Algemeen waarschuwingsschema
Het algemene waarschuwingsschema standaardiseert het verbruik van Azure Monitor-waarschuwingsmeldingen. In het verleden hadden activiteitenlogboeken, metrische gegevens en logboekwaarschuwingen elk hun eigen e-mailsjablonen en webhookschema's. Het algemene waarschuwingsschema biedt één gestandaardiseerd schema voor alle waarschuwingsmeldingen.
Een gestandaardiseerd schema kan u helpen het aantal integraties te minimaliseren, waardoor het proces van het beheren en onderhouden van uw integraties wordt vereenvoudigd.
Het algemene waarschuwingsschema biedt een consistente structuur voor:
- Email sjablonen: gebruik de gedetailleerde e-mailsjabloon om problemen in één oogopslag vast te stellen. Ingesloten koppelingen naar het waarschuwingsexemplaar in de portal en naar de betreffende resource zorgen ervoor dat u snel aan het herstelproces kunt beginnen.
- JSON-structuur: gebruik de consistente JSON-structuur om integraties te bouwen voor alle waarschuwingstypen met behulp van:
- Azure Logic Apps
- Azure Functions
- Azure Automation-runbook
Het nieuwe schema maakt een uitgebreidere ervaring voor waarschuwingsverbruik mogelijk in zowel de Azure Portal als de mobiele Azure-app.
Notitie
Waarschuwingen die door VM-inzichten worden gegenereerd, bieden geen ondersteuning voor het algemene schema.
Structuur van het algemene schema
Het algemene schema bevat informatie over de betrokken resource en de oorzaak van de waarschuwing in deze secties:
Essentials: Gestandaardiseerde velden, die worden gebruikt door alle waarschuwingstypen waarin de resource wordt beschreven die wordt beïnvloed door de waarschuwing en algemene metagegevens van waarschuwingen, zoals ernst of beschrijving.
Als u waarschuwingsexemplaren naar specifieke teams wilt routeren op basis van criteria zoals een resourcegroep, kunt u de velden in de sectie Essentials gebruiken om routeringslogica voor alle waarschuwingstypen op te geven. De teams die de waarschuwingsmelding ontvangen, kunnen vervolgens de contextvelden gebruiken voor hun onderzoek.
Waarschuwingscontext: velden die variëren, afhankelijk van het type waarschuwing. De waarschuwingscontextvelden beschrijven de oorzaak van de waarschuwing. Een waarschuwing voor metrische gegevens bevat bijvoorbeeld velden zoals de metrische naam en de metrische waarde in de waarschuwingscontext. Een waarschuwing voor activiteitenlogboeken bevat informatie over de gebeurtenis die de waarschuwing heeft gegenereerd.
Nettolading van voorbeeldwaarschuwingen
{
"schemaId": "azureMonitorCommonAlertSchema",
"data": {
"essentials": {
"alertId": "/subscriptions/<subscription ID>/providers/Microsoft.AlertsManagement/alerts/b9569717-bc32-442f-add5-83a997729330",
"alertRule": "WCUS-R2-Gen2",
"severity": "Sev3",
"signalType": "Metric",
"monitorCondition": "Resolved",
"monitoringService": "Platform",
"alertTargetIDs": [
"/subscriptions/<subscription ID>/resourcegroups/pipelinealertrg/providers/microsoft.compute/virtualmachines/wcus-r2-gen2"
],
"configurationItems": [
"wcus-r2-gen2"
],
"originAlertId": "3f2d4487-b0fc-4125-8bd5-7ad17384221e_PipeLineAlertRG_microsoft.insights_metricAlerts_WCUS-R2-Gen2_-117781227",
"firedDateTime": "2019-03-22T13:58:24.3713213Z",
"resolvedDateTime": "2019-03-22T14:03:16.2246313Z",
"description": "",
"essentialsVersion": "1.0",
"alertContextVersion": "1.0"
},
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 7.727
}
]
}
}
}
}
Zie Voorbeeld van waarschuwingspayloads voor voorbeeldwaarschuwingen die gebruikmaken van het algemene schema.
