Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo administrar reglas de alerta mediante la API heredada.
Importante
Como anunció, la API de alertas de Log Analytics se retirará el 1 de octubre de 2025. Debe realizar la transición al uso de la API de reglas de consulta programada para las alertas de búsqueda de registros antes de esa fecha. Las áreas de trabajo de Log Analytics creadas después del 1 de junio de 2019 usan la API scheduledQueryRules para administrar reglas de alertas. Cambiar a la API actual en áreas de trabajo anteriores para aprovechar las ventajas de las reglas de consulta programadas de Azure Monitor.
La API REST de alertas de Log Analytics permite crear y administrar alertas en Log Analytics. En este artículo se proporcionan detalles sobre la API y varios ejemplos para realizar distintas operaciones.
La API REST de Búsqueda de Log Analytics es RESTful y se puede acceder a ella a través de la API REST de Azure Resource Manager. En este artículo, encontrará ejemplos en los que se accede a la API desde una línea de comandos de PowerShell mediante ARMClient. Esta herramienta de línea de comandos de código abierto simplifica la invocación de la API de Azure Resource Manager.
El uso de ARMClient y PowerShell es una de las muchas opciones que puede usar para acceder a Log Analytics Search API. Con estas herramientas, puede usar la API de Azure Resource Manager reSTful para realizar llamadas a áreas de trabajo de Log Analytics y realizar comandos de búsqueda dentro de ellas. La API genera resultados de búsqueda en formato JSON para que pueda usar los resultados de búsqueda de muchas maneras diferentes mediante programación.
Prerrequisitos
Actualmente, las alertas solo se pueden crear con una búsqueda guardada en Log Analytics. Para obtener más información, consulte la API REST de búsqueda de registros .
Horarios
Una búsqueda guardada puede tener una o varias programaciones. La programación define la frecuencia con la que se ejecuta la búsqueda y el intervalo de tiempo en el que se identifican los criterios. Las programaciones tienen las propiedades descritas en la tabla siguiente:
| Propiedad | Descripción |
|---|---|
Interval |
Frecuencia con la que se ejecuta la búsqueda. Medido en minutos. |
QueryTimeSpan |
Intervalo de tiempo durante el que se evalúan los criterios. Debe ser igual o mayor que Interval. Medido en minutos. |
Version |
La versión de api que se usa. Actualmente, esta configuración siempre debe ser 1. |
Por ejemplo, considere una consulta de eventos con un Interval de 15 minutos y un Timespan de 30 minutos. En este caso, la consulta se ejecutaría cada 15 minutos. Se desencadenaría una alerta si los criterios seguían resultando en true durante 30 minutos.
Recuperación de programaciones
Use el método Get para recuperar todas las programaciones de una búsqueda guardada.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules?api-version=2015-03-20
Use el método Get con un identificador de programación para recuperar una programación determinada para una búsqueda guardada.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
La siguiente respuesta de ejemplo es para una programación:
{
"value": [{
"id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
"etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
"properties": {
"Interval": 15,
"QueryTimeSpan": 15,
"Enabled": true,
}
}]
}
Crear programación
Use el método Put con un identificador de programación único para crear una nueva programación. Dos programaciones no pueden tener el mismo identificador aunque estén asociadas a búsquedas guardadas diferentes. Al crear una programación en la consola de Log Analytics, se genera un GUID para el identificador de programación.
Nota:
El nombre de todas las búsquedas guardadas, programaciones y acciones creadas con la API de Log Analytics debe estar en minúsculas.
$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Edición de una programación
Use el método Put con un identificador de programación existente para la misma búsqueda guardada para modificar esa programación. En el ejemplo siguiente, el horario está deshabilitado. El cuerpo de la solicitud debe incluir el etag de la programación.
$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Eliminar programaciones
Use el método Delete con un ID de horario para eliminar un horario.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Acciones
Una programación puede tener varias acciones. Una acción puede definir uno o varios procesos que se van a realizar, como enviar un correo electrónico o iniciar un runbook. Una acción también puede definir un umbral que determina cuándo los resultados de una búsqueda coinciden con algunos criterios. Algunas acciones definirán ambas para que los procesos se realicen cuando se cumpla el umbral.
Todas las acciones tienen las propiedades descritas en la tabla siguiente. Los distintos tipos de alertas tienen otras propiedades diferentes, que se describen en la tabla siguiente:
| Propiedad | Descripción |
|---|---|
Type |
Tipo de la acción. Actualmente, los valores posibles son Alert y Webhook. |
Name |
Nombre de la alerta para mostrar. |
Version |
La versión de api que se usa. Actualmente, esta configuración siempre debe ser 1. |
Recuperar acciones
Use el método Get para recuperar todas las acciones de una programación.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20
Utilice el método get con el identificador de acción para recuperar una acción determinada para una agenda.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20
Crear o editar acciones
Usa el método Put con un identificador de acción único para el calendario para crear una nueva acción. Al crear una acción en la consola de Log Analytics, un GUID es para el identificador de acción.
