REST-API für Legacy Log Analytics-Warnungen
In diesem Artikel wird beschrieben, wie Sie Warnungsregeln mithilfe der Legacy-API verwalten.
Wichtig
Wie angekündigt hat, wird die Log Analytics-Warnungs-API am 1. Oktober 2025 eingestellt. Sie müssen bis zu diesem Datum zur Verwendung der API für geplante Abfrageregeln für Protokollsuchbenachrichtigungen wechseln. Log Analytics-Arbeitsbereiche, die nach dem 1. Juni 2019 erstellt wurden, verwenden die scheduledQueryRules-API zum Verwalten von Warnungsregeln. Wechseln zur aktuellen API in älteren Arbeitsbereichen, um azure Monitor scheduledQueryRules Vorteilenutzen zu können.
Mit der REST-API für Log Analytics-Warnungen können Sie Benachrichtigungen in Log Analytics erstellen und verwalten. Dieser Artikel enthält Details zur API und mehrere Beispiele zum Ausführen verschiedener Vorgänge.
Die REST-API für die Log Analytics-Suche ist RESTful und kann über die REST-API des Azure Resource Manager aufgerufen werden. In diesem Artikel finden Sie Beispiele, in denen über eine PowerShell-Befehlszeile über ARMClient-auf die API zugegriffen wird. Dieses Open-Source-Befehlszeilentool vereinfacht das Aufrufen der Azure Resource Manager-API.
Die Verwendung von ARMClient und PowerShell ist eine von vielen Optionen, die Sie für den Zugriff auf die Log Analytics-Such-API verwenden können. Mit diesen Tools können Sie die RESTful Azure Resource Manager-API verwenden, um Aufrufe an Log Analytics-Arbeitsbereiche durchzuführen und darin Suchbefehle auszuführen. Die API gibt Suchergebnisse im JSON-Format aus, sodass Sie die Suchergebnisse auf viele verschiedene Arten programmgesteuert verwenden können.
Voraussetzungen
Derzeit können Warnungen nur mit einer gespeicherten Suche in Log Analytics erstellt werden. Weitere Informationen finden Sie in der REST-API zur Protokollsuche.
Sendepläne
Eine gespeicherte Suche kann einen oder mehrere Zeitpläne aufweisen. Der Zeitplan definiert, wie oft die Suche ausgeführt wird, und das Zeitintervall, über das die Kriterien identifiziert werden. Zeitpläne weisen die in der folgenden Tabelle beschriebenen Eigenschaften auf:
| Eigentum | BESCHREIBUNG |
|---|---|
Interval |
Wie oft die Suche ausgeführt wird. Gemessen in Minuten. |
QueryTimeSpan |
Das Zeitintervall, über das die Kriterien ausgewertet werden. Muss gleich oder größer als Intervalsein. Gemessen in Minuten. |
Version |
Die verwendete API-Version. Derzeit sollte diese Einstellung immer 1sein. |
Betrachten Sie beispielsweise eine Ereignisabfrage mit einer Interval von 15 Minuten und einer Timespan von 30 Minuten. In diesem Fall würde die Abfrage alle 15 Minuten ausgeführt. Eine Warnung würde ausgelöst, wenn die Kriterien über einen 30-minütigen Zeitraum weiterhin auf true eingestellt sind.
Abrufen von Zeitplänen
Verwenden Sie die Get-Methode, um alle Zeitpläne für eine gespeicherte Suche abzurufen.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules?api-version=2015-03-20
Verwenden Sie die Get-Methode mit einer Zeitplan-ID, um einen bestimmten Zeitplan für eine gespeicherte Suche abzurufen.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Die folgende Beispielantwort ist für einen Zeitplan vorgesehen:
{
"value": [{
"id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
"etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
"properties": {
"Interval": 15,
"QueryTimeSpan": 15,
"Enabled": true,
}
}]
}
Erstellen eines Zeitplans
Verwenden Sie die Put-Methode mit einer eindeutigen Zeitplan-ID, um einen neuen Zeitplan zu erstellen. Zwei Zeitpläne können nicht dieselbe ID haben, auch wenn sie verschiedenen gespeicherten Suchvorgängen zugeordnet sind. Wenn Sie einen Zeitplan in der Log Analytics-Konsole erstellen, wird eine GUID für die Zeitplan-ID erstellt.
Hinweis
Der Name für alle gespeicherten Suchen, Zeitpläne und Aktionen, die mit der Log Analytics-API erstellt wurden, muss in Kleinbuchstaben angegeben sein.