Essentials-velden
| Veld | Description |
|---|---|
| alertId | De unieke resource-id die het waarschuwingsexemplaar identificeert. |
| alertRule | De naam van de waarschuwingsregel die het waarschuwingsexemplaar heeft gegenereerd. |
| Ernst | De ernst van de waarschuwing. Mogelijke waarden zijn Sev0, Sev1, Sev2, Sev3 of Sev4. |
| signalType | Identificeert het signaal waarop de waarschuwingsregel is gedefinieerd. Mogelijke waarden zijn metrische gegevens, logboeken of activiteitenlogboeken. |
| monitorCondition | Wanneer een waarschuwing wordt geactiveerd, wordt de monitorvoorwaarde van de waarschuwing ingesteld op Geactiveerd. Wanneer de onderliggende voorwaarde waardoor de waarschuwing is geactiveerd, wordt de monitorvoorwaarde ingesteld op Opgelost. |
| monitoringService | De bewakingsservice of -oplossing die de waarschuwing heeft gegenereerd. De bewakingsservice bepaalt welke velden zich in de waarschuwingscontext bevinden. |
| alertTargetIds | De lijst met de Azure Resource Manager-id's die betrokken doelen van een waarschuwing zijn. Voor een logboekwaarschuwing die is gedefinieerd in een Log Analytics-werkruimte of Application Insights-exemplaar, is dit de respectieve werkruimte of toepassing. |
| configurationItems | De lijst met betrokken resources van een waarschuwing. In sommige gevallen kunnen de configuratie-items afwijken van de waarschuwingsdoelen. In waarschuwingen voor metrische gegevens voor logboeken of logboeken die zijn gedefinieerd in een Log Analytics-werkruimte, zijn de configuratie-items bijvoorbeeld de werkelijke resources die de telemetrie verzenden en niet de werkruimte.
configurationItems veld gebruikt om waarschuwingen te correleren met resources in een database voor configuratiebeheer. |
| originAlertId | De id van het waarschuwingsexemplaar, zoals gegenereerd door de bewakingsservice die deze genereert. |
| firedDateTime | De datum en tijd waarop het waarschuwingsexemplaar is geactiveerd in Coordinated Universal Time (UTC). |
| resolvedDateTime | De datum en tijd waarop de monitorvoorwaarde voor het waarschuwingsexemplaar is ingesteld op Opgelost in UTC. Momenteel alleen van toepassing op waarschuwingen voor metrische gegevens. |
| beschrijving | De beschrijving, zoals gedefinieerd in de waarschuwingsregel. |
| essentialsVersion | Het versienummer voor de sectie Essentials. |
| alertContextVersion | Het versienummer voor de alertContext sectie. |
Waarschuwingscontextvelden voor metrische waarschuwingen
| Veld | Description |
|---|---|
| properties | (Optioneel.) Een verzameling door de klant gedefinieerde eigenschappen. |
| conditionType | Het type voorwaarde dat is geselecteerd voor de waarschuwingsregel: - statische drempelwaarde - dynamische drempelwaarde -Webtest |
| Voorwaarde | |
| windowSize | De periode die wordt geanalyseerd door de waarschuwingsregel. |
| allOf | Geeft aan dat aan alle voorwaarden in de waarschuwingsregel moet worden voldaan om een waarschuwing te activeren. |
| alertSensitivity | In een waarschuwingsregel met een dynamische drempelwaarde wordt aangegeven hoe gevoelig de regel is of hoeveel de waarde kan afwijken van de bovenste of lagere drempelwaarde. |
| failPeriods | In een waarschuwingsregel met een dynamische drempelwaarde wordt het aantal evaluatieperioden dat niet voldoet aan de waarschuwingsdrempelwaarde die een waarschuwing activeert. U kunt bijvoorbeeld aangeven dat een waarschuwing wordt geactiveerd wanneer 3 van de laatste vijf evaluatieperioden niet binnen de waarschuwingsdrempels vallen. |
| numberOfEvaluationPeriods | Het totale aantal evaluaties. |
| minFailingPeriodsToAlert | Het minimale aantal evaluaties dat niet voldoet aan de voorwaarden van de waarschuwingsregel. |
