Schema di avviso comune
Lo schema di avviso comune standardizza l'utilizzo delle notifiche di avviso di Monitoraggio di Azure. Storicamente, i log attività, le metriche e gli avvisi di ricerca log avevano modelli di posta elettronica e schemi webhook personalizzati. Lo schema di avviso comune fornisce uno schema standardizzato per tutte le notifiche di avviso.
L'uso di uno schema standardizzato consente di ridurre al minimo il numero di integrazioni, semplificando il processo di gestione e gestione delle integrazioni. Lo schema comune consente un'esperienza di utilizzo degli avvisi più completa sia nella portale di Azure che nell'app per dispositivi mobili di Azure.
Lo schema di avviso comune fornisce una struttura coerente per:
- Modelli di posta elettronica: Usa il modello di posta elettronica dettagliato per diagnosticare i problemi a colpo d'occhio. I collegamenti incorporati all'istanza di avviso nel portale e alla risorsa interessata assicurano la possibilità di avviare rapidamente il processo di correzione.
- Struttura JSON: Usa la struttura JSON coerente per compilare integrazioni per tutti i tipi di avviso usando:
- App per la logica di Azure
- Funzioni di Azure
- Runbook di Automazione di Azure
Nota
- Gli avvisi generati da informazioni dettagliate sulle macchine virtuali non supportano lo schema comune.
- Gli avvisi di rilevamento intelligente usano lo schema comune per impostazione predefinita. Non è necessario abilitare lo schema comune per gli avvisi di rilevamento intelligente.
Struttura dello schema comune
Lo schema comune include informazioni sulla risorsa interessata e sulla causa dell'avviso in queste sezioni:
Informazioni di base: campi standardizzati, usati da tutti i tipi di avviso che descrivono la risorsa interessata dai metadati dell'avviso e degli avvisi comuni, ad esempio gravità o descrizione.
Se si vogliono instradare istanze di avviso a team specifici in base a criteri come un gruppo di risorse, è possibile usare i campi nella sezione Informazioni di base per fornire la logica di routing per tutti i tipi di avviso. I team che ricevono la notifica di avviso possono quindi usare i campi di contesto per l'indagine.
Contesto avviso: campi che variano a seconda del tipo di avviso. I campi del contesto di avviso descrivono la causa dell'avviso. Ad esempio, un avviso di metrica include campi come il nome della metrica e il valore della metrica nel contesto di avviso. Un avviso del log attività contiene informazioni sull'evento che ha generato l'avviso.
Proprietà personalizzate: le informazioni aggiuntive non incluse nel payload dell'avviso per impostazione predefinita possono essere incluse nel payload dell'avviso usando proprietà personalizzate. Le proprietà personalizzate sono una coppia Key:Value che può includere tutte le informazioni configurate nella regola di avviso.
Payload di avvisi di esempio
{
"schemaId": "azureMonitorCommonAlertSchema",
"data": {
"essentials": {
"alertId": "/subscriptions/<subscription ID>/providers/Microsoft.AlertsManagement/alerts/b9569717-bc32-442f-add5-83a997729330",
"alertRule": "WCUS-R2-Gen2",
"severity": "Sev3",
"signalType": "Metric",
"monitorCondition": "Resolved",
"monitoringService": "Platform",
"alertTargetIDs": [
"/subscriptions/<subscription ID>/resourcegroups/pipelinealertrg/providers/microsoft.compute/virtualmachines/wcus-r2-gen2"
],
"configurationItems": [
"wcus-r2-gen2"
],
"originAlertId": "3f2d4487-b0fc-4125-8bd5-7ad17384221e_PipeLineAlertRG_microsoft.insights_metricAlerts_WCUS-R2-Gen2_-117781227",
"firedDateTime": "2019-03-22T13:58:24.3713213Z",
"resolvedDateTime": "2019-03-22T14:03:16.2246313Z",
"description": "",
"essentialsVersion": "1.0",
"alertContextVersion": "1.0"
},
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 7.727
}
]
}
},
"customProperties": {
"Key1": "Value1",
"Key2": "Value2"
}
}
}
Per gli avvisi di esempio che usano lo schema comune, vedere Payload di avviso di esempio.
