REST API för äldre Log Analytics-aviseringar
Den här artikeln beskriver hur du hanterar aviseringsregler med hjälp av det äldre API:et.
Viktigt
Som vi har meddelat dras Log Analytics-aviserings-API:et tillbaka den 1 oktober 2025. Du måste övergå till att använda API:et för schemalagda frågeregler för loggsökningsaviseringar vid det datumet. Log Analytics-arbetsytor som skapats efter den 1 juni 2019 använder api:et scheduledQueryRules för att hantera aviseringsregler. Växla till det aktuella API:et i äldre arbetsytor för att dra nytta av azure monitor scheduledQueryRules-förmåner.
Med REST-API:et för Log Analytics-aviseringar kan du skapa och hantera aviseringar i Log Analytics. Den här artikeln innehåller information om API:et och flera exempel för att utföra olika åtgärder.
Log Analytics Search REST API är RESTful och kan nås via Azure Resource Manager REST API. I den här artikeln hittar du exempel där API:et nås från en PowerShell-kommandorad med hjälp av ARMClient. Det här kommandoradsverktyget med öppen källkod förenklar anrop av Azure Resource Manager API.
Användningen av ARMClient och PowerShell är ett av många alternativ som du kan använda för att komma åt Log Analytics Search-API:et. Med dessa verktyg kan du använda RESTful Azure Resource Manager API för att göra anrop till Log Analytics-arbetsytor och utföra sökkommandon i dem. API:et matar ut sökresultat i JSON-format så att du kan använda sökresultaten på många olika sätt programmatiskt.
Förutsättningar
För närvarande kan aviseringar bara skapas med en sparad sökning i Log Analytics. Mer information finns i Rest-API:et log Search.
Scheman
En sparad sökning kan ha ett eller flera scheman. Schemat definierar hur ofta sökningen körs och det tidsintervall under vilket kriterierna identifieras. Scheman har de egenskaper som beskrivs i följande tabell:
Egenskap | Beskrivning |
---|---|
Interval |
Hur ofta sökningen körs. Mätt i minuter. |
QueryTimeSpan |
Det tidsintervall som kriterierna utvärderas över. Måste vara lika med eller större än Interval . Mätt i minuter. |
Version |
DEN API-version som används. För närvarande bör den här inställningen alltid vara 1 . |
Överväg till exempel en händelsefråga med Interval
15 minuter och Timespan
30 minuter. I det här fallet skulle frågan köras var 15:e minut. En avisering utlöses om kriterierna fortsätter att matchas till true
över 30 minuter.
Hämta scheman
Använd metoden Get för att hämta alla scheman för en sparad sökning.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules?api-version=2015-03-20
Använd metoden Get med ett schema-ID för att hämta ett visst schema för en sparad sökning.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Följande exempelsvar är för ett schema:
{
"value": [{
"id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
"etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
"properties": {
"Interval": 15,
"QueryTimeSpan": 15,
"Enabled": true,
}
}]
}
Skapa ett schema
Använd metoden Put med ett unikt schema-ID för att skapa ett nytt schema. Två scheman kan inte ha samma ID även om de är associerade med olika sparade sökningar. När du skapar ett schema i Log Analytics-konsolen skapas ett GUID för schema-ID:t.
Anteckning
Namnet på alla sparade sökningar, scheman och åtgärder som skapats med Log Analytics-API:et måste vara i gemener.
$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Redigera ett schema
Använd metoden Put med ett befintligt schema-ID för samma sparade sökning för att ändra det schemat. I följande exempel är schemat inaktiverat. Brödtexten i begäran måste innehålla etag för schemat.
$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Ta bort scheman
Använd metoden Ta bort med ett schema-ID för att ta bort ett schema.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Åtgärder
Ett schema kan ha flera åtgärder. En åtgärd kan definiera en eller flera processer att utföra, till exempel att skicka ett e-postmeddelande eller starta en runbook. En åtgärd kan också definiera ett tröskelvärde som avgör när resultatet av en sökning matchar vissa kriterier. Vissa åtgärder definierar båda så att processerna utförs när tröskelvärdet uppfylls.
Alla åtgärder har de egenskaper som beskrivs i följande tabell. Olika typer av aviseringar har andra egenskaper, som beskrivs i följande tabell:
Egenskap | Beskrivning |
---|---|
Type |
Typ av åtgärd. För närvarande är Alert möjliga värden och Webhook . |
Name |
Visningsnamn för aviseringen. |
Version |
DEN API-version som används. För närvarande bör den här inställningen alltid vara 1 . |
Hämta åtgärder
Använd metoden Get för att hämta alla åtgärder för ett schema.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20
Använd metoden Get med åtgärds-ID:t för att hämta en viss åtgärd för ett schema.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20
Skapa eller redigera åtgärder
Använd metoden Put med ett åtgärds-ID som är unikt för schemat för att skapa en ny åtgärd. När du skapar en åtgärd i Log Analytics-konsolen är ett GUID för åtgärds-ID:t.
