Teilen über


Legacy-REST-API für Log Analytics-Warnungen

In diesem Artikel wird die Verwaltung von Warnungsregeln mithilfe der Legacy-API beschrieben.

Wichtig

Wie angekündigt, wird die Log Analytics-Warnungs-API am 1. Oktober 2025 eingestellt. Sie müssen bis zu diesem Datum zur Verwendung der API für Geplante Abfrageregeln für Protokollsuchewarnungen wechseln. Log Analytics-Arbeitsbereiche, die nach dem 1. Juni 2019 erstellt wurden, verwenden die schduledQueryRules-API zum Verwalten von Warnungsregeln. Wechseln Sie bei älteren Arbeitsbereichen zur aktuellen API, um die Vorteile von scheduledQueryRules in Azure Monitor zu nutzen.

Mit der REST-API für Log Analytics-Warnungen können Sie Warnungen in Log Analytics erstellen und verwalten. Dieser Artikel enthält Details zur API und mehrere Beispiele für verschiedene Vorgänge.

Die REST-API für die Log Analytics-Suche ist RESTful. Der Zugriff darauf erfolgt über die Azure Resource Manager-REST-API. In diesem Artikel finden Sie Beispiele, in denen der Zugriff auf die API über eine PowerShell-Befehlszeile mithilfe von ARMClient erfolgt. Dieses Open-Source-Befehlszeilentool vereinfacht den Aufruf der Azure Resource Manager-API.

Die Verwendung von ARMClient und PowerShell ist eine von vielen Möglichkeiten, die für den Zugriff auf die Such-API von Log Analytics verwendet werden kann. Mit diesen Tools können Sie die RESTful-API von Azure Resource Manager für Aufrufe an Log Analytics-Arbeitsbereiche nutzen und darin Suchbefehle ausführen. Die API gibt Suchergebnisse im JSON-Format aus, sodass Sie die Suchergebnisse programmgesteuert auf viele verschiedene Arten verwenden können.

Voraussetzungen

Derzeit können Warnungen nur mit einer gespeicherten Suche in Log Analytics erstellt werden. Weitere Informationen finden Sie in der Beschreibung der Protokollsuch-REST-API.

Zeitpläne

Eine gespeicherte Suche kann über einen oder mehrere Zeitpläne verfügen. Der Zeitplan definiert, wie oft die Suche durchgeführt wird und welches Zeitintervall für die Identifizierung der Kriterien verwendet wird. Zeitpläne weisen die in der folgenden Tabelle beschriebenen Eigenschaften auf:

Eigenschaft BESCHREIBUNG
Interval Wie oft die Suche durchgeführt wird. Dieser Wert wird in Minuten gemessen.
QueryTimeSpan Das Zeitintervall, in dem die Kriterien ausgewertet werden. Der Wert muss größer oder gleich Interval sein. Dieser Wert wird in Minuten gemessen.
Version Die verwendete API-Version. Diese Einstellung sollte derzeit immer 1 sein.

Stellen Sie sich beispielsweise eine Ereignisabfrage mit einem Interval-Wert von 15 Minuten und einer Timespan-Wert von 30 Minuten vor. In diesem Fall würde die Abfrage alle 15 Minuten ausgeführt. Wenn die Auswertung der Kriterien in einer Zeitspanne von 30 Minuten ständig true ergibt, wird eine Warnung ausgelöst.

Abrufen von Zeitplänen

Verwenden Sie die Get-Methode, um alle Zeitpläne für eine gespeicherte Suche abzurufen.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules?api-version=2015-03-20

Verwenden Sie die Get-Methode mit einer Zeitplan-ID, um einen bestimmten Zeitplan für eine gespeicherte Suche abzurufen.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

Die folgende Beispielantwort gilt für einen Zeitplan:

{
   "value": [{
      "id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
      "etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
      "properties": {
         "Interval": 15,
         "QueryTimeSpan": 15,
         "Enabled": true,
      }
   }]
}

Erstellen eines Zeitplans

Verwenden Sie die Put-Methode mit der eindeutigen Zeitplan-ID, um einen neuen Zeitplan zu erstellen. Zwei Zeitpläne können nicht dieselbe ID haben, auch wenn sie unterschiedlichen gespeicherten Suchvorgängen zugeordnet sind. Wenn Sie einen Zeitplan in der Log Analytics-Konsole erstellen, wird für die Zeitplan-ID eine GUID erstellt.