| ignoreDataBefore | (Optioneel.) In een waarschuwingsregel met een dynamische drempelwaarde, de datum op basis waarvan de drempelwaarde wordt berekend. Gebruik deze waarde om aan te geven dat de regel de dynamische drempelwaarde niet mag berekenen met gegevens van vóór de opgegeven datum. |
| metricName | De naam van de metrische waarde die wordt bewaakt door de waarschuwingsregel. |
| metricNamespace | De naamruimte van de metrische waarde die wordt bewaakt door de waarschuwingsregel. |
| operator | De logische operator van de waarschuwingsregel. |
| threshold | De drempelwaarde die is gedefinieerd in de waarschuwingsregel. Voor een waarschuwingsregel met een dynamische drempelwaarde is deze waarde de berekende drempelwaarde. |
| timeAggregation | Het aggregatietype van de waarschuwingsregel. |
| Dimensies | De metrische dimensie die de waarschuwing heeft geactiveerd. |
| naam | De dimensienaam. |
| waarde | De dimensiewaarde. |
| metricValue | De metrische waarde op het moment dat deze de drempelwaarde heeft overschreden. |
| webTestName | Als het voorwaardetype is, de webtestnaam van de webtest. |
| windowStartTime | De begintijd van het evaluatievenster waarin de waarschuwing is geactiveerd. |
| windowEndTime | De eindtijd van het evaluatievenster waarin de waarschuwing is geactiveerd. |
Voorbeeldwaarschuwing voor metrische gegevens met een statische drempelwaarde wanneer de monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 31.1105
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Voorbeeldwaarschuwing voor metrische gegevens met een dynamische drempelwaarde wanneer de monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "DynamicThresholdCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"alertSensitivity": "High",
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"ignoreDataBefore": null,
"metricName": "Egress",
"metricNamespace": "microsoft.storage/storageaccounts",
"operator": "GreaterThan",
"threshold": "47658",
"timeAggregation": "Total",
"dimensions": [],
"metricValue": 50101
}
],
"windowStartTime": "2021-07-20T05:07:26.363Z",
"windowEndTime": "2021-07-20T05:12:26.363Z"
}
}
}
Voorbeeld van metrische waarschuwing voor beschikbaarheidstests wanneer de monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "WebtestLocationAvailabilityCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Failed Location",
"metricNamespace": null,
"operator": "GreaterThan",
"threshold": "2",
"timeAggregation": "Sum",
"dimensions": [],
"metricValue": 5,
"webTestName": "myAvailabilityTest-myApplication"
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Waarschuwingscontextvelden voor logboekwaarschuwingen
Notitie
Wanneer u het algemene schema inschakelt, worden de velden in de nettolading opnieuw ingesteld op de algemene schemavelden. Daarom hebben logboekwaarschuwingen deze beperkingen met betrekking tot het algemene schema:
- Het algemene schema wordt niet ondersteund voor logboekwaarschuwingen met behulp van webhooks met een aangepast e-mailonderwerp en/of JSON-nettolading, omdat het algemene schema de aangepaste configuraties overschrijft.
- Waarschuwingen die gebruikmaken van het algemene schema hebben een maximale grootte van 256 kB per waarschuwing. Als de nettolading van logboekwaarschuwingen zoekresultaten bevat die ervoor zorgen dat de waarschuwing de maximale grootte overschrijdt, worden de zoekresultaten niet ingesloten in de nettolading voor logboekwaarschuwingen. U kunt controleren of de nettolading de zoekresultaten met de
IncludedSearchResultsvlag bevat. GebruikLinkToFilteredSearchResultsAPIofLinkToSearchResultsAPIom toegang te krijgen tot queryresultaten met de Log Analytics-API als de zoekresultaten niet zijn opgenomen.