Nota:
El nombre de todas las búsquedas guardadas, programaciones y acciones creadas con la API de Log Analytics debe estar en minúsculas.
Use el método Put con un identificador de acción existente para la misma búsqueda guardada para modificar esa programación. El cuerpo de la solicitud debe incluir la etiqueta etag de la programación.
El formato de solicitud para crear una nueva acción varía según el tipo de acción, por lo que estos ejemplos se proporcionan en las secciones siguientes.
Eliminar acciones
Use el método Delete con el identificador de acción para eliminar una acción.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20
Acciones de alerta
Un horario debe tener únicamente una acción de alerta. Las acciones de alerta tienen una o varias de las secciones descritas en la tabla siguiente:
| Sección | Descripción | Uso |
|---|---|---|
| Umbral | Criterios para cuando se ejecuta la acción. | Necesario para cada alerta, antes o después de su extensión a Azure. |
| Severidad | Etiqueta que se usa para clasificar la alerta cuando se desencadena. | Necesario para cada alerta, antes o después de su extensión a Azure. |
| Reprimir | Opción para detener las notificaciones de las alertas. | Opcional para cada alerta, antes o después de ser extendidas a Azure. |
| Grupos de acciones | Identificadores de Azure ActionGroup en los que se especifican las acciones requeridas, tales como correos electrónicos, SMS, llamadas de voz, webhooks, runbooks de automatización y conectores de ITSM. |
Obligatorio después de que las alertas se extiendan a Azure. |
| Personalización de acciones | Modifique la salida estándar para algunas acciones seleccionadas de ActionGroup. |
Opcional para cada alerta y se puede usar después de que las alertas se extiendan a Azure. |
Umbrales
Una acción de alerta debe tener un umbral y solo uno más. Cuando los resultados de una búsqueda guardada coinciden con el umbral de una acción asociada a esa búsqueda, se ejecutan los demás procesos de esa acción. Una acción también puede contener solo un umbral para que se pueda usar con acciones de otros tipos que no contengan umbrales.
Los umbrales tienen las propiedades descritas en la tabla siguiente:
| Propiedad | Descripción |
|---|---|
Operator |
Operador para la comparación de umbrales. gt = Mayor que lt = menor que |
Value |
Valor del umbral. |
Por ejemplo, considere una consulta de eventos con un Interval de 15 minutos, un Timespan de 30 minutos y un Threshold de más de 10. En este caso, la consulta se ejecutaría cada 15 minutos. Se desencadenaría una alerta si devolviera 10 eventos creados durante un intervalo de 30 minutos.
La siguiente respuesta de ejemplo es para una acción con solo un Threshold:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Version": 1
}
Utiliza el método Put con un identificador de acción único para crear una nueva acción de umbral para un horario.
$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Utilice el método Put con un identificador de acción existente para modificar una acción de umbral de un horario. El cuerpo de la solicitud debe incluir la etiqueta etag de la acción.
$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Severidad
Log Analytics permite clasificar las alertas en categorías para facilitar la administración y la evaluación de prioridades. Los niveles de gravedad de alertas son informational, warningy critical. Estas categorías se asignan a la escala de gravedad normalizada de alertas de Azure, como se muestra en la tabla siguiente:
| Nivel de gravedad de Log Analytics | Nivel de gravedad de alertas de Azure |
|---|---|
critical |
Sev 0 |
warning |
Sev 1 |
informational |
Sev 2 |
La siguiente respuesta de ejemplo es para una acción con solo Threshold y Severity:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Severity": "critical",
"Version": 1
}
Usa el método Put con un identificador de acción único para crear una nueva acción para un horario con Severity.
$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Utiliza el método Put con un identificador de acción existente para modificar una acción de prioridad para un horario. El cuerpo de la solicitud debe incluir la etiqueta etag de la acción.
$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Reprimir
Las alertas de consulta basadas en Log Analytics se activan cada vez que se alcanza o supera el umbral. En función de la lógica implícita en la consulta, es posible que se desencadene una alerta en una serie de intervalos. El resultado es que las notificaciones se envían constantemente. Para evitar este escenario, puede establecer la opción Suppress que indica a Log Analytics que espere una cantidad de tiempo estipulada antes de que la notificación se desencadene la segunda vez para la regla de alertas.