Campi essenziali
| Campo | Descrizione |
|---|---|
| alertId | ID risorsa univoco che identifica l'istanza dell'avviso. |
| alertRule | Il nome della regola di avviso che ha generato l'istanza di avviso. |
| Gravità | La gravità dell'avviso. I valori possibili sono Sev0, Sev1, Sev2, Sev3 o Sev4. |
| signalType | Identifica il segnale su cui è stata definita la regola di avviso. I valori possibili sono Metrica, Log o Log attività. |
| monitorCondition | Quando si attiva un avviso, la relativa condizione del monitoraggio viene impostata su Attivato. Quando la condizione sottostante che ha determinato l'attivazione dell'avviso viene cancellata, la condizione del monitoraggio viene impostata su Risolto. |
| monitoringService | Il servizio di monitoraggio o la soluzione che ha generato l'avviso. Il servizio di monitoraggio determina quali campi si trovano nel contesto di avviso. |
| alertTargetIDs | Elenco degli ID Azure Resource Manager interessati da un avviso. Per un avviso di ricerca log definito in un'area di lavoro Log Analytics o in un'istanza di Application Insights, si tratta dell'area di lavoro o dell'applicazione corrispondente. |
| configurationItems | Elenco delle risorse interessate di un avviso. In alcuni casi, gli elementi di configurazione possono essere diversi dalle destinazioni di avviso. Ad esempio, negli avvisi di ricerca delle metriche per log o log definiti in un'area di lavoro Log Analytics, gli elementi di configurazione sono le risorse effettive che inviano i dati e non l'area di lavoro.
configurationItems campo viene usato per correlare gli avvisi alle risorse in un database di gestione della configurazione. |
| originAlertId | ID dell'istanza di avviso, generato dal servizio di monitoraggio che genera l'avviso. |
| firedDateTime | Data e ora in cui l'istanza di avviso è stata attivata nel formato Coordinated Universal Time (UTC). |
| resolvedDateTime | Data e ora in cui la condizione di monitoraggio per l'istanza di avviso è impostata su Risolto nel formato UTC. Attualmente applicabile solo per gli avvisi di metrica. |
| description | La descrizione, come definito nella regola di avviso. |
| essentialsVersion | Il numero di versione per la sezione Essentials. |
| alertContextVersion | Il numero di versione per la sezione alertContext. |
Campi del contesto di avviso per gli avvisi delle metriche
| Campo | Descrizione |
|---|---|
| proprietà | (Facoltativo. Raccolta di proprietà definite dal cliente. |
| conditionType | Tipo di condizione selezionata per la regola di avviso: - soglia statica - soglia dinamica -Webtest |
| condizione | |
| windowSize | Periodo di tempo analizzato dalla regola di avviso. |
| allOf | Indica che tutte le condizioni definite nella regola di avviso devono essere soddisfatte per attivare un avviso. |
| alertSensitivity | In una regola di avviso con una soglia dinamica indica quanto è sensibile la regola o quanto il valore può deviare dalla soglia superiore o inferiore. |
| failPeriods | In una regola di avviso con una soglia dinamica, il numero di periodi di valutazione che non soddisfano la soglia di avviso che attiva un avviso. Ad esempio, è possibile indicare che un avviso viene attivato quando 3 dei cinque periodi di valutazione non rientrano nelle soglie di avviso. |
| numberOfEvaluationPeriods | Numero totale di valutazioni. |
| minFailingPeriodsToAlert | Numero minimo di valutazioni che non soddisfano le condizioni della regola di avviso. |
| ignoreDataBefore | (Facoltativo. In una regola di avviso con una soglia dinamica, la data da cui viene calcolata la soglia. Usare questo valore per indicare che la regola non deve calcolare la soglia dinamica usando i dati precedenti alla data specificata. |
| metricName | Nome della metrica monitorata dalla regola di avviso. |
| metricNamespace | Spazio dei nomi della metrica monitorata dalla regola di avviso. |
| Operatore | Operatore logico della regola di avviso. |
| threshold | Soglia definita nella regola di avviso. Per una regola di avviso con una soglia dinamica, questo valore è la soglia calcolata. |
| timeAggregation | Tipo di aggregazione della regola di avviso. |
| dimensioni | Dimensione della metrica che ha attivato l'avviso. |
| name | Nome della dimensione. |
