Udostępnij za pośrednictwem

Starszy interfejs API REST alertów usługi Log Analytics

  • Artykuł

W tym artykule opisano sposób zarządzania regułami alertów przy użyciu starszego interfejsu API.

Ważne

Zgodnie z ogłoszeniem interfejs API alertów usługi Log Analytics zostanie wycofany 1 października 2025 r. Musisz przejść do korzystania z interfejsu API reguł zaplanowanego zapytania na potrzeby alertów przeszukiwania dzienników do tej daty. Obszary robocze usługi Log Analytics utworzone po 1 czerwca 2019 r. używają interfejsu API scheduledQueryRules do zarządzania regułami alertów. Przejdź do bieżącego interfejsu API w starszych obszarach roboczych, aby skorzystać z korzyści usługi Azure Monitor scheduledQueryRules.

Interfejs API REST alertów usługi Log Analytics umożliwia tworzenie alertów i zarządzanie nimi w usłudze Log Analytics. Ten artykuł zawiera szczegółowe informacje na temat interfejsu API i kilka przykładów wykonywania różnych operacji.

Interfejs API REST usługi Log Analytics Search jest resTful i można uzyskać do tego dostęp za pośrednictwem interfejsu API REST usługi Azure Resource Manager. W tym artykule znajdziesz przykłady uzyskiwania dostępu do interfejsu API z poziomu wiersza polecenia programu PowerShell przy użyciu klienta ARMClient. To narzędzie wiersza polecenia typu open source upraszcza wywoływanie interfejsu API usługi Azure Resource Manager.

Użycie programu ARMClient i programu PowerShell jest jedną z wielu opcji, których można użyć do uzyskiwania dostępu do interfejsu API Search usługi Log Analytics. Za pomocą tych narzędzi można użyć interfejsu API RESTful Azure Resource Manager do wykonywania wywołań do obszarów roboczych usługi Log Analytics i wykonywania w nich poleceń wyszukiwania. Interfejs API generuje wyniki wyszukiwania w formacie JSON, dzięki czemu wyniki wyszukiwania można używać na wiele różnych sposobów programowo.

Wymagania wstępne

Obecnie alerty można tworzyć tylko przy użyciu zapisanego wyszukiwania w usłudze Log Analytics. Aby uzyskać więcej informacji, zobacz Interfejs API REST usługi Log Search.

Harmonogramy

Zapisane wyszukiwanie może mieć co najmniej jeden harmonogram. Harmonogram określa, jak często jest uruchamiane wyszukiwanie, oraz interwał czasu, w którym są identyfikowane kryteria. Harmonogramy mają właściwości opisane w poniższej tabeli:

Właściwość Opis
Interval Jak często jest uruchamiane wyszukiwanie. Mierzone w minutach.
QueryTimeSpan Przedział czasu, w którym są oceniane kryteria. Musi być równa lub większa niż Interval. Mierzone w minutach.
Version Używana wersja interfejsu API. Obecnie to ustawienie zawsze powinno mieć wartość 1.

Rozważmy na przykład zapytanie o zdarzenie z wartością Interval 15 minut i Timespan 30 minut. W takim przypadku zapytanie będzie uruchamiane co 15 minut. Alert zostanie wyzwolony, jeśli kryteria nadal będą rozwiązywane true w ciągu 30 minut.

Pobieranie harmonogramów

Użyj metody Get, aby pobrać wszystkie harmonogramy zapisanego wyszukiwania.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules?api-version=2015-03-20

Użyj metody Get z identyfikatorem harmonogramu, aby pobrać określony harmonogram dla zapisanego wyszukiwania.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

Następująca przykładowa odpowiedź dotyczy harmonogramu:

{
   "value": [{
      "id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
      "etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
      "properties": {
         "Interval": 15,
         "QueryTimeSpan": 15,
         "Enabled": true,
      }
   }]
}

Tworzenie harmonogramu

Użyj metody Put z unikatowym identyfikatorem harmonogramu, aby utworzyć nowy harmonogram. Dwa harmonogramy nie mogą mieć tego samego identyfikatora, nawet jeśli są skojarzone z różnymi zapisanymi wyszukiwaniami. Podczas tworzenia harmonogramu w konsoli usługi Log Analytics identyfikator GUID jest tworzony dla identyfikatora harmonogramu.

