Algemeen waarschuwingsschema
Het algemene waarschuwingsschema standaardiseert het verbruik van Azure Monitor-waarschuwingsmeldingen. In het verleden hadden activiteitenlogboeken, metrische gegevens en logboekzoekwaarschuwingen elk hun eigen e-mailsjablonen en webhookschema's. Het algemene waarschuwingsschema biedt één gestandaardiseerd schema voor alle waarschuwingsmeldingen.
Het gebruik van een gestandaardiseerd schema helpt het aantal integraties te minimaliseren, waardoor het proces van het beheren en onderhouden van uw integraties wordt vereenvoudigd. Het algemene schema maakt een rijkere ervaring voor waarschuwingsverbruik mogelijk in zowel Azure Portal als de mobiele Azure-app.
Het algemene waarschuwingsschema biedt een consistente structuur voor:
- E-mailsjablonen: Gebruik de gedetailleerde e-mailsjabloon om problemen in één oogopslag vast te stellen. Ingesloten koppelingen naar het waarschuwingsexemplaren in de portal en de betreffende resource zorgen ervoor dat u snel in het herstelproces kunt springen.
- JSON-structuur: Gebruik de consistente JSON-structuur om integraties te bouwen voor alle waarschuwingstypen met behulp van:
- Azure Logic-apps
- Azure Functions
- Azure Automation-runbook
Notitie
- Waarschuwingen die worden gegenereerd door VM-inzichten bieden geen ondersteuning voor het algemene schema.
- Waarschuwingen voor slimme detectie maken standaard gebruik van het algemene schema. U hoeft het algemene schema voor waarschuwingen voor slimme detectie niet in te schakelen.
Structuur van het algemene schema
Het algemene schema bevat informatie over de betreffende resource en de oorzaak van de waarschuwing in deze secties:
Essentials: gestandaardiseerde velden, gebruikt door alle waarschuwingstypen die de resource beschrijven die wordt beïnvloed door de waarschuwing en algemene metagegevens van waarschuwingen, zoals ernst of beschrijving.
Als u waarschuwingsexemplaren wilt routeren naar specifieke teams op basis van criteria zoals een resourcegroep, kunt u de velden in de sectie Essentials gebruiken om routeringslogica te bieden voor alle waarschuwingstypen . De teams die de waarschuwingsmelding ontvangen, kunnen vervolgens de contextvelden voor hun onderzoek gebruiken.
Waarschuwingscontext: Velden die variëren, afhankelijk van het type waarschuwing. In de contextvelden van de waarschuwing wordt de oorzaak van de waarschuwing beschreven. Een waarschuwing voor metrische gegevens bevat bijvoorbeeld velden zoals de metrische naam en de metrische waarde in de waarschuwingscontext. Een waarschuwing voor het activiteitenlogboek bevat informatie over de gebeurtenis die de waarschuwing heeft gegenereerd.
Aangepaste eigenschappen: aanvullende informatie die niet standaard is opgenomen in de nettolading van de waarschuwing, kan worden opgenomen in de nettolading van de waarschuwing met behulp van aangepaste eigenschappen. Aangepaste eigenschappen zijn een sleutel-waardepaar dat alle informatie kan bevatten die is geconfigureerd in de waarschuwingsregel.
Voorbeeld van nettolading van waarschuwing
{
"schemaId": "azureMonitorCommonAlertSchema",
"data": {
"essentials": {
"alertId": "/subscriptions/<subscription ID>/providers/Microsoft.AlertsManagement/alerts/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"alertRule": "WCUS-R2-Gen2",
"severity": "Sev3",
"signalType": "Metric",
"monitorCondition": "Resolved",
"monitoringService": "Platform",
"alertTargetIDs": [
"/subscriptions/<subscription ID>/resourcegroups/pipelinealertrg/providers/microsoft.compute/virtualmachines/wcus-r2-gen2"
],
"configurationItems": [
"wcus-r2-gen2"
],
"originAlertId": "3f2d4487-b0fc-4125-8bd5-7ad17384221e_PipeLineAlertRG_microsoft.insights_metricAlerts_WCUS-R2-Gen2_-117781227",
"firedDateTime": "2019-03-22T13:58:24.3713213Z",
"resolvedDateTime": "2019-03-22T14:03:16.2246313Z",
"description": "",
"essentialsVersion": "1.0",
"alertContextVersion": "1.0"
},
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 7.727
}
]
}
},
"customProperties": {
"Key1": "Value1",
"Key2": "Value2"
}
}
}
Zie Voorbeeldwaarschuwingen voor voorbeeldwaarschuwingen die gebruikmaken van het algemene schema.