| Veld | Description |
|---|---|
| SearchQuery | De query die is gedefinieerd in de waarschuwingsregel. |
| SearchIntervalStartTimeUtc | De begintijd van het evaluatievenster waarin de waarschuwing is geactiveerd in UTC. |
| SearchIntervalEndTimeUtc | De eindtijd van het evaluatievenster waarin de waarschuwing is geactiveerd in UTC. |
| ResultCount | Het aantal records dat door de query wordt geretourneerd. Voor metrische meetregels het aantal of de records die overeenkomen met de specifieke dimensiecombinatie. |
| LinkToSearchResults | Een koppeling naar de zoekresultaten. |
| LinkToFilteredSearchResultsUI | Voor meetregels voor metrische gegevens: de koppeling naar de zoekresultaten nadat deze zijn gefilterd op de dimensiecombinaties. |
| LinkToSearchResultsAPI | Een koppeling naar de queryresultaten met behulp van de Log Analytics-API. |
| LinkToFilteredSearchResultsAPI | Voor meetregels voor metrische gegevens wordt de koppeling naar de zoekresultaten gebruikt met behulp van de Log Analytics-API nadat deze zijn gefilterd op de dimensiecombinaties. |
| SearchIntervalDurationMin | Het totale aantal minuten in het zoekinterval. |
| SearchIntervalInMin | Het totale aantal minuten in het zoekinterval. |
| Drempelwaarde | De drempelwaarde die is gedefinieerd in de waarschuwingsregel. |
| Operator | De operator die is gedefinieerd in de waarschuwingsregel. |
| ApplicationID | De Application Insights-id waarop de waarschuwing is geactiveerd. |
| Dimensies | Voor metrische meetregels, de metrische dimensies waarop de waarschuwing is geactiveerd. |
| naam | De dimensienaam. |
| waarde | De dimensiewaarde. |
| Zoekresultaten | De volledige zoekresultaten. |
| tabel | De tabel met resultaten in de zoekresultaten. |
| naam | De naam van de tabel in de zoekresultaten. |
| kolommen | De kolommen in de tabel. |
| naam | De naam van de kolom. |
| type | Het type van de kolom. |
| Rijen | De rijen in de tabel. |
| Datasources | De gegevensbronnen waarvoor de waarschuwing is geactiveerd. |
| Resourceid | De resource-id die wordt beïnvloed door de waarschuwing. |
| tabellen | De conceptantwoordtabellen die zijn opgenomen in de query. |
| IncludedSearchResults | Vlag die aangeeft of de nettolading de resultaten moet bevatten. |
| AlertType | Het waarschuwingstype: - Meting van metrische gegevens - Aantal resultaten |
Voorbeeld van een waarschuwing voor logboeken wanneer de monitoringService = Platform
{
"alertContext": {
"SearchQuery": "Perf | where ObjectName == \"Processor\" and CounterName == \"% Processor Time\" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), Computer",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:31 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:31 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"LinkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"SeverityDescription": "Warning",
"WorkspaceId": "12345a-1234b-123c-123d-12345678e",
"SearchIntervalDurationMin": "15",
"AffectedConfigurationItems": [
"INC-Gen2Alert"
],
"SearchIntervalInMinutes": "15",
"Threshold": 10000,
"Operator": "Less Than",
"Dimensions": [
{
"name": "Computer",
"value": "INC-Gen2Alert"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Computer",
"type": "string"
},
{
"name": "TimeGenerated",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/a5ea55e2-7482-49ba-90b3-60e7496dd873/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Voorbeeld van een waarschuwing voor logboeken wanneer de monitoringService = Application Insights
{
"alertContext": {
"SearchQuery": "requests | where resultCode == \"500\" | summarize AggregatedValue = Count by bin(Timestamp, 5m), IP",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:33 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:33 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"LinkToFilteredSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"SearchIntervalDurationMin": "15",
"SearchIntervalInMinutes": "15",
"Threshold": 10000.0,
"Operator": "Less Than",
"ApplicationId": "8e20151d-75b2-4d66-b965-153fb69d65a6",
"Dimensions": [
{
"name": "IP",
"value": "1.1.1.1"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Id",
"type": "string"
},
{
"name": "Timestamp",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/a5ea27e2-7482-49ba-90b3-52e7496dd873/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Voorbeeld van een logboekwaarschuwing wanneer de monitoringService = Logboekwaarschuwingen V2
Notitie
Logboekwaarschuwingsregels van API-versie 2020-05-01 gebruiken dit type nettolading, dat alleen algemene schema's ondersteunt. Zoekresultaten worden niet ingesloten in de nettolading voor logboekwaarschuwingen wanneer u deze versie gebruikt. Gebruik dimensies om context te bieden voor geactiveerde waarschuwingen. U kunt ook of LinkToSearchResultsAPI gebruiken om toegang te krijgen LinkToFilteredSearchResultsAPI tot queryresultaten met de Log Analytics-API. Als u de resultaten moet insluiten, gebruikt u een logische app met de opgegeven koppelingen om een aangepaste nettolading te genereren.