| value | Valore della dimensione. |
| metricValue | Valore della metrica al momento in cui ha violato la soglia. |
| webTestName | Se il tipo di condizione è webtest, il nome del test Web. |
| windowStartTime | Ora di inizio della finestra di valutazione in cui è stato attivato l'avviso. |
| windowEndTime | Ora di fine della finestra di valutazione in cui è stato generato l'avviso. |
Avviso di metrica di esempio con una soglia statica quando monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 31.1105
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Avviso di metrica di esempio con una soglia dinamica quando monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "DynamicThresholdCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"alertSensitivity": "High",
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"ignoreDataBefore": null,
"metricName": "Egress",
"metricNamespace": "microsoft.storage/storageaccounts",
"operator": "GreaterThan",
"threshold": "47658",
"timeAggregation": "Total",
"dimensions": [],
"metricValue": 50101
}
],
"windowStartTime": "2021-07-20T05:07:26.363Z",
"windowEndTime": "2021-07-20T05:12:26.363Z"
}
}
}
Avviso di metrica di esempio per i test di disponibilità quando monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "WebtestLocationAvailabilityCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Failed Location",
"metricNamespace": null,
"operator": "GreaterThan",
"threshold": "2",
"timeAggregation": "Sum",
"dimensions": [],
"metricValue": 5,
"webTestName": "myAvailabilityTest-myApplication"
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Campi del contesto di avviso per gli avvisi di ricerca log
Nota
Quando si abilita lo schema comune, i campi nel payload vengono reimpostati sui campi dello schema comuni. Di conseguenza, gli avvisi di ricerca log presentano queste limitazioni relative allo schema comune:
- Lo schema comune non è supportato per gli avvisi di ricerca log che usano webhook con un oggetto di posta elettronica personalizzato e/o un payload JSON, poiché lo schema comune sovrascrive le configurazioni personalizzate.
- Gli avvisi che usano lo schema comune hanno un limite di dimensioni superiori di 256 KB per avviso. Se il payload degli avvisi di ricerca log include i risultati della ricerca che causano il superamento delle dimensioni massime dell'avviso, i risultati della ricerca non vengono incorporati nel payload degli avvisi di ricerca log. È possibile verificare se il payload include i risultati della ricerca con il
IncludedSearchResultsflag . UsareLinkToFilteredSearchResultsAPIoLinkToSearchResultsAPIper accedere ai risultati delle query con l'API Log Analytics se i risultati della ricerca non sono inclusi.
| Campo | Descrizione |
|---|---|
| SearchQuery | Query definita nella regola di avviso. |
| SearchIntervalStartTimeUtc | Ora di inizio della finestra di valutazione in cui l'avviso è stato attivato in formato UTC. |
| SearchIntervalEndTimeUtc | Ora di fine della finestra di valutazione in cui l'avviso è stato attivato in formato UTC. |
| ResultCount | Numero di record restituiti dalla query. Per le regole di misurazione delle metriche, il numero o i record che corrispondono alla combinazione di dimensioni specifica. |
| LinkToSearchResults | Collegamento ai risultati della ricerca. |
| LinkToFilteredSearchResultsUI | Per le regole di misurazione delle metriche, il collegamento ai risultati della ricerca dopo che sono stati filtrati in base alle combinazioni di dimensioni. |
| LinkToSearchResultsAPI | Collegamento ai risultati della query usando l'API Log Analytics. |
| LinkToFilteredSearchResultsAPI | Per le regole di misurazione delle metriche, il collegamento ai risultati della ricerca usando l'API Log Analytics dopo che sono stati filtrati in base alle combinazioni di dimensioni. |
| SearchIntervalDurationMin | Numero totale di minuti nell'intervallo di ricerca. |
| SearchIntervalInMin | Numero totale di minuti nell'intervallo di ricerca. |
| Threshold | Soglia definita nella regola di avviso. |
| Operatore | Operatore definito nella regola di avviso. |
| ApplicationID | ID di Application Insights in cui è stato attivato l'avviso. |
| Dimensioni | Per le regole di misurazione delle metriche, le dimensioni delle metriche in cui è stato attivato l'avviso. |