Hinweis

Die Namen aller gespeicherten Suchvorgänge, Zeitpläne und Aktionen, die mit der Log Analytics-API erstellt werden, müssen in Kleinbuchstaben geschrieben werden.

$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Bearbeiten eines Zeitplans

Verwenden Sie die Put-Methode mit einer vorhandenen Zeitplan-ID für die gleiche gespeicherte Suche, um diesen Zeitplan zu bearbeiten. Im folgenden Beispiel ist der Zeitplan deaktiviert. Der Hauptteil der Anforderung muss das etag des Zeitplans enthalten.

$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Löschen von Zeitplänen

Verwenden Sie die Delete-Methode mit einer Zeitplan-ID, um einen Zeitplan zu löschen.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

Aktionen

Ein Zeitplan kann mehrere Aktionen umfassen. Eine Aktion kann eine oder mehrere auszuführende Prozesse definieren, z. B. Senden einer E-Mail oder Starten eines Runbooks. Eine Aktion kann auch einen Schwellenwert definieren, der bestimmt, wann die Ergebnisse einer Suche mit Kriterien übereinstimmen. Mit einigen Aktionen wird beides definiert, sodass die Prozesse durchgeführt werden, wenn der Schwellenwert erreicht ist.

Alle Aktionen weisen die in der folgenden Tabelle beschriebenen Eigenschaften auf. Verschiedenartige Warnungen weisen andere unterschiedliche Eigenschaften auf, die in der folgenden Tabelle beschrieben werden:

Eigenschaft Beschreibung
Type Der Typ der Aktion. Die möglichen Werte sind derzeit Alert und Webhook.
Name Der Anzeigename für die Warnung.
Version Die verwendete API-Version. Diese Einstellung sollte derzeit immer 1 sein.

Abrufen von Aktionen

Verwenden Sie die Get-Methode, um alle Aktionen für einen Zeitplan abzurufen.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20

Verwenden Sie die Get-Methode mit der Aktions-ID, um eine bestimmte Aktion für einen Zeitplan abzurufen.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20

Erstellen oder Bearbeiten von Aktionen

Verwenden Sie die Put-Methode mit einer Aktions-ID, die für den Zeitplan eindeutig ist, um eine neue Aktion zu erstellen. Wenn Sie eine Aktivität in der Log Analytics-Konsole erstellen, wird eine GUID für die Aktions-ID erstellt.

Hinweis

Die Namen aller gespeicherten Suchvorgänge, Zeitpläne und Aktionen, die mit der Log Analytics-API erstellt werden, müssen in Kleinbuchstaben geschrieben werden.

Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID für die gleiche gespeicherte Suche, um diesen Zeitplan zu bearbeiten. Der Hauptteil der Anforderung muss das ETag des Zeitplans enthalten.

Das Anforderungsformat zum Erstellen einer neuen Aktion variiert je nach Aktivitätstyp. Beispiele hierzu finden Sie in den folgenden Abschnitten.

Löschen von Aktionen

Verwenden Sie die Delete-Methode mit der Aktions-ID, um eine Aktion zu löschen.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20

Warnungsaktionen

Ein Zeitplan sollte nur über genau eine Warnungsaktion verfügen. Warnungsaktionen weisen mindestens einen Abschnitte auf, die in der folgenden Tabelle beschrieben werden:

`Section` BESCHREIBUNG Verwendung
Schwellenwert Kriterien für den Zeitpunkt der Ausführung einer Aktion. Für jede Warnung vor oder nach der Erweiterung auf Azure erforderlich.
severity Bezeichnung zum Klassifizieren einer Warnung bei deren Auslösung. Für jede Warnung vor oder nach der Erweiterung auf Azure erforderlich.
Suppress Option zum Beenden von Benachrichtigungen bei Warnungen. Für jede Warnung optional, vor oder nach der Ausweitung auf Azure.
Aktionsgruppen IDs einer Azure ActionGroup, in denen erforderliche Aktionen angegeben sind, z. B. E-Mails, SMS, Sprachanrufe, Webhooks, Automation-Runbooks, ITSM-Connectors usw. Erforderlich, nachdem Warnungen auf Azure erweitert wurden.
Aktionen anpassen Ändern Sie die Standardausgabe für ausgewählte ActionGroup-Aktionen. Optional für jede Warnung; kann verwendet werden, nachdem Warnungen auf Azure erweitert wurden.