{
"alertContext": {
"properties": {
"name1": "value1",
"name2": "value2"
},
"conditionType": "LogQueryCriteria",
"condition": {
"windowSize": "PT10M",
"allOf": [
{
"searchQuery": "Heartbeat",
"metricMeasureColumn": "CounterValue",
"targetResourceTypes": "['Microsoft.Compute/virtualMachines']",
"operator": "LowerThan",
"threshold": "1",
"timeAggregation": "Count",
"dimensions": [
{
"name": "Computer",
"value": "TestComputer"
}
],
"metricValue": 0.0,
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"linkToSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z"
}
],
"windowStartTime": "2020-07-07T13:54:34Z",
"windowEndTime": "2020-07-09T13:54:34Z"
}
}
}
Waarschuwingscontextvelden voor waarschuwingen voor activiteitenlogboeken
Zie Gebeurtenisschema azure-activiteitenlogboek voor gedetailleerde informatie over de velden in waarschuwingen voor activiteitenlogboeken.
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = Activiteitenlogboek - Beheer
{
"alertContext": {
"authorization": {
"action": "Microsoft.Compute/virtualMachines/restart/action",
"scope": "/subscriptions/<subscription ID>/resourceGroups/PipeLineAlertRG/providers/Microsoft.Compute/virtualMachines/WCUS-R2-ActLog"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.core.windows.net/\",\"iss\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"iat\":\"1553260826\",\"nbf\":\"1553260826\",\"exp\":\"1553264726\",\"aio\":\"42JgYNjdt+rr+3j/dx68v018XhuFAwA=\",\"appid\":\"e9a02282-074f-45cf-93b0-50568e0e7e50\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"9778283b-b94c-4ac6-8a41-d5b493d03aa3\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"9778283b-b94c-4ac6-8a41-d5b493d03aa3\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"12345a-1234b-123c-123d-12345678e\",\"uti\":\"v5wYC9t9ekuA2rkZSVZbAA\",\"ver\":\"1.0\"}",
"caller": "9778283b-b94c-4ac6-8a41-d5b493d03aa3",
"correlationId": "8ee9c32a-92a1-4a8f-989c-b0ba09292a91",
"eventSource": "Administrative",
"eventTimestamp": "2019-03-22T13:56:31.2917159+00:00",
"eventDataId": "161fda7e-1cb4-4bc5-9c90-857c55a8f57b",
"level": "Informational",
"operationName": "Microsoft.Compute/virtualMachines/restart/action",
"operationId": "310db69b-690f-436b-b740-6103ab6b0cba",
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-03-22T13:56:54.067593+00:00"
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = Activiteitenlogboek - Beleid
{
"alertContext": {
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<GUID>"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.azure.com/\",\"iss\":\"https://sts.windows.net/<GUID>/\",\"iat\":\"1566711059\",\"nbf\":\"1566711059\",\"exp\":\"1566740159\",\"aio\":\"42FgYOhynHNw0scy3T/bL71+xLyqEwA=\",\"appid\":\"<GUID>\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/<GUID>/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"<GUID>\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"<GUID>\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"<GUID>\",\"uti\":\"Miy1GzoAG0Scu_l3m1aIAA\",\"ver\":\"1.0\"}",
"caller": "<GUID>",
"correlationId": "<GUID>",
"eventSource": "Policy",
"eventTimestamp": "2019-08-25T11:11:34.2269098+00:00",
"eventDataId": "<GUID>",
"level": "Warning",
"operationName": "Microsoft.Authorization/policies/audit/action",
"operationId": "<GUID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "eastus2",
"ancestors": "<GUID>",
"policies": "[{\"policyDefinitionId\":\"/providers/Microsoft.Authorization/policyDefinitions/<GUID>/\",\"policySetDefinitionId\":\"/providers/Microsoft.Authorization/policySetDefinitions/<GUID>/\",\"policyDefinitionReferenceId\":\"vulnerabilityAssessmentMonitoring\",\"policySetDefinitionName\":\"<GUID>\",\"policyDefinitionName\":\"<GUID>\",\"policyDefinitionEffect\":\"AuditIfNotExists\",\"policyAssignmentId\":\"/subscriptions/<GUID>/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn/\",\"policyAssignmentName\":\"SecurityCenterBuiltIn\",\"policyAssignmentScope\":\"/subscriptions/<GUID>\",\"policyAssignmentSku\":{\"name\":\"A1\",\"tier\":\"Standard\"},\"policyAssignmentParameters\":{}}]"