Uwaga

Nazwa wszystkich zapisanych wyszukiwań, harmonogramów i akcji utworzonych za pomocą interfejsu API usługi Log Analytics musi zawierać małe litery.

$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Edytowanie harmonogramu

Użyj metody Put z istniejącym identyfikatorem harmonogramu dla tego samego zapisanego wyszukiwania, aby zmodyfikować ten harmonogram. W poniższym przykładzie harmonogram jest wyłączony. Treść żądania musi zawierać element etag harmonogramu.

$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Usuwanie harmonogramów

Użyj metody Delete z identyfikatorem harmonogramu, aby usunąć harmonogram.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

Akcje

Harmonogram może zawierać wiele akcji. Akcja może definiować jeden lub więcej procesów do wykonania, takich jak wysyłanie wiadomości e-mail lub uruchamianie elementu Runbook. Akcja może również zdefiniować próg, który określa, kiedy wyniki wyszukiwania są zgodne z pewnymi kryteriami. Niektóre akcje zdefiniują oba te akcje, aby procesy były wykonywane po osiągnięciu progu.

Wszystkie akcje mają właściwości opisane w poniższej tabeli. Różne typy alertów mają inne właściwości, które zostały opisane w poniższej tabeli:

Właściwość Opis
Type Typ akcji. Obecnie możliwe wartości to Alert i Webhook.
Name Nazwa wyświetlana alertu.
Version Używana wersja interfejsu API. Obecnie to ustawienie zawsze powinno mieć wartość 1.

Pobieranie akcji

Użyj metody Get, aby pobrać wszystkie akcje dla harmonogramu.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20

Użyj metody Get z identyfikatorem akcji, aby pobrać określoną akcję dla harmonogramu.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20

Tworzenie lub edytowanie akcji

Użyj metody Put z identyfikatorem akcji unikatowym dla harmonogramu, aby utworzyć nową akcję. Podczas tworzenia akcji w konsoli usługi Log Analytics identyfikator GUID jest przeznaczony dla identyfikatora akcji.

Uwaga

Nazwa wszystkich zapisanych wyszukiwań, harmonogramów i akcji utworzonych za pomocą interfejsu API usługi Log Analytics musi zawierać małe litery.

Użyj metody Put z istniejącym identyfikatorem akcji dla tego samego zapisanego wyszukiwania, aby zmodyfikować ten harmonogram. Treść żądania musi zawierać element etag harmonogramu.

Format żądania tworzenia nowej akcji różni się w zależności od typu akcji, dlatego te przykłady znajdują się w poniższych sekcjach.

Akcje usuwania

Użyj metody Delete z identyfikatorem akcji, aby usunąć akcję.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20

Akcje alertów

Harmonogram powinien mieć jedną i tylko jedną akcję Alert. Akcje alertów zawierają co najmniej jedną sekcję opisaną w poniższej tabeli:

Sekcja Opis Użycie
Próg Kryteria dotyczące uruchamiania akcji. Wymagane dla każdego alertu, przed rozszerzeniem na platformę Azure lub po nim.
Ważność Etykieta używana do klasyfikowania alertu po wyzwoleniu. Wymagane dla każdego alertu, przed rozszerzeniem na platformę Azure lub po nim.
Pomiń Opcja zatrzymania powiadomień z alertów. Opcjonalnie dla każdego alertu, przed rozszerzeniem na platformę Azure lub po jego zakończeniu.
Grupy akcji Identyfikatory platformy Azure ActionGroup , w których są określone wymagane akcje, takie jak wiadomości e-mail, usługi SMS, połączenia głosowe, elementy webhook, elementy Runbook automatyzacji i łączniki ITSM. Wymagane po rozszerzaniu alertów na platformę Azure.
Dostosowywanie akcji Zmodyfikuj standardowe dane wyjściowe dla wybranych akcji z ActionGroup. Opcjonalnie dla każdego alertu i można go używać po rozszerzaniu alertów na platformę Azure.