$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Bearbeiten eines Zeitplans
Verwenden Sie die Put-Methode mit einer vorhandenen Zeitplan-ID für dieselbe gespeicherte Suche, um diesen Zeitplan zu ändern. Im folgenden Beispiel ist der Zeitplan deaktiviert. Der Textkörper der Anforderung muss die etag- des Zeitplans enthalten.
$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Zeitpläne löschen
Verwenden Sie die Delete-Methode mit einer Zeitplan-ID, um einen Zeitplan zu löschen.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Aktionen
Ein Zeitplan kann mehrere Aktionen haben. Eine Aktion kann einen oder mehrere auszuführende Prozesse definieren, z. B. das Senden einer E-Mail oder das Starten eines Runbook. Eine Aktion kann auch einen Schwellenwert definieren, der bestimmt, wann die Ergebnisse einer Suche einigen Kriterien entsprechen. Einige Aktionen definieren beide, sodass die Prozesse beim Erreichen des Schwellenwerts ausgeführt werden.
Alle Aktionen weisen die in der folgenden Tabelle beschriebenen Eigenschaften auf. Verschiedene Arten von Warnungen weisen andere unterschiedliche Eigenschaften auf, die in der folgenden Tabelle beschrieben werden:
| Eigentum | BESCHREIBUNG |
|---|---|
Type |
Typ der Aktion. Derzeit sind die möglichen Werte Alert und Webhook. |
Name |
Anzeigename für die Warnung. |
Version |
Die verwendete API-Version. Derzeit sollte diese Einstellung immer 1sein. |
Aktionen abrufen
Verwenden Sie die Get-Methode, um alle Aktionen für einen Zeitplan abzurufen.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20
Verwenden Sie die Get-Methode mit der Aktions-ID, um eine bestimmte Aktion für einen Zeitplan abzurufen.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20
Erstellen oder Bearbeiten von Aktionen
Verwenden Sie die Put-Methode mit einer Aktions-ID, die für den Zeitplan eindeutig ist, um eine neue Aktion zu erstellen. Wenn Sie eine Aktion in der Log Analytics-Konsole erstellen, ist eine GUID für die Aktions-ID vorgesehen.
Hinweis
Der Name für alle gespeicherten Suchen, Zeitpläne und Aktionen, die mit der Log Analytics-API erstellt wurden, muss in Kleinbuchstaben angegeben sein.
Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID für dieselbe gespeicherte Suche, um diesen Zeitplan zu ändern. Der Inhalt der Anforderung muss das etag des Zeitplans enthalten.
Das Anforderungsformat zum Erstellen einer neuen Aktion variiert je nach Aktionstyp, daher werden diese Beispiele in den folgenden Abschnitten bereitgestellt.
Löschen von Aktionen
Verwenden Sie die Delete-Methode mit der Aktions-ID, um eine Aktion zu löschen.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20
Warnungsaktionen
Ein Zeitplan sollte eine und nur eine Warnungsaktion aufweisen. Warnungsaktionen weisen einen oder mehrere der abschnitte auf, die in der folgenden Tabelle beschrieben sind:
| Abschnitt | BESCHREIBUNG | Verwendung |
|---|---|---|
| Schwelle | Kriterien, wann die Aktion ausgeführt wird. | Erforderlich für jede Warnung, bevor oder nachdem sie auf Azure übertragen werden. |
| Schweregrad | Bezeichnung, die zum Klassifizieren der Warnung beim Auslösen verwendet wird. | Erforderlich für jede Warnung, bevor oder nachdem sie zu Azure übertragen werden. |
| Unterdrücken | Option zum Abschalten von Benachrichtigungen bei Warnungen. | Optional für jeden Alarm, bevor oder nachdem sie an Azure weitergeleitet wurden. |
| Aktionsgruppen | IDs von Azure ActionGroup, bei denen erforderliche Aktionen angegeben werden, z. B. E-Mails, SMSs, Sprachanrufe, Webhooks, Automatisierungsrunbooks und ITSM-Connectors. |
Erforderlich, nachdem Warnungen auf Azure erweitert wurden. |
| Anpassen von Aktionen | Ändern Sie die Standardausgabe für ausgewählte Aktionen aus ActionGroup. |
Optional für jede Warnung und kann verwendet werden, nachdem Warnungen auf Azure erweitert wurden. |
Schwellenwerte
Eine Warnungsaktion sollte einen und nur einen Schwellenwert aufweisen. Wenn die Ergebnisse einer gespeicherten Suche mit dem Schwellenwert in einer Aktion übereinstimmen, die dieser Suche zugeordnet ist, werden alle anderen Prozesse in dieser Aktion ausgeführt. Eine Aktion kann auch nur einen Schwellenwert enthalten, sodass sie mit Aktionen anderer Typen verwendet werden kann, die keine Schwellenwerte enthalten.