Schwellenwerte

Eine Warnungsaktion sollte nur über genau einen Schwellenwert verfügen. Wenn die Ergebnisse einer gespeicherten Suche mit dem Schwellenwert in einer Aktion übereinstimmen, die der Suche zugeordnet ist, werden alle anderen Prozesse in dieser Aktion ausgeführt. Eine Aktion kann einen Schwellenwert auch nur zu dem Zweck enthalten, dass sie mit Aktionen eines anderen Typs verwendet werden kann, die keine Schwellenwerte aufweisen.

Schwellenwerte weisen die in der folgenden Tabelle beschriebenen Eigenschaften auf:

Eigenschaft Beschreibung
Operator Operator für den Schwellenwertvergleich.
gt = größer als
lt = kleiner als
Value Der Wert für den Schwellenwert.

Stellen Sie sich beispielsweise eine Ereignisabfrage mit einem Interval-Wert von 15 Minuten, einer Timespan-Wert von 30 Minuten und einem Threshold-Wert größer als 10 vor. In diesem Fall würde die Abfrage alle 15 Minuten ausgeführt. Eine Warnung wird ausgelöst, wenn 10 Ereignisse zurückgegeben werden, die über einen Zeitraum von 30 Minuten erstellt wurden.

Die folgende Beispielantwort gilt für eine Aktion mit nur einem Threshold-Wert:

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Version": 1
}

Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine neue Schwellenwertaktion für einen Zeitplan zu erstellen.

$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine Schwellenwertaktion für einen Zeitplan zu ändern. Der Hauptteil der Anforderung muss das ETag der Aktion enthalten.

$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

Schweregrad

Mit Log Analytics können Sie Ihre Warnungen zur einfacheren Verwaltung und Selektierung in Kategorien klassifizieren. Die Warnungsschweregrade sind informational, warning und critical. Diese Kategorien werden, wie in der folgenden Tabelle gezeigt, der normalisierten Schweregradskala von Azure-Warnungen zugeordnet:

Log Analytics-Schweregrad Azure-Warnungsschweregrad
critical Schweregrad 0
warning Schweregrad 1
informational Schweregrad 2

Die folgende Beispielantwort gilt für eine Aktion mit nur einem Threshold- und Severity-Wert:

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Severity": "critical",
   "Version": 1
}

Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine neue Aktion für einen Zeitplan mit dem Severity-Wert zu erstellen.

$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine Schweregradaktion für einen Zeitplan zu ändern. Der Hauptteil der Anforderung muss das ETag der Aktion enthalten.

$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Suppress

Log Analytics-basierte Abfragewarnungen werden bei jedem Erreichen oder Überschreiten des Schwellenwerts ausgelöst. Basierend auf der implizierten Logik der Abfrage kann eine Warnung für mehrere Intervalle ausgelöst werden. Das führt dazu, dass ständig Benachrichtigungen gesendet werden. Um dieses Szenario zu verhindern, können Sie die Option Suppress festlegen, die Log Analytics anweist, einen festgelegten Zeitraum abzuwarten, ehe für die Warnungsregel zum zweiten Mal eine Benachrichtigung ausgelöst wird.

Wenn Suppress beispielsweise auf 30 Minuten festgelegt ist, wird die Warnung beim ersten Mal ausgelöst, und die konfigurierten Benachrichtigungen werden gesendet. Anschließend wird 30 Minuten gewartet, bevor erneut eine Benachrichtigung für die Warnungsregel verwendet wird. In der Zwischenzeit wird die Warnungsregel weiterhin ausgeführt. Lediglich die Benachrichtigung wird von Log Analytics für den angegebenen Zeitraum unterdrückt, unabhängig von der Anzahl der Auslösungen der Warnungsregel in diesem Zeitraum.

Die Suppress -Eigenschaft einer Warnungsregel für die Protokollsuche wird mithilfe des -Werts Throttling angegeben. Der Unterdrückungszeitraum wird mit dem DurationInMinutes-Wert angegeben.

Die folgende Beispielantwort gilt für eine Aktion mit nur einem Threshold-Wert, einem Severity-Wert und Suppress-Eigenschaften.

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Throttling": {
   "DurationInMinutes": 30
   },
   "Severity": "critical",
   "Version": 1
}

Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine neue Aktion für einen Zeitplan mit dem Severity-Wert zu erstellen.

$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine Schweregradaktion für einen Zeitplan zu ändern. Der Hauptteil der Anforderung muss das ETag der Aktion enthalten.

