operation",
      "claims": "{\"aud\":\"https://management.core.windows.net/\",\"iss\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"iat\":\"1553260826\",\"nbf\":\"1553260826\",\"exp\":\"1553264726\",\"aio\":\"42JgYNjdt+rr+3j/dx68v018XhuFAwA=\",\"appid\":\"11112222-bbbb-3333-cccc-4444dddd5555\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"12345a-1234b-123c-123d-12345678e\",\"uti\":\"v5wYC9t9ekuA2rkZSVZbAA\",\"ver\":\"1.0\"}",
      "caller": "22223333-cccc-4444-dddd-5555eeee6666",
      "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
      "eventSource": "Administrative",
      "eventTimestamp": "2019-03-22T13:56:31.2917159+00:00",
      "eventDataId": "161fda7e-1cb4-4bc5-9c90-857c55a8f57b",
      "level": "Informational",
      "operationName": "Microsoft.Compute/virtualMachines/restart/action",
      "operationId": "310db69b-690f-436b-b740-6103ab6b0cba",
      "status": "Succeeded",
      "subStatus": "",
      "submissionTimestamp": "2019-03-22T13:56:54.067593+00:00"
    }
}

Beispiel: Aktivitätsprotokollwarnung mit monitoringService = Activity Log – Policy

{
  "alertContext": {
    "authorization": {
      "action": "Microsoft.Resources/checkPolicyCompliance/read",
      "scope": "/subscriptions/<GUID>"
    },
    "channels": "Operation",
    "claims": "{\"aud\":\"https://management.azure.com/\",\"iss\":\"https://sts.windows.net/<GUID>/\",\"iat\":\"1566711059\",\"nbf\":\"1566711059\",\"exp\":\"1566740159\",\"aio\":\"42FgYOhynHNw0scy3T/bL71+xLyqEwA=\",\"appid\":\"<GUID>\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/<GUID>/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"<GUID>\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"<GUID>\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"<GUID>\",\"uti\":\"Miy1GzoAG0Scu_l3m1aIAA\",\"ver\":\"1.0\"}",
    "caller": "<GUID>",
    "correlationId": "<GUID>",
    "eventSource": "Policy",
    "eventTimestamp": "2019-08-25T11:11:34.2269098+00:00",
    "eventDataId": "<GUID>",
    "level": "Warning",
    "operationName": "Microsoft.Authorization/policies/audit/action",
    "operationId": "<GUID>",
    "properties": {
      "isComplianceCheck": "True",
      "resourceLocation": "eastus2",
      "ancestors": "<GUID>",
      "policies": "[{\"policyDefinitionId\":\"/providers/Microsoft.Authorization/policyDefinitions/<GUID>/\",\"policySetDefinitionId\":\"/providers/Microsoft.Authorization/policySetDefinitions/<GUID>/\",\"policyDefinitionReferenceId\":\"vulnerabilityAssessmentMonitoring\",\"policySetDefinitionName\":\"<GUID>\",\"policyDefinitionName\":\"<GUID>\",\"policyDefinitionEffect\":\"AuditIfNotExists\",\"policyAssignmentId\":\"/subscriptions/<GUID>/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn/\",\"policyAssignmentName\":\"SecurityCenterBuiltIn\",\"policyAssignmentScope\":\"/subscriptions/<GUID>\",\"policyAssignmentSku\":{\"name\":\"A1\",\"tier\":\"Standard\"},\"policyAssignmentParameters\":{}}]"
    },
    "status": "Succeeded",
    "subStatus": "",
    "submissionTimestamp": "2019-08-25T11:12:46.1557298+00:00"
  }
}

Beispiel: Aktivitätsprotokollwarnung mit monitoringService = Activity Log – Autoscale