Anteckning
Namnet på alla sparade sökningar, scheman och åtgärder som skapats med Log Analytics-API:et måste vara i gemener.
Använd metoden Put med ett befintligt åtgärds-ID för samma sparade sökning för att ändra det schemat. Brödtexten i begäran måste innehålla etag för schemat.
Begärandeformatet för att skapa en ny åtgärd varierar beroende på åtgärdstyp, så de här exemplen finns i följande avsnitt.
Ta bort åtgärder
Använd metoden Ta bort med åtgärds-ID:t för att ta bort en åtgärd.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20
Aviseringsåtgärder
Ett schema ska ha en och bara en aviseringsåtgärd. Aviseringsåtgärder har ett eller flera av de avsnitt som beskrivs i följande tabell:
Avsnitt | Description | Användning |
---|---|---|
Tröskelvärde | Kriterier för när åtgärden körs. | Krävs för varje avisering, före eller efter att de har utökats till Azure. |
Allvarlighetsgrad | Etikett som används för att klassificera aviseringen när den utlöses. | Krävs för varje avisering, före eller efter att de har utökats till Azure. |
Undertrycka | Alternativ för att stoppa meddelanden från aviseringar. | Valfritt för varje avisering, före eller efter att de har utökats till Azure. |
Åtgärdsgrupper | ID:t för Azure ActionGroup där åtgärder som krävs anges, till exempel e-postmeddelanden, SMS, röstsamtal, webhooks, automations-runbooks och ITSM-anslutningsappar. |
Krävs när aviseringar har utökats till Azure. |
Anpassa åtgärder | Ändra standardutdata för att välja åtgärder från ActionGroup . |
Valfritt för varje avisering och kan användas när aviseringar har utökats till Azure. |
Tröskelvärden
En aviseringsåtgärd bör ha ett och bara ett tröskelvärde. När resultatet av en sparad sökning matchar tröskelvärdet i en åtgärd som är associerad med sökningen körs alla andra processer i den åtgärden. En åtgärd kan också bara innehålla ett tröskelvärde så att den kan användas med åtgärder av andra typer som inte innehåller tröskelvärden.
Tröskelvärden har de egenskaper som beskrivs i följande tabell:
Egenskap | Beskrivning |
---|---|
Operator |
Operator för tröskelvärdesjämförelse. gt = Större än lt = mindre än |
Value |
Värde för tröskelvärdet. |
Tänk dig till exempel en händelsefråga med Interval
15 minuter, Timespan
30 minuter och en Threshold
större än 10. I det här fallet skulle frågan köras var 15:e minut. En avisering utlöses om den returnerade 10 händelser som skapades under ett 30-minutersintervall.
Följande exempelsvar är för en åtgärd med endast en Threshold
:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Version": 1
}
Använd metoden Put med ett unikt åtgärds-ID för att skapa en ny tröskelåtgärd för ett schema.
$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Använd metoden Put med ett befintligt åtgärds-ID för att ändra en tröskelåtgärd för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.
$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Allvarlighetsgrad
Med Log Analytics kan du klassificera dina aviseringar i kategorier för enklare hantering och sortering. Allvarlighetsgraderna aviseringar är informational
, warning
och critical
. De här kategorierna mappas till den normaliserade allvarlighetsgradsskalan för Azure-aviseringar enligt följande tabell:
Allvarlighetsgrad för Log Analytics | Allvarlighetsgrad för Azure-aviseringar |
---|---|
critical |
Sev 0 |
warning |
Sev 1 |
informational |
Allv.grad 2 |
Följande exempelsvar är för en åtgärd med endast Threshold
och Severity
:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Severity": "critical",
"Version": 1
}
Använd metoden Put med ett unikt åtgärds-ID för att skapa en ny åtgärd för ett schema med Severity
.
$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Använd metoden Put med ett befintligt åtgärds-ID för att ändra en allvarlighetsgradsåtgärd för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.
$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Undertrycka
Log Analytics-baserade frågeaviseringar utlöses varje gång tröskelvärdet uppfylls eller överskrids. Baserat på den logik som är underförstådd i frågan kan en avisering utlösas för en serie intervall. Resultatet är att meddelanden skickas hela tiden. För att förhindra ett sådant scenario kan du ange det Suppress
alternativ som instruerar Log Analytics att vänta en angiven tid innan meddelandet utlöses andra gången för aviseringsregeln.