| name | Nome della dimensione. |
| value | Valore della dimensione. |
| SearchResults | Risultati della ricerca completi. |
| table | Tabella dei risultati nei risultati della ricerca. |
| name | Nome della tabella nei risultati della ricerca. |
| colonne | Colonne della tabella. |
| name | Nome della colonna. |
| type | Tipo della colonna. |
| rows | Righe della tabella. |
| DataSources | Origini dati in cui è stato attivato l'avviso. |
| Resourceid | ID risorsa interessato dall'avviso. |
| tabelle | Le tabelle di risposta bozza incluse nella query. |
| IncludedSearchResults | Flag che indica se il payload deve contenere i risultati. |
| AlertType | Tipo di avviso: - Misurazione della metrica - Numero di risultati |
Avviso di ricerca log di esempio quando monitoraggioService = Log Analytics
{
"alertContext": {
"SearchQuery": "Perf | where ObjectName == \"Processor\" and CounterName == \"% Processor Time\" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), Computer",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:31 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:31 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"LinkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"SeverityDescription": "Warning",
"WorkspaceId": "12345a-1234b-123c-123d-12345678e",
"SearchIntervalDurationMin": "15",
"AffectedConfigurationItems": [
"INC-Gen2Alert"
],
"SearchIntervalInMinutes": "15",
"Threshold": 10000,
"Operator": "Less Than",
"Dimensions": [
{
"name": "Computer",
"value": "INC-Gen2Alert"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Computer",
"type": "string"
},
{
"name": "TimeGenerated",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/a5ea55e2-7482-49ba-90b3-60e7496dd873/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Avviso di ricerca log di esempio quando monitoraggioService = Application Insights
{
"alertContext": {
"SearchQuery": "requests | where resultCode == \"500\" | summarize AggregatedValue = Count by bin(Timestamp, 5m), IP",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:33 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:33 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"LinkToFilteredSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"SearchIntervalDurationMin": "15",
"SearchIntervalInMinutes": "15",
"Threshold": 10000.0,
"Operator": "Less Than",
"ApplicationId": "8e20151d-75b2-4d66-b965-153fb69d65a6",
"Dimensions": [
{
"name": "IP",
"value": "1.1.1.1"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Id",
"type": "string"
},
{
"name": "Timestamp",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/a5ea27e2-7482-49ba-90b3-52e7496dd873/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Avviso di ricerca log di esempio quando monitoraggioService = Avvisi log V2
Nota
Le regole di avviso di ricerca log dalla versione API 2020-05-01 usano questo tipo di payload, che supporta solo lo schema comune. I risultati della ricerca non sono incorporati nel payload degli avvisi di ricerca log quando si usa questa versione. Usare le dimensioni per fornire il contesto agli avvisi attivati. È anche possibile usare LinkToFilteredSearchResultsAPI o LinkToSearchResultsAPI per accedere ai risultati delle query con l'API Log Analytics. Se è necessario incorporare i risultati, usare un'app per la logica con i collegamenti forniti per generare un payload personalizzato.
{
"alertContext": {
"properties": {
"name1": "value1",
"name2": "value2"
},
"conditionType": "LogQueryCriteria",
"condition": {
"windowSize": "PT10M",
"allOf": [
{
"searchQuery": "Heartbeat",
"metricMeasureColumn": "CounterValue",
"targetResourceTypes": "['Microsoft.Compute/virtualMachines']",
"operator": "LowerThan",
"threshold": "1",
"timeAggregation": "Count",
"dimensions": [
{
"name": "Computer",
"value": "TestComputer"
}
],
"metricValue": 0.0,
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"linkToSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z"
}
],
"windowStartTime": "2020-07-07T13:54:34Z",
"windowEndTime": "2020-07-09T13:54:34Z"
}
}
}
Campi del contesto di avviso per gli avvisi del log attività
Per informazioni dettagliate sui campi negli avvisi del log attività, vedere Schema eventi del log attività di Azure.