{
  "alertContext": {
    "channels": "Admin, Operation",
    "claims": "{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn\":\"Microsoft.Insights/autoscaleSettings\"}",
    "caller": "Microsoft.Insights/autoscaleSettings",
    "correlationId": "<GUID>",
    "eventSource": "Autoscale",
    "eventTimestamp": "2019-08-21T16:17:47.1551167+00:00",
    "eventDataId": "<GUID>",
    "level": "Informational",
    "operationName": "Microsoft.Insights/AutoscaleSettings/Scaleup/Action",
    "operationId": "<GUID>",
    "properties": {
      "description": "The autoscale engine attempting to scale resource '/subscriptions/d<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS' from 9 instances count to 10 instances count.",
      "resourceName": "/subscriptions/<GUID>/resourceGroups/voiceassistancedemo/providers/Microsoft.Compute/virtualMachineScaleSets/alexademo",
      "oldInstancesCount": "9",
      "newInstancesCount": "10",
      "activeAutoscaleProfile": "{\r\n  \"Name\": \"Auto created scale condition\",\r\n  \"Capacity\": {\r\n    \"Minimum\": \"1\",\r\n    \"Maximum\": \"10\",\r\n    \"Default\": \"1\"\r\n  },\r\n  \"Rules\": [\r\n    {\r\n      \"MetricTrigger\": {\r\n        \"Name\": \"Percentage CPU\",\r\n        \"Namespace\": \"microsoft.compute/virtualmachinescalesets\",\r\n        \"Resource\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n        \"ResourceLocation\": \"eastus\",\r\n        \"TimeGrain\": \"PT1M\",\r\n        \"Statistic\": \"Average\",\r\n        \"TimeWindow\": \"PT5M\",\r\n        \"TimeAggregation\": \"Average\",\r\n        \"Operator\": \"GreaterThan\",\r\n        \"Threshold\": 0.0,\r\n        \"Source\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n        \"MetricType\": \"MDM\",\r\n        \"Dimensions\": [],\r\n        \"DividePerInstance\": false\r\n      },\r\n      \"ScaleAction\": {\r\n        \"Direction\": \"Increase\",\r\n        \"Type\": \"ChangeCount\",\r\n        \"Value\": \"1\",\r\n        \"Cooldown\": \"PT1M\"\r\n      }\r\n    }\r\n  ]\r\n}",
      "lastScaleActionTime": "Wed, 21 Aug 2019 16:17:47 GMT"
    },
    "status": "Succeeded",
    "submissionTimestamp": "2019-08-21T16:17:47.2410185+00:00"
  }
}

Beispiel: Aktivitätsprotokollwarnung mit monitoringService = Activity Log – Security

{
  "alertContext": {
    "channels": "Operation",
    "correlationId": "<GUID>",
    "eventSource": "Security",
    "eventTimestamp": "2019-08-26T08:34:14+00:00",
    "eventDataId": "<GUID>",
    "level": "Informational",
    "operationName": "Microsoft.Security/locations/alerts/activate/action",
    "operationId": "<GUID>",
    "properties": {
      "threatStatus": "Quarantined",
      "category": "Virus",
      "threatID": "2147519003",
      "filePath": "C:\\AlertGeneration\\test.eicar",
      "protectionType": "Windows Defender",
      "actionTaken": "Blocked",
      "resourceType": "Virtual Machine",
      "severity": "Low",
      "compromisedEntity": "testVM",
      "remediationSteps": "[\"No user action is necessary\"]",
      "attackedResourceType": "Virtual Machine"
    },
    "status": "Active",
    "submissionTimestamp": "2019-08-26T09:28:58.3019107+00:00"
  }
}

Beispiel: Aktivitätsprotokollwarnung mit monitoringService = ServiceHealth

{
  "alertContext": {
    "authorization": null,
    "channels": 1,
    "claims": null,
    "caller": null,
    "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
    "eventSource": 2,
    "eventTimestamp": "2019-06-24T11:31:19.0312699+00:00",
    "httpRequest": null,
    "eventDataId": "<GUID>",
    "level": 3,
    "operationName": "Microsoft.ServiceHealth/maintenance/action",
    "operationId": "<GUID>",
    "properties": {
      "title": "Azure Synapse Analytics Scheduled Maintenance Pending",
      "service": "Azure Synapse Analytics",
      "region": "East US",
      "communication": "<MESSAGE>",
      "incidentType": "Maintenance",
      "trackingId": "<GUID>",
      "impactStartTime": "2019-06-26T04:00:00Z",
      "impactMitigationTime": "2019-06-26T12:00:00Z",
      "impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"East US\"}],\"ServiceName\":\"Azure Synapse Analytics\"}]",
      "impactedServicesTableRows": "<tr>\r\n<td align='center' style='padding: 5px 10px; border-right:1px solid black; border-bottom:1px solid black'>Azure Synapse Analytics</td>\r\n<td align='center' style='padding: 5px 10px; border-bottom:1px solid black'>East US<br></td>\r\n</tr>\r\n",
      "defaultLanguageTitle": "Azure Synapse Analytics Scheduled Maintenance Pending",
      "defaultLanguageContent": "<MESSAGE>",
      "stage": "Planned",
      "communicationId": "<GUID>",
      "maintenanceId": "<GUID>",
      "isHIR": "false",
      "version": "0.1.1"
    },
    "status": "Active",
    "subStatus": null,
    "submissionTimestamp": "2019-06-24T11:31:31.7147357+00:00",
    "ResourceType": null
  }
}