Por ejemplo, si Suppress se establece durante 30 minutos, la alerta se activará la primera vez y enviará notificaciones configuradas. A continuación, esperará 30 minutos antes de que se vuelva a usar la notificación de la regla de alertas. En el período intermedio, la regla de alerta seguirá ejecutándose. Log Analytics suprime solo la notificación durante un tiempo especificado, independientemente de cuántas veces se desencadene la regla de alertas en este período.
La propiedad Suppress de una regla de alerta de búsqueda de registros se especifica mediante el valor Throttling. El período de supresión se especifica mediante el valor DurationInMinutes.
La siguiente respuesta de ejemplo es para una acción solo con propiedades Threshold, Severityy Suppress.
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Throttling": {
"DurationInMinutes": 30
},
"Severity": "critical",
"Version": 1
}
Usa el método Put con un identificador de acción único para crear una nueva acción para un horario con Severity.
$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Utiliza el método Put con un identificador de acción existente para modificar una acción de prioridad para un horario. El cuerpo de la solicitud debe incluir la etiqueta etag de la acción.
$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Grupos de acciones
Todas las alertas de Azure usan el grupo de acciones como mecanismo predeterminado para controlar acciones. Con un grupo de acciones, puede especificar las acciones una vez y, a continuación, asociar el grupo de acciones a varias alertas en Azure sin necesidad de declarar repetidamente las mismas acciones. Los grupos de acciones admiten múltiples acciones como correo electrónico, SMS, llamada de voz, conexión con ITSM, runbook de automatización y URI de webhook.
Para los usuarios que han extendido sus alertas a Azure, ahora debe haber una programación que incluya los detalles del grupo de acciones junto con Threshold para poder crear una alerta. Los detalles de correo electrónico, las direcciones URL del webhook, los detalles de automatización del runbook y otras acciones deben definirse primero dentro de un grupo de acciones antes de crear una alerta. Puede crear un grupo de acciones desde Azure Monitor en el portal de Azure o usar la API de grupo de acciones .
Para asociar un grupo de acciones a una alerta, especifique el identificador único de Azure Resource Manager del grupo de acciones en la definición de alerta. En el ejemplo siguiente se muestra el uso:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
]
},
"Severity": "critical",
"Version": 1
}
Utilice el método Put con un identificador de acción único para asociar un grupo de acciones ya existente para un programa. En el ejemplo siguiente se muestra el uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Use el método Put con un identificador de acción existente para modificar un grupo de acciones asociado a una programación. El cuerpo de la solicitud debe incluir el "etag" de la acción.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personalización de acciones
De forma predeterminada, las acciones siguen las plantillas estándar y el formato de las notificaciones. Pero puede personalizar algunas acciones, incluso si están controladas por grupos de acciones. Actualmente, la personalización es posible para EmailSubject y WebhookPayload.
Personalizar EmailSubject para un grupo de acciones
De forma predeterminada, el asunto del correo electrónico de las alertas es Alert Notification <AlertName> for <WorkspaceName>. Pero el asunto se puede personalizar para que pueda especificar palabras o etiquetas que le permitan emplear fácilmente reglas de filtro en la Bandeja de entrada. Los detalles del encabezado de correo electrónico personalizados deben enviarse junto con los detalles de ActionGroup, como en el ejemplo siguiente:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
}
Use el método Put con un identificador de acción único para asociar un grupo de acciones existente con la personalización de una programación. En el ejemplo siguiente se muestra el uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Use el método Put con un identificador de acción existente para modificar un grupo de acciones asociado a una programación. El cuerpo de la solicitud debe incluir la etiqueta etag de la acción.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personalizar WebhookPayload para un grupo de acciones
De forma predeterminada, el webhook enviado a través de un grupo de acciones para Log Analytics tiene una estructura fija. Pero es posible personalizar la carga JSON utilizando variables específicas que son admitidas para cumplir con los requisitos del extremo del webhook. Para obtener más información, consulte Acción de Webhook para las reglas de alerta de búsqueda de registros.
Los detalles del webhook personalizado deben enviarse junto con los detalles de ActionGroup. Se aplicarán a todos los URI de webhook especificados dentro del grupo de acciones. En el ejemplo siguiente se muestra el uso:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
},
Use el método Put con un identificador de acción único para asociar un grupo de acciones existente con la personalización de una programación. En el ejemplo siguiente se muestra el uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Utilice el método Put con un identificador de acción existente para modificar un grupo de acciones asociado a un cronograma. El cuerpo de la solicitud debe incluir la etiqueta etag de la acción.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Pasos siguientes
- Use la API REST de para realizar búsquedas de registros en Log Analytics.
- Obtenga información sobre alertas de búsqueda de registros en Azure Monitor.
- Aprenda a crear, editar o administrar reglas de alertas de búsqueda de registros en Azure Monitor.