},
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-08-25T11:12:46.1557298+00:00"
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = Activiteitenlogboek - Automatisch schalen
{
"alertContext": {
"channels": "Admin, Operation",
"claims": "{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn\":\"Microsoft.Insights/autoscaleSettings\"}",
"caller": "Microsoft.Insights/autoscaleSettings",
"correlationId": "<GUID>",
"eventSource": "Autoscale",
"eventTimestamp": "2019-08-21T16:17:47.1551167+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Insights/AutoscaleSettings/Scaleup/Action",
"operationId": "<GUID>",
"properties": {
"description": "The autoscale engine attempting to scale resource '/subscriptions/d<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS' from 9 instances count to 10 instances count.",
"resourceName": "/subscriptions/<GUID>/resourceGroups/voiceassistancedemo/providers/Microsoft.Compute/virtualMachineScaleSets/alexademo",
"oldInstancesCount": "9",
"newInstancesCount": "10",
"activeAutoscaleProfile": "{\r\n \"Name\": \"Auto created scale condition\",\r\n \"Capacity\": {\r\n \"Minimum\": \"1\",\r\n \"Maximum\": \"10\",\r\n \"Default\": \"1\"\r\n },\r\n \"Rules\": [\r\n {\r\n \"MetricTrigger\": {\r\n \"Name\": \"Percentage CPU\",\r\n \"Namespace\": \"microsoft.compute/virtualmachinescalesets\",\r\n \"Resource\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"ResourceLocation\": \"eastus\",\r\n \"TimeGrain\": \"PT1M\",\r\n \"Statistic\": \"Average\",\r\n \"TimeWindow\": \"PT5M\",\r\n \"TimeAggregation\": \"Average\",\r\n \"Operator\": \"GreaterThan\",\r\n \"Threshold\": 0.0,\r\n \"Source\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"MetricType\": \"MDM\",\r\n \"Dimensions\": [],\r\n \"DividePerInstance\": false\r\n },\r\n \"ScaleAction\": {\r\n \"Direction\": \"Increase\",\r\n \"Type\": \"ChangeCount\",\r\n \"Value\": \"1\",\r\n \"Cooldown\": \"PT1M\"\r\n }\r\n }\r\n ]\r\n}",
"lastScaleActionTime": "Wed, 21 Aug 2019 16:17:47 GMT"
},
"status": "Succeeded",
"submissionTimestamp": "2019-08-21T16:17:47.2410185+00:00"
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = Activiteitenlogboek - Beveiliging
{
"alertContext": {
"channels": "Operation",
"correlationId": "<GUID>",
"eventSource": "Security",
"eventTimestamp": "2019-08-26T08:34:14+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Security/locations/alerts/activate/action",
"operationId": "<GUID>",
"properties": {
"threatStatus": "Quarantined",
"category": "Virus",
"threatID": "2147519003",
"filePath": "C:\\AlertGeneration\\test.eicar",
"protectionType": "Windows Defender",
"actionTaken": "Blocked",
"resourceType": "Virtual Machine",
"severity": "Low",
"compromisedEntity": "testVM",
"remediationSteps": "[\"No user action is necessary\"]",
"attackedResourceType": "Virtual Machine"
},
"status": "Active",
"submissionTimestamp": "2019-08-26T09:28:58.3019107+00:00"
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = ServiceHealth
{
"alertContext": {
"authorization": null,
"channels": 1,
"claims": null,
"caller": null,
"correlationId": "f3cf2430-1ee3-4158-8e35-7a1d615acfc7",
"eventSource": 2,
"eventTimestamp": "2019-06-24T11:31:19.0312699+00:00",
"httpRequest": null,
"eventDataId": "<GUID>",
"level": 3,
"operationName": "Microsoft.ServiceHealth/maintenance/action",
"operationId": "<GUID>",
"properties": {
"title": "Azure Synapse Analytics Scheduled Maintenance Pending",
"service": "Azure Synapse Analytics",
"region": "East US",
"communication": "<MESSAGE>",
"incidentType": "Maintenance",
"trackingId": "<GUID>",
"impactStartTime": "2019-06-26T04:00:00Z",
"impactMitigationTime": "2019-06-26T12:00:00Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"East US\"}],\"ServiceName\":\"Azure Synapse Analytics\"}]",