Beispiel: Aktivitätsprotokollwarnung mit monitoringService = ResourceHealth

{
  "alertContext": {
    "channels": "Admin, Operation",
    "correlationId": "<GUID>",
    "eventSource": "ResourceHealth",
    "eventTimestamp": "2019-06-24T15:42:54.074+00:00",
    "eventDataId": "<GUID>",
    "level": "Informational",
    "operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
    "operationId": "<GUID>",
    "properties": {
      "title": "This virtual machine is stopping and deallocating as requested by an authorized user or process",
      "details": null,
      "currentHealthStatus": "Unavailable",
      "previousHealthStatus": "Available",
      "type": "Downtime",
      "cause": "UserInitiated"
    },
    "status": "Active",
    "submissionTimestamp": "2019-06-24T15:45:20.4488186+00:00"
  }
}

Felder unter „Warnungskontext“ für Prometheus-Warnungen

Ausführliche Informationen zu den Feldern in Prometheus-Warnungen finden Sie unter Verwalteter Azure Monitor-Dienst für Prometheus-Regelgruppen (Vorschau).

Beispiel: Prometheus-Warnung

{
  "alertContext": {
    "interval": "PT1M",
    "expression": "sql_up > 0",
    "expressionValue": "0",
    "for": "PT2M",
    "labels": {
      "Environment": "Prod",
      "cluster": "myCluster1"
    },
    "annotations": {
      "summary": "alert on SQL availability"
    },
    "ruleGroup": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.AlertsManagement/prometheusRuleGroups/myRuleGroup"
  }
}

Felder für benutzerdefinierte Eigenschaften

Wenn die Warnungsregel, die Ihre Warnung generiert hat, Aktionsgruppen enthält, können benutzerdefinierte Eigenschaften zusätzliche Informationen zur Warnung enthalten. Der Abschnitt „benutzerdefinierte Eigenschaften“ enthält „key: value“-Objekte, die Webhookbenachrichtigungen hinzugefügt werden.

Wenn in der Warnungsregel keine benutzerdefinierten Eigenschaften festgelegt sind, ist das Feld auf NULL festgelegt.

Aktivieren des allgemeinen Warnungsschemas

Verwenden Sie Aktionsgruppen im Azure-Portal oder verwenden Sie die REST-API, um das allgemeine Warnungsschema zu aktivieren. Schemas werden auf Aktionsebene definiert. Beispielsweise müssen Sie das Schema für eine E-Mail-Aktion und eine Webhookaktion separat aktivieren.

Aktivieren des allgemeinen Schemas im Azure-Portal

Screenshot, der das Opt-in für das allgemeine Benachrichtigungsschema zeigt.

  1. Öffnen Sie eine vorhandene Aktion oder eine neue Aktion in einer Aktionsgruppe.
  2. Wählen Sie Ja aus, um das allgemeine Warnungsschema zu aktivieren.

Aktivieren des allgemeinen Schemas mithilfe der REST-API

Sie können auch die Aktionsgruppen-API verwenden, um das allgemeine Warnungsschema zu aktivieren. Im Aufruf zum Erstellen oder Aktualisieren der Rest-API:

  • Legen Sie das useCommonAlertSchema-Flag auf true fest, um das allgemeine Schema zu aktivieren.
  • Legen Sie das useCommonAlertSchema-Flag auf false fest, um das nicht allgemeine Schema für E-Mail-, Webhook-, Logic Apps-, Azure Functions- oder Automation-Runbookaktionen zu verwenden.

Beispiel: REST-API-Aufruf für die Verwendung des allgemeinen Schemas

Diese Anforderung zum Erstellen oder Aktualisieren der REST-API bewirkt Folgendes:

  • Das allgemeine Warnungsschema für die E-Mail-Aktion „John Doe's email“ wird aktiviert.
  • Das allgemeine Warnungsschema für die E-Mail-Aktion „Jane Smith's email“ wird deaktiviert.
  • Das allgemeine Warnungsschema für die Webhookaktion „Sample webhook“ wird aktiviert.
{
  "properties": {
    "groupShortName": "sample",
    "enabled": true,
    "emailReceivers": [
      {
        "name": "John Doe's email",
        "emailAddress": "johndoe@email.com",
        "useCommonAlertSchema": true
      },
      {
        "name": "Jane Smith's email",
        "emailAddress": "janesmith@email.com",
        "useCommonAlertSchema": false
      }
    ],
    "smsReceivers": [
      {
        "name": "John Doe's mobile",
        "countryCode": "1",
        "phoneNumber": "1234567890"
      },
      {
        "name": "Jane Smith's mobile",
        "countryCode": "1",
        "phoneNumber": "0987654321"
      }
    ],
    "webhookReceivers": [
      {
        "name": "Sample webhook",
        "serviceUri": "http://www.example.com/webhook",
        "useCommonAlertSchema": true
      }
    ]
  },
  "location": "Global",
  "tags": {}
}

Nächste Schritte