$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Aktionsgruppen

Alle Warnungen in Azure verwenden Aktionsgruppen als Standardmechanismus für die Behandlung von Aktionen. Mit Aktionsgruppen können Sie Ihre Aktionen einmal angeben und die Aktionsgruppe dann mehreren Warnungen in Azure zuordnen, ohne die gleichen Aktionen wiederholt deklarieren zu müssen. Aktionsgruppen unterstützen mehrere Aktionen, z. B. E-Mails, SMS, Sprachanrufe, ITSM-Verbindungen, Automation-Runbooks und Webhook-URIs.

Für Benutzer, die ihre Warnungen auf Azure erweitert haben, sollten bei Zeitplänen jetzt zusammen mit Threshold auch Aktionsgruppendetails übergeben werden, um eine Warnung erstellen zu können. E-Mail-Details, Webhook-URLs, Runbook-Automatisierungsdetails und andere Aktionen müssen zuerst in einer Aktionsgruppe definiert werden, bevor eine Warnung erstellt wird. Sie können eine Aktionsgruppe in Azure Monitor im Azure-Portal erstellen oder die Aktionsgruppen-API verwenden.

Um eine Aktionsgruppe mit einer Warnung zu verknüpfen, geben Sie die eindeutige Azure Resource Manager-ID der Aktionsgruppe in der Warnungsdefinition an. Im folgenden Beispiel wird die Verwendung veranschaulicht:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ]
   },
   "Severity": "critical",
   "Version": 1
}

Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine bereits vorhandene Aktionsgruppe für einen Zeitplan zuzuordnen. Im folgenden Beispiel wird die Verwendung veranschaulicht:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine zugeordnete Aktionsgruppe für einen Zeitplan zu ändern. Der Hauptteil der Anforderung muss das ETag der Aktion enthalten.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Aktionen anpassen

Standardmäßig werden für Aktionen Standardvorlagen und ein Standardformat für Benachrichtigungen verwendet. Sie können jedoch einige Aktionen anpassen, auch wenn sie durch Aktionsgruppen gesteuert werden. Derzeit ist eine Anpassung für EmailSubject und WebhookPayload möglich.

Anpassen von EmailSubject für eine Aktionsgruppe

Der Standard-E-Mail-Betreff für Warnungen lautet: „Alert Notification <AlertName> for <WorkspaceName>“. Der Betreff kann jedoch angepasst werden, sodass Sie bestimmte Wörter oder Tags angeben können, mit denen Sie ohne Aufwand Filterregeln in Ihrem Posteingang einsetzen können. Die Headerdetails der angepassten E-Mail müssen wie im folgenden Beispiel zusammen mit ActionGroup-Details gesendet werden:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
      "CustomEmailSubject": "Azure Alert fired"
   },
   "Severity": "critical",
   "Version": 1
}

Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine vorhandene angepasste Aktionsgruppe für einen Zeitplan zuzuordnen. Im folgenden Beispiel wird die Verwendung veranschaulicht:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine zugeordnete Aktionsgruppe für einen Zeitplan zu ändern. Der Hauptteil der Anforderung muss das ETag der Aktion enthalten.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Anpassen von WebhookPayload für eine Aktionsgruppe

Der über Aktionsgruppen gesendete Webhook für Log Analytics weist standardmäßig eine feste Struktur auf. Sie können die JSON-Nutzlast jedoch durch Verwendung bestimmter unterstützter Variablen anpassen, um die Anforderungen des Webhook-Endpunkts zu erfüllen. Weitere Informationen finden Sie unter Webhookaktion für Warnungsregeln für die Protokollsuche.

Die Details des angepassten Webhooks müssen zusammen mit ActionGroup-Details gesendet werden. Sie werden auf alle in der Aktionsgruppe angegebenen Webhook-URIs angewendet. Im folgenden Beispiel wird die Verwendung veranschaulicht:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
   "CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
   "CustomEmailSubject": "Azure Alert fired"
   },
   "Severity": "critical",
   "Version": 1
},

Verwenden Sie die Put-Methode mit einer eindeutigen Aktions-ID, um eine vorhandene angepasste Aktionsgruppe für einen Zeitplan zuzuordnen. Im folgenden Beispiel wird die Verwendung veranschaulicht:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Verwenden Sie die Put-Methode mit einer vorhandenen Aktions-ID, um eine zugeordnete Aktionsgruppe für einen Zeitplan zu ändern. Der Hauptteil der Anforderung muss das ETag der Aktion enthalten.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Nächste Schritte