Progi

Akcja Alert powinna mieć jeden i tylko jeden próg. Gdy wyniki zapisanego wyszukiwania są zgodne z progiem w akcji skojarzonej z tym wyszukiwaniem, wszystkie inne procesy w tej akcji są uruchamiane. Akcja może również zawierać tylko próg, dzięki czemu może być używana z akcjami innych typów, które nie zawierają progów.

Progi mają właściwości opisane w poniższej tabeli:

Właściwość Opis
Operator Operator dla porównania progów.
gt = większe niż
lt = mniejsze niż
Value Wartość progu.

Rozważmy na przykład zapytanie o zdarzenie z wartością Interval 15 minut, Timespan 30 minut i wartością Threshold większą niż 10. W takim przypadku zapytanie będzie uruchamiane co 15 minut. Alert zostanie wyzwolony, jeśli zwróci 10 zdarzeń utworzonych w ciągu 30 minut.

Następująca przykładowa odpowiedź dotyczy akcji z tylko elementem Threshold:

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Version": 1
}

Użyj metody Put z unikatowym identyfikatorem akcji, aby utworzyć nową akcję progową dla harmonogramu.

$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

Użyj metody Put z istniejącym identyfikatorem akcji, aby zmodyfikować akcję progową harmonogramu. Treść żądania musi zawierać element etag akcji.

$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

Ważność

Usługa Log Analytics umożliwia klasyfikowanie alertów w kategorie w celu łatwiejszego zarządzania i klasyfikacji. Poziomy ważności Alerty to informational, warningi critical. Te kategorie są mapowane na znormalizowaną skalę ważności alertów platformy Azure, jak pokazano w poniższej tabeli:

Poziom ważności usługi Log Analytics Poziom ważności alertów platformy Azure
critical Sev 0
warning Sev 1
informational Ważność 2

Następująca przykładowa odpowiedź dotyczy tylko akcji z elementami Threshold i Severity:

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Severity": "critical",
   "Version": 1
}

Użyj metody Put z unikatowym identyfikatorem akcji, aby utworzyć nową akcję dla harmonogramu za pomocą polecenia Severity.

$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Użyj metody Put z istniejącym identyfikatorem akcji, aby zmodyfikować akcję ważności dla harmonogramu. Treść żądania musi zawierać element etag akcji.

$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Pomiń

Alerty zapytań oparte na usłudze Log Analytics są wyzwalane za każdym razem, gdy próg zostanie osiągnięty lub przekroczony. Na podstawie logiki sugerowanej w zapytaniu alert może zostać wyzwolony dla serii interwałów. W rezultacie powiadomienia są wysyłane stale. Aby zapobiec takiemu scenariuszowi, można ustawić Suppress opcję, która instruuje usługę Log Analytics, aby czekała na określony czas, zanim powiadomienie zostanie wyzwolone po raz drugi dla reguły alertu.

Jeśli na przykład Suppress zostanie ustawiona przez 30 minut, alert zostanie wyzwolony po raz pierwszy i wyśle skonfigurowane powiadomienia. Następnie zaczeka 30 minut przed ponownym użyciem powiadomienia dotyczącego reguły alertu. W okresie przejściowym reguła alertu będzie nadal działać. Tylko powiadomienie jest pomijane przez usługę Log Analytics przez określony czas niezależnie od tego, ile razy reguła alertu została wyzwolona w tym okresie.

Właściwość Suppress reguły alertu przeszukiwania dzienników jest określana przy użyciu Throttling wartości . Okres pomijania jest określany przy użyciu DurationInMinutes wartości .

Następująca przykładowa odpowiedź dotyczy akcji z tylko Thresholdwłaściwościami , Severityi Suppress .

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Throttling": {
   "DurationInMinutes": 30
   },
   "Severity": "critical",
   "Version": 1
}

Użyj metody Put z unikatowym identyfikatorem akcji, aby utworzyć nową akcję dla harmonogramu za pomocą polecenia Severity.

$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Użyj metody Put z istniejącym identyfikatorem akcji, aby zmodyfikować akcję ważności dla harmonogramu. Treść żądania musi zawierać element etag akcji.