Om Suppress
till exempel har angetts i 30 minuter utlöses aviseringen första gången och meddelanden skickas konfigurerade. Den väntar sedan i 30 minuter innan meddelandet för aviseringsregeln används igen. Under övergångsperioden fortsätter aviseringsregeln att köras. Endast meddelanden ignoreras av Log Analytics under en angiven tid oavsett hur många gånger aviseringsregeln utlöstes under den här perioden.
Egenskapen Suppress
för en loggsökningsaviseringsregel anges med hjälp Throttling
av värdet. Undertryckningsperioden anges med hjälp DurationInMinutes
av värdet.
Följande exempelsvar är för en åtgärd med endast Threshold
, Severity
och Suppress
egenskaper.
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Throttling": {
"DurationInMinutes": 30
},
"Severity": "critical",
"Version": 1
}
Använd metoden Put med ett unikt åtgärds-ID för att skapa en ny åtgärd för ett schema med Severity
.
$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Använd metoden Put med ett befintligt åtgärds-ID för att ändra en allvarlighetsgradsåtgärd för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.
$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Åtgärdsgrupper
Alla aviseringar i Azure använder åtgärdsgruppen som standardmekanism för hantering av åtgärder. Med en åtgärdsgrupp kan du ange dina åtgärder en gång och sedan associera åtgärdsgruppen med flera aviseringar i Azure utan att behöva deklarera samma åtgärder upprepade gånger. Åtgärdsgrupper stöder flera åtgärder som e-post, SMS, röstsamtal, ITSM-anslutning, Automation Runbook och webhook-URI.
För användare som har utökat sina aviseringar till Azure bör ett schema nu ha information om åtgärdsgrupp som skickas tillsammans med Threshold
för att kunna skapa en avisering. E-postinformation, webhook-URL:er, runbook-automatiseringsinformation och andra åtgärder måste definieras i en åtgärdsgrupp först innan du skapar en avisering. Du kan skapa en åtgärdsgrupp från Azure Monitor i Azure Portal eller använda API:et för åtgärdsgrupp.
Om du vill associera en åtgärdsgrupp med en avisering anger du det unika Azure-Resource Manager-ID:t för åtgärdsgruppen i aviseringsdefinitionen. Följande exempel illustrerar användningen:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
]
},
"Severity": "critical",
"Version": 1
}
Använd metoden Put med ett unikt åtgärds-ID för att associera en redan befintlig åtgärdsgrupp för ett schema. Följande exempel illustrerar användningen:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Använd metoden Put med ett befintligt åtgärds-ID för att ändra en åtgärdsgrupp som är associerad med ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Anpassa åtgärder
Som standard följer åtgärderna standardmallar och format för meddelanden. Men du kan anpassa vissa åtgärder, även om de styrs av åtgärdsgrupper. För närvarande är anpassning möjlig för EmailSubject
och WebhookPayload
.
Anpassa EmailSubject för en åtgärdsgrupp
Som standard är e-postämnet för aviseringar Aviseringsmeddelande <AlertName>
för <WorkspaceName>
. Men ämnet kan anpassas så att du kan ange ord eller taggar så att du enkelt kan använda filterregler i inkorgen. Den anpassade e-posthuvudinformationen måste skickas tillsammans med ActionGroup
information, som i följande exempel:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
}
Använd metoden Put med ett unikt åtgärds-ID för att associera en befintlig åtgärdsgrupp med anpassning för ett schema. Följande exempel illustrerar användningen:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Använd metoden Put med ett befintligt åtgärds-ID för att ändra en åtgärdsgrupp som är associerad med ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Anpassa WebhookPayload för en åtgärdsgrupp
Som standard har webhooken som skickas via en åtgärdsgrupp för Log Analytics en fast struktur. Men du kan anpassa JSON-nyttolasten med hjälp av specifika variabler som stöds för att uppfylla kraven för webhook-slutpunkten. Mer information finns i Webhook-åtgärd för aviseringsregler för loggsökning.
Den anpassade webhooken måste skickas tillsammans med ActionGroup
information. De tillämpas på alla webhook-URI:er som anges i åtgärdsgruppen. Följande exempel illustrerar användningen:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
},
Använd metoden Put med ett unikt åtgärds-ID för att associera en befintlig åtgärdsgrupp med anpassning för ett schema. Följande exempel illustrerar användningen:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Använd metoden Put med ett befintligt åtgärds-ID för att ändra en åtgärdsgrupp som är associerad med ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Nästa steg
- Använd REST-API:et för att utföra loggsökningar i Log Analytics.
- Läs mer om loggsökningsaviseringar i Azure Monitor.
- Lär dig hur du skapar, redigerar eller hanterar aviseringsregler för loggsökning i Azure Monitor.