Schwellenwerte weisen die in der folgenden Tabelle beschriebenen Eigenschaften auf:
| Eigentum | BESCHREIBUNG |
|---|---|
Operator |
Operator für den Schwellenwertvergleich. gt = Größer als lt = Kleiner als |
Value |
Wert für den Schwellenwert. |
Betrachten Sie beispielsweise eine Ereignisabfrage mit einer Interval von 15 Minuten, einem Timespan von 30 Minuten und einer Threshold von mehr als 10 Minuten. In diesem Fall würde die Abfrage alle 15 Minuten ausgeführt. Eine Warnung würde ausgelöst, wenn sie 10 Ereignisse zurückgegeben hat, die über einen Zeitraum von 30 Minuten erstellt wurden.
Die folgende Beispielantwort gilt für eine Aktion, die nur ein Thresholdumfasst:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Version": 1
}
Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine neue Schwellenwertaktion für einen Zeitplan zu erstellen.
$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine Schwellenwertaktion für einen Zeitplan zu ändern. Der Anforderungstext muss das etag der Aktion enthalten.
$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Schweregrad
Mit Log Analytics können Sie Ihre Warnungen in Kategorien klassifizieren, um die Verwaltung und Die Triage zu vereinfachen. Die Schweregrade der Warnungen sind informational, warningund critical. Diese Kategorien werden der normalisierten Schweregrad von Azure-Warnungen zugeordnet, wie in der folgenden Tabelle dargestellt:
| Protokollanalyse-Schweregrad | Schweregrad der Azure-Warnungen |
|---|---|
critical |
Sev 0 |
warning |
Sev 1 |
informational |
Sev 2 |
Die folgende Beispielantwort bezieht sich auf eine Aktion mit nur Threshold und Severity:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Severity": "critical",
"Version": 1
}
Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine neue Aktion für einen Zeitplan mit Severityzu erstellen.
$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine Schweregradaktion für einen Zeitplan zu ändern. Der Textkörper der Anforderung muss das Etag der Aktion enthalten.
$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Unterdrücken
Log Analytics-basierte Abfragewarnungen werden jedes Mal ausgelöst, wenn der Schwellenwert erreicht oder überschritten wird. Basierend auf der logik, die in der Abfrage impliziert wird, wird möglicherweise eine Warnung für eine Reihe von Intervallen ausgelöst. Das Ergebnis ist, dass Benachrichtigungen ständig gesendet werden. Um ein solches Szenario zu verhindern, können Sie die option Suppress festlegen, die Log Analytics anweist, auf einen festgelegten Zeitraum zu warten, bevor die Benachrichtigung das zweite Mal für die Warnungsregel ausgelöst wird.
Wenn zum Beispiel Suppress auf 30 Minuten eingestellt ist, wird die Warnung erstmals ausgelöst und die konfigurierten Benachrichtigungen werden gesendet. Sie wartet dann 30 Minuten, bevor die Benachrichtigung für die Warnungsregel erneut verwendet wird. Im Zwischenzeitraum wird die Warnungsregel weiterhin ausgeführt. Nur die Benachrichtigung wird von Log Analytics für eine bestimmte Zeit unterdrückt, unabhängig davon, wie oft die Warnregel in diesem Zeitraum ausgelöst wurde.
Die Suppress Eigenschaft einer Warnungsregel für die Protokollsuche wird mithilfe des Throttling Werts angegeben. Der Unterdrückungszeitraum wird mithilfe des DurationInMinutes-Wertes angegeben.
Die folgende Beispielantwort gilt für eine Aktion mit nur den Eigenschaften Threshold, Severityund Suppress.
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Throttling": {
"DurationInMinutes": 30
},
"Severity": "critical",
"Version": 1
}
Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine neue Aktion für einen Zeitplan mit Severityzu erstellen.
$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Verwenden Sie die Put-Methode mit einer bestehenden Aktions-ID, um eine Schweregradmaßnahme für einen Plan anzupassen. Der Textkörper der Anforderung muss den ETag der Aktion enthalten.