Avviso del log attività di esempio quando monitoraggioService = Log attività - Amministrazione istrative
{
"alertContext": {
"authorization": {
"action": "Microsoft.Compute/virtualMachines/restart/action",
"scope": "/subscriptions/<subscription ID>/resourceGroups/PipeLineAlertRG/providers/Microsoft.Compute/virtualMachines/WCUS-R2-ActLog"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.core.windows.net/\",\"iss\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"iat\":\"1553260826\",\"nbf\":\"1553260826\",\"exp\":\"1553264726\",\"aio\":\"42JgYNjdt+rr+3j/dx68v018XhuFAwA=\",\"appid\":\"e9a02282-074f-45cf-93b0-50568e0e7e50\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"9778283b-b94c-4ac6-8a41-d5b493d03aa3\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"9778283b-b94c-4ac6-8a41-d5b493d03aa3\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"12345a-1234b-123c-123d-12345678e\",\"uti\":\"v5wYC9t9ekuA2rkZSVZbAA\",\"ver\":\"1.0\"}",
"caller": "9778283b-b94c-4ac6-8a41-d5b493d03aa3",
"correlationId": "8ee9c32a-92a1-4a8f-989c-b0ba09292a91",
"eventSource": "Administrative",
"eventTimestamp": "2019-03-22T13:56:31.2917159+00:00",
"eventDataId": "161fda7e-1cb4-4bc5-9c90-857c55a8f57b",
"level": "Informational",
"operationName": "Microsoft.Compute/virtualMachines/restart/action",
"operationId": "310db69b-690f-436b-b740-6103ab6b0cba",
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-03-22T13:56:54.067593+00:00"
}
}
Avviso del log attività di esempio quando monitoraggioService = Log attività - Criteri
{
"alertContext": {
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<GUID>"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.azure.com/\",\"iss\":\"https://sts.windows.net/<GUID>/\",\"iat\":\"1566711059\",\"nbf\":\"1566711059\",\"exp\":\"1566740159\",\"aio\":\"42FgYOhynHNw0scy3T/bL71+xLyqEwA=\",\"appid\":\"<GUID>\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/<GUID>/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"<GUID>\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"<GUID>\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"<GUID>\",\"uti\":\"Miy1GzoAG0Scu_l3m1aIAA\",\"ver\":\"1.0\"}",
"caller": "<GUID>",
"correlationId": "<GUID>",
"eventSource": "Policy",
"eventTimestamp": "2019-08-25T11:11:34.2269098+00:00",
"eventDataId": "<GUID>",
"level": "Warning",
"operationName": "Microsoft.Authorization/policies/audit/action",
"operationId": "<GUID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "eastus2",
"ancestors": "<GUID>",
"policies": "[{\"policyDefinitionId\":\"/providers/Microsoft.Authorization/policyDefinitions/<GUID>/\",\"policySetDefinitionId\":\"/providers/Microsoft.Authorization/policySetDefinitions/<GUID>/\",\"policyDefinitionReferenceId\":\"vulnerabilityAssessmentMonitoring\",\"policySetDefinitionName\":\"<GUID>\",\"policyDefinitionName\":\"<GUID>\",\"policyDefinitionEffect\":\"AuditIfNotExists\",\"policyAssignmentId\":\"/subscriptions/<GUID>/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn/\",\"policyAssignmentName\":\"SecurityCenterBuiltIn\",\"policyAssignmentScope\":\"/subscriptions/<GUID>\",\"policyAssignmentSku\":{\"name\":\"A1\",\"tier\":\"Standard\"},\"policyAssignmentParameters\":{}}]"
},
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-08-25T11:12:46.1557298+00:00"
}
}
Avviso del log attività di esempio quando monitoraggioService = Log attività - Scalabilità automatica
{
"alertContext": {
"channels": "Admin, Operation",
"claims": "{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn\":\"Microsoft.Insights/autoscaleSettings\"}",
"caller": "Microsoft.Insights/autoscaleSettings",
"correlationId": "<GUID>",
"eventSource": "Autoscale",
"eventTimestamp": "2019-08-21T16:17:47.1551167+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Insights/AutoscaleSettings/Scaleup/Action",
"operationId": "<GUID>",
"properties": {
"description": "The autoscale engine attempting to scale resource '/subscriptions/d<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS' from 9 instances count to 10 instances count.",
"resourceName": "/subscriptions/<GUID>/resourceGroups/voiceassistancedemo/providers/Microsoft.Compute/virtualMachineScaleSets/alexademo",
"oldInstancesCount": "9",
"newInstancesCount": "10",