"impactedServicesTableRows": "<tr>\r\n<td align='center' style='padding: 5px 10px; border-right:1px solid black; border-bottom:1px solid black'>Azure Synapse Analytics</td>\r\n<td align='center' style='padding: 5px 10px; border-bottom:1px solid black'>East US<br></td>\r\n</tr>\r\n",
"defaultLanguageTitle": "Azure Synapse Analytics Scheduled Maintenance Pending",
"defaultLanguageContent": "<MESSAGE>",
"stage": "Planned",
"communicationId": "<GUID>",
"maintenanceId": "<GUID>",
"isHIR": "false",
"version": "0.1.1"
},
"status": "Active",
"subStatus": null,
"submissionTimestamp": "2019-06-24T11:31:31.7147357+00:00",
"ResourceType": null
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = ResourceHealth
{
"alertContext": {
"channels": "Admin, Operation",
"correlationId": "<GUID>",
"eventSource": "ResourceHealth",
"eventTimestamp": "2019-06-24T15:42:54.074+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "<GUID>",
"properties": {
"title": "This virtual machine is stopping and deallocating as requested by an authorized user or process",
"details": null,
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "UserInitiated"
},
"status": "Active",
"submissionTimestamp": "2019-06-24T15:45:20.4488186+00:00"
}
}
Waarschuwingscontextvelden voor Prometheus-waarschuwingen
Zie Beheerde Azure Monitor-service voor Prometheus-regelgroepen (preview) voor gedetailleerde informatie over de velden in Prometheus-waarschuwingen.
Voorbeeld van Prometheus-waarschuwing
{
"alertContext": {
"interval": "PT1M",
"expression": "sql_up > 0",
"expressionValue": "0",
"for": "PT2M",
"labels": {
"Environment": "Prod",
"cluster": "myCluster1"
},
"annotations": {
"summary": "alert on SQL availability"
},
"ruleGroup": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.AlertsManagement/prometheusRuleGroups/myRuleGroup"
}
}
Het algemene waarschuwingsschema inschakelen
Gebruik actiegroepen in de Azure Portal of gebruik de REST API om het algemene waarschuwingsschema in te schakelen. Schema's worden gedefinieerd op actieniveau. U moet bijvoorbeeld het schema voor een e-mailactie en een webhookactie afzonderlijk inschakelen.
Notitie
Waarschuwingen voor slimme detectie ondersteunen standaard het algemene schema. U hoeft het algemene schema voor waarschuwingen voor slimme detectie niet in te schakelen.
Het algemene schema inschakelen in de Azure Portal
- Open een bestaande actie of een nieuwe actie in een actiegroep.
- Selecteer Ja om het algemene waarschuwingsschema in te schakelen.
Het algemene schema inschakelen met behulp van de REST API
U kunt ook de API voor actiegroepen gebruiken om u aan te sluiten bij het algemene waarschuwingsschema. In de REST API-aanroep maken of bijwerken ,
- Stel de vlag useCommonAlertSchema in op
trueom het algemene schema in te schakelen - Stel de vlag useCommonAlertSchema in op
falseom het niet-algemene schema voor e-mail, webhook, Logic Apps, Azure Functions of Automation-runbookacties te gebruiken.
Voorbeeld van REST API-aanroep voor het gebruik van het algemene schema
De volgende REST API-aanvraag maken of bijwerken :
- Hiermee schakelt u het algemene waarschuwingsschema in voor de e-mailactie 'Het e-mailadres van John Doe'.
- Hiermee schakelt u het algemene waarschuwingsschema voor de e-mailactie 'Het e-mailadres van Jane Smith' uit.
- Hiermee schakelt u het algemene waarschuwingsschema in voor de webhookactie 'Voorbeeldwebhook'.
{
"properties": {
"groupShortName": "sample",
"enabled": true,
"emailReceivers": [
{
"name": "John Doe's email",
"emailAddress": "johndoe@email.com",
"useCommonAlertSchema": true
},
{
"name": "Jane Smith's email",
"emailAddress": "janesmith@email.com",
"useCommonAlertSchema": false
}
],
"smsReceivers": [
{
"name": "John Doe's mobile",
"countryCode": "1",
"phoneNumber": "1234567890"
},
{
"name": "Jane Smith's mobile",
"countryCode": "1",
"phoneNumber": "0987654321"
}
],
"webhookReceivers": [
{
"name": "Sample webhook",
"serviceUri": "http://www.example.com/webhook",
"useCommonAlertSchema": true
}
]
},
"location": "Global",
"tags": {}
}