$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Aktionsgruppen
Alle Warnungen in Azure verwenden Aktionsgruppe als Standardmechanismus für die Behandlung von Aktionen. Mit einer Aktionsgruppe können Sie Ihre Aktionen einmal angeben und dann die Aktionsgruppe mehreren Warnungen in Azure zuordnen, ohne die gleichen Aktionen wiederholt deklarieren zu müssen. Aktionsgruppen unterstützen mehrere Aktionen wie E-Mail, SMS, Sprachanruf, ITSM-Verbindung, Automatisierungs-Runbook und Webhook-URI.
Für Benutzer, die ihre Benachrichtigungen in Azure erweitert haben, sollte nun ein Zeitplan über Aktionsgruppendetails verfügen, die zusammen mit Threshold übergeben werden, um eine Warnung erstellen zu können. E-Mail-Details, Webhook-URLs, Runbook-Automatisierungsdetails und andere Aktionen müssen zuerst innerhalb einer Aktionsgruppe definiert werden, bevor Sie eine Warnung erstellen. Sie können eine Aktionsgruppe aus Azure Monitor im Azure-Portal erstellen oder die Aktionsgruppen-APIverwenden.
Um einer Warnung eine Aktionsgruppe zuzuordnen, geben Sie die eindeutige Azure Resource Manager-ID der Aktionsgruppe in der Warnungsdefinition an. Das folgende Beispiel veranschaulicht die Verwendung:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
]
},
"Severity": "critical",
"Version": 1
}
Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine bereits vorhandene Aktionsgruppe für einen Zeitplan zuzuordnen. Das folgende Beispiel veranschaulicht die Verwendung:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine Aktionsgruppe zu ändern, die einem Zeitplan zugeordnet ist. Der Textkörper der Anforderung muss das Etag der Aktion enthalten.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Anpassen von Aktionen
Standardmäßig folgen Aktionen den Standardvorlagen und Formaten für Benachrichtigungen. Sie können jedoch einige Aktionen anpassen, auch wenn sie von Aktionsgruppen gesteuert werden. Derzeit ist die Anpassung für EmailSubject und WebhookPayloadmöglich.
Anpassen von "EmailSubject" für eine Aktionsgruppe
Standardmäßig lautet der E-Mail-Betreff für Alarmbenachrichtigungen Alarmbenachrichtigung <AlertName> für <WorkspaceName>. Der Betreff kann jedoch so angepasst werden, dass Sie Wörter oder Tags angeben können, damit Sie auf einfache Weise Filterregeln in Ihrem Posteingang verwenden können. Die angepassten E-Mail-Kopfzeileneinzelheiten müssen zusammen mit den ActionGroup-Einzelheiten gesendet werden, wie im folgenden Beispiel gezeigt:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
}
Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine vorhandene Aktionsgruppe einer Anpassung für einen Zeitplan zuzuordnen. Das folgende Beispiel veranschaulicht die Verwendung:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine Aktionsgruppe zu ändern, die einem Zeitplan zugeordnet ist. Der Textkörper der Anforderung muss das Etag der Aktion enthalten.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Anpassen von WebhookPayload für eine Aktionsgruppe
Standardmäßig verfügt der über eine Aktionsgruppe für Log Analytics gesendete Webhook über eine feste Struktur. Sie können die JSON-Nutzlast jedoch mithilfe bestimmter Variablen anpassen, die unterstützt werden, um die Anforderungen des Webhook-Endpunkts zu erfüllen. Weitere Informationen finden Sie unter Webhook-Aktion für Benachrichtigungsregeln für die Protokollsuche.
Die angepassten Webhook-Details müssen zusammen mit ActionGroup Details gesendet werden. Sie werden auf alle in der Aktionsgruppe angegebenen Webhook-URIs angewendet. Das folgende Beispiel veranschaulicht die Verwendung:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
},
Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine vorhandene Aktionsgruppe einer Anpassung für einen Zeitplan zuzuordnen. Das folgende Beispiel veranschaulicht die Verwendung:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine Aktionsgruppe zu ändern, die einem Zeitplan zugeordnet ist. Der Textkörper der Anforderung muss das ETag der Aktion enthalten.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Nächste Schritte
- Verwenden Sie die REST-API, um Protokollsuchen in Log Analytics durchzuführen.
- Erfahren Sie mehr über Protokollsuchwarnungen in Azure Monitor.
- Erfahren Sie, wie Sie Warnungsregeln für die Protokollsuche in Azure Monitor erstellen, bearbeiten oder verwalten.