"activeAutoscaleProfile": "{\r\n \"Name\": \"Auto created scale condition\",\r\n \"Capacity\": {\r\n \"Minimum\": \"1\",\r\n \"Maximum\": \"10\",\r\n \"Default\": \"1\"\r\n },\r\n \"Rules\": [\r\n {\r\n \"MetricTrigger\": {\r\n \"Name\": \"Percentage CPU\",\r\n \"Namespace\": \"microsoft.compute/virtualmachinescalesets\",\r\n \"Resource\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"ResourceLocation\": \"eastus\",\r\n \"TimeGrain\": \"PT1M\",\r\n \"Statistic\": \"Average\",\r\n \"TimeWindow\": \"PT5M\",\r\n \"TimeAggregation\": \"Average\",\r\n \"Operator\": \"GreaterThan\",\r\n \"Threshold\": 0.0,\r\n \"Source\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"MetricType\": \"MDM\",\r\n \"Dimensions\": [],\r\n \"DividePerInstance\": false\r\n },\r\n \"ScaleAction\": {\r\n \"Direction\": \"Increase\",\r\n \"Type\": \"ChangeCount\",\r\n \"Value\": \"1\",\r\n \"Cooldown\": \"PT1M\"\r\n }\r\n }\r\n ]\r\n}",
"lastScaleActionTime": "Wed, 21 Aug 2019 16:17:47 GMT"
},
"status": "Succeeded",
"submissionTimestamp": "2019-08-21T16:17:47.2410185+00:00"
}
}
Avviso del log attività di esempio quando monitoraggioService = Log attività - Sicurezza
{
"alertContext": {
"channels": "Operation",
"correlationId": "<GUID>",
"eventSource": "Security",
"eventTimestamp": "2019-08-26T08:34:14+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Security/locations/alerts/activate/action",
"operationId": "<GUID>",
"properties": {
"threatStatus": "Quarantined",
"category": "Virus",
"threatID": "2147519003",
"filePath": "C:\\AlertGeneration\\test.eicar",
"protectionType": "Windows Defender",
"actionTaken": "Blocked",
"resourceType": "Virtual Machine",
"severity": "Low",
"compromisedEntity": "testVM",
"remediationSteps": "[\"No user action is necessary\"]",
"attackedResourceType": "Virtual Machine"
},
"status": "Active",
"submissionTimestamp": "2019-08-26T09:28:58.3019107+00:00"
}
}
Avviso del log attività di esempio quando monitoraggioService = ServiceHealth
{
"alertContext": {
"authorization": null,
"channels": 1,
"claims": null,
"caller": null,
"correlationId": "f3cf2430-1ee3-4158-8e35-7a1d615acfc7",
"eventSource": 2,
"eventTimestamp": "2019-06-24T11:31:19.0312699+00:00",
"httpRequest": null,
"eventDataId": "<GUID>",
"level": 3,
"operationName": "Microsoft.ServiceHealth/maintenance/action",
"operationId": "<GUID>",
"properties": {
"title": "Azure Synapse Analytics Scheduled Maintenance Pending",
"service": "Azure Synapse Analytics",
"region": "East US",
"communication": "<MESSAGE>",
"incidentType": "Maintenance",
"trackingId": "<GUID>",
"impactStartTime": "2019-06-26T04:00:00Z",
"impactMitigationTime": "2019-06-26T12:00:00Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"East US\"}],\"ServiceName\":\"Azure Synapse Analytics\"}]",
"impactedServicesTableRows": "<tr>\r\n<td align='center' style='padding: 5px 10px; border-right:1px solid black; border-bottom:1px solid black'>Azure Synapse Analytics</td>\r\n<td align='center' style='padding: 5px 10px; border-bottom:1px solid black'>East US<br></td>\r\n</tr>\r\n",
"defaultLanguageTitle": "Azure Synapse Analytics Scheduled Maintenance Pending",
"defaultLanguageContent": "<MESSAGE>",
"stage": "Planned",
"communicationId": "<GUID>",
"maintenanceId": "<GUID>",
"isHIR": "false",
"version": "0.1.1"
},
"status": "Active",
"subStatus": null,
"submissionTimestamp": "2019-06-24T11:31:31.7147357+00:00",
"ResourceType": null
}
}
Avviso del log attività di esempio quando monitoraggioService = ResourceHealth
{
"alertContext": {
"channels": "Admin, Operation",
"correlationId": "<GUID>",
"eventSource": "ResourceHealth",
"eventTimestamp": "2019-06-24T15:42:54.074+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "<GUID>",
"properties": {
"title": "This virtual machine is stopping and deallocating as requested by an authorized user or process",
"details": null,
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "UserInitiated"
},
"status": "Active",
"submissionTimestamp": "2019-06-24T15:45:20.4488186+00:00"
}
}
Campi del contesto di avviso per gli avvisi di Prometheus
Per informazioni dettagliate sui campi negli avvisi di Prometheus, vedere Servizio gestito di Monitoraggio di Azure per i gruppi di regole Prometheus (anteprima ).