$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Grupy akcji

Wszystkie alerty na platformie Azure używają grupy akcji jako domyślnego mechanizmu obsługi akcji. Za pomocą grupy akcji można określić akcje raz, a następnie skojarzyć grupę akcji z wieloma alertami na platformie Azure bez konieczności wielokrotnego deklarowania tych samych akcji. Grupy akcji obsługują wiele akcji, takich jak poczta e-mail, sms, połączenie głosowe, połączenie ITSM, element Runbook automatyzacji i identyfikator URI elementu webhook.

W przypadku użytkowników, którzy rozszerzyli swoje alerty na platformę Azure, harmonogram powinien teraz zawierać szczegóły grupy akcji przekazane wraz z Threshold możliwością utworzenia alertu. Przed utworzeniem alertu należy najpierw zdefiniować szczegóły wiadomości e-mail, adresy URL elementów webhook, szczegóły automatyzacji elementu runbook i inne akcje wewnątrz grupy akcji. Możesz utworzyć grupę akcji z usługi Azure Monitor w Azure Portal lub użyć interfejsu API grupy akcji.

Aby skojarzyć grupę akcji z alertem, określ unikatowy identyfikator usługi Azure Resource Manager grupy akcji w definicji alertu. Poniższy przykład ilustruje użycie:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ]
   },
   "Severity": "critical",
   "Version": 1
}

Użyj metody Put z unikatowym identyfikatorem akcji, aby skojarzyć już istniejącą grupę akcji dla harmonogramu. Poniższy przykład ilustruje użycie:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Użyj metody Put z istniejącym identyfikatorem akcji, aby zmodyfikować grupę akcji skojarzona z harmonogramem. Treść żądania musi zawierać element etag akcji.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Dostosowywanie akcji

Domyślnie akcje są zgodne ze standardowymi szablonami i formatem powiadomień. Możesz jednak dostosować niektóre akcje, nawet jeśli są kontrolowane przez grupy akcji. Obecnie dostosowywanie jest możliwe dla EmailSubject elementów i WebhookPayload.

Dostosowywanie elementu EmailSubject dla grupy akcji

Domyślnie tematem wiadomości e-mail dla alertów jest powiadomienie <AlertName> o alertach dla <WorkspaceName>elementu . Temat można jednak dostosować tak, aby można było określić wyrazy lub tagi, aby umożliwić łatwe stosowanie reguł filtrowania w skrzynce odbiorczej. Dostosowane szczegóły nagłówka wiadomości e-mail muszą być wysyłane wraz ze szczegółami ActionGroup , jak w poniższym przykładzie:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
      "CustomEmailSubject": "Azure Alert fired"
   },
   "Severity": "critical",
   "Version": 1
}

Użyj metody Put z unikatowym identyfikatorem akcji, aby skojarzyć istniejącą grupę akcji z dostosowaniem harmonogramu. Poniższy przykład ilustruje użycie:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Użyj metody Put z istniejącym identyfikatorem akcji, aby zmodyfikować grupę akcji skojarzona z harmonogramem. Treść żądania musi zawierać element etag akcji.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Dostosowywanie elementu webhookPayload dla grupy akcji

Domyślnie element webhook wysyłany za pośrednictwem grupy akcji dla usługi Log Analytics ma stałą strukturę. Można jednak dostosować ładunek JSON przy użyciu określonych zmiennych obsługiwanych w celu spełnienia wymagań punktu końcowego elementu webhook. Aby uzyskać więcej informacji, zobacz Akcja elementu webhook dla reguł alertów przeszukiwania dzienników.

Szczegóły dostosowanego elementu webhook muszą zostać wysłane wraz ze szczegółami ActionGroup . Zostaną one zastosowane do wszystkich identyfikatorów URI elementów webhook określonych w grupie akcji. Poniższy przykład ilustruje użycie:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
   "CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
   "CustomEmailSubject": "Azure Alert fired"
   },
   "Severity": "critical",
   "Version": 1
},

Użyj metody Put z unikatowym identyfikatorem akcji, aby skojarzyć istniejącą grupę akcji z dostosowaniem harmonogramu. Poniższy przykład ilustruje użycie:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Użyj metody Put z istniejącym identyfikatorem akcji, aby zmodyfikować grupę akcji skojarzona z harmonogramem. Treść żądania musi zawierać element etag akcji.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Następne kroki