Avviso prometheus di esempio
{
"alertContext": {
"interval": "PT1M",
"expression": "sql_up > 0",
"expressionValue": "0",
"for": "PT2M",
"labels": {
"Environment": "Prod",
"cluster": "myCluster1"
},
"annotations": {
"summary": "alert on SQL availability"
},
"ruleGroup": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.AlertsManagement/prometheusRuleGroups/myRuleGroup"
}
}
Campi delle proprietà personalizzate
Se la regola di avviso che ha generato l'avviso contiene gruppi di azioni, le proprietà personalizzate possono contenere informazioni aggiuntive sull'avviso. La sezione delle proprietà personalizzate contiene oggetti "chiave: valore" aggiunti alle notifiche webhook.
Se le proprietà personalizzate non sono impostate nella regola di avviso, il campo è Null.
Abilitare lo schema di avviso comune
Usare i gruppi di azioni nella portale di Azure o usare l'API REST per abilitare lo schema di avviso comune. Gli schemi vengono definiti a livello di azione. Ad esempio, è necessario abilitare separatamente lo schema per un'azione di posta elettronica e un'azione webhook.
Abilitare lo schema comune nel portale di Azure
- Aprire qualsiasi azione esistente o una nuova azione in un gruppo di azioni.
- Selezionare Sì per abilitare lo schema di avviso comune.
Abilitare lo schema comune usando l'API REST
È anche possibile usare l'API Gruppi di azioni per acconsentire esplicitamente allo schema di avviso comune. Nella chiamata all'API REST di creazione o aggiornamento ,
- Impostare il flag "useCommonAlertSchema" su
trueper abilitare lo schema comune - Impostare il flag "useCommonAlertSchema" su
falseper usare lo schema non comune per le azioni del runbook di posta elettronica, webhook, App per la logica, Funzioni di Azure o automation.
Esempio di chiamata API REST per l'uso dello schema comune
La richiesta dell'API REST seguente viene creata o aggiornata :
- Abilita lo schema di avviso comune per l'azione di posta elettronica "Messaggio di posta elettronica di John Doe".
- Disabilita lo schema di avviso comune per l'azione di posta elettronica "Posta elettronica di Jane Smith".
- Abilita lo schema di avviso comune per l'azione webhook "Webhook di esempio".
{
"properties": {
"groupShortName": "sample",
"enabled": true,
"emailReceivers": [
{
"name": "John Doe's email",
"emailAddress": "johndoe@email.com",
"useCommonAlertSchema": true
},
{
"name": "Jane Smith's email",
"emailAddress": "janesmith@email.com",
"useCommonAlertSchema": false
}
],
"smsReceivers": [
{
"name": "John Doe's mobile",
"countryCode": "1",
"phoneNumber": "1234567890"
},
{
"name": "Jane Smith's mobile",
"countryCode": "1",
"phoneNumber": "0987654321"
}
],
"webhookReceivers": [
{
"name": "Sample webhook",
"serviceUri": "http://www.example.com/webhook",
"useCommonAlertSchema": true
}
]
},
"location": "Global",
"tags": {}
}