Essentials-velden
| Veld | Beschrijving |
|---|---|
| alertId | De unieke resource-id waarmee het waarschuwingsexemplaren worden geïdentificeerd. |
| alertRule | De naam van de waarschuwingsregel die het waarschuwingsexemplaren heeft gegenereerd. |
| Ernst | De ernst van de waarschuwing. Mogelijke waarden zijn Sev0, Sev1, Sev2, Sev3 of Sev4. |
| signalType | Hiermee wordt het signaal geïdentificeerd waarop de waarschuwingsregel is gedefinieerd. Mogelijke waarden zijn metrische gegevens, logboeken of activiteitenlogboeken. |
| monitorCondition | Wanneer een waarschuwing wordt geactiveerd, wordt de bewakingsvoorwaarde van de waarschuwing ingesteld op Geactiveerd. Wanneer de onderliggende voorwaarde waardoor de waarschuwing wordt geactiveerd, wordt de bewakingsvoorwaarde ingesteld op Opgelost. |
| monitoringService | De bewakingsservice of oplossing die de waarschuwing heeft gegenereerd. De bewakingsservice bepaalt welke velden zich in de waarschuwingscontext bevinden. |
| alertTargetIDs | De lijst met de Azure Resource Manager-id's die van invloed zijn op doelen van een waarschuwing. Voor een waarschuwing voor zoeken in logboeken die is gedefinieerd voor een Log Analytics-werkruimte of Application Insights-exemplaar, is dit de respectieve werkruimte of toepassing. |
| configurationItems | De lijst met betrokken resources van een waarschuwing. In sommige gevallen kunnen de configuratie-items afwijken van de waarschuwingsdoelen. In waarschuwingen voor zoeken in metrische gegevens of logboeken die zijn gedefinieerd in een Log Analytics-werkruimte, zijn de configuratie-items bijvoorbeeld de werkelijke resources die de gegevens verzenden en niet de werkruimte.
configurationItems veld gebruikt om waarschuwingen te correleren met resources in een configuratiebeheerdatabase. |
| originAlertId | De id van het waarschuwingsexemplaren, zoals gegenereerd door de bewakingsservice die deze genereert. |
| firedDateTime | De datum en tijd waarop het waarschuwingsexemplaren zijn geactiveerd in Coordinated Universal Time (UTC). |
| resolvedDateTime | De datum en tijd waarop de monitorvoorwaarde voor het waarschuwingsexemplaren is ingesteld op Opgelost in UTC. Momenteel alleen van toepassing op metrische waarschuwingen. |
| beschrijving | De beschrijving, zoals gedefinieerd in de waarschuwingsregel. |
| alertRuleID | De id van de waarschuwingsregel die het waarschuwingsexemplaren heeft gegenereerd. |
| resourceType | Het resourcetype dat wordt beïnvloed door de waarschuwing. |
| resourceGroupName | Naam van de resourcegroep voor de betrokken resource. |
| essentialsVersion | Het versienummer voor de sectie Essentials. |
| alertContextVersion | Het versienummer voor de alertContext sectie. |
| investigationLink | Koppeling om de waarschuwing in Azure Monitor te onderzoeken. Momenteel is beperkte preview-registratie vereist. |
Contextvelden voor waarschuwingen voor metrische gegevens
| Veld | Beschrijving |
|---|---|
| properties | (Optioneel.) Een verzameling door de klant gedefinieerde eigenschappen. |
| conditionType | Het type voorwaarde dat is geselecteerd voor de waarschuwingsregel: - statische drempelwaarde - dynamische drempelwaarde - webtest |
| voorwaarde | |
| windowSize | De periode die wordt geanalyseerd door de waarschuwingsregel. |
| allOf | Geeft aan dat aan alle voorwaarden in de waarschuwingsregel moet worden voldaan om een waarschuwing te activeren. |
| alertSensitivity | In een waarschuwingsregel met een dynamische drempelwaarde geeft u aan hoe gevoelig de regel is of hoeveel de waarde kan afwijken van de boven- of lagere drempelwaarde. |
| failPeriods | In een waarschuwingsregel met een dynamische drempelwaarde is het aantal evaluatieperioden dat niet voldoet aan de waarschuwingsdrempel die een waarschuwing activeert. U kunt bijvoorbeeld aangeven dat een waarschuwing wordt geactiveerd wanneer drie van de laatste vijf evaluatieperioden niet binnen de drempelwaarden voor waarschuwingen vallen. |
| numberOfEvaluationPeriods | Het totale aantal evaluaties. |
| minFailingPeriodsToAlert | Het minimale aantal evaluaties dat niet voldoet aan de voorwaarden van de waarschuwingsregel. |
| ignoreDataBefore | (Optioneel.) In een waarschuwingsregel met een dynamische drempelwaarde, de datum van waaruit de drempelwaarde wordt berekend. Gebruik deze waarde om aan te geven dat de regel de dynamische drempelwaarde niet mag berekenen met behulp van gegevens van vóór de opgegeven datum. |
| metricName | De naam van de metrische waarde die wordt bewaakt door de waarschuwingsregel. |
| metricNamespace | De naamruimte van de metrische waarde die wordt bewaakt door de waarschuwingsregel. |
| operator | De logische operator van de waarschuwingsregel. |
| threshold | De drempelwaarde die is gedefinieerd in de waarschuwingsregel. Voor een waarschuwingsregel met een dynamische drempelwaarde is deze waarde de berekende drempelwaarde. |
| timeAggregation | Het aggregatietype van de waarschuwingsregel. |
| dimensions | De metrische dimensie die de waarschuwing heeft geactiveerd. |
| naam | De dimensienaam. |
| waarde | De dimensiewaarde. |
| metricValue | De metrische waarde op het moment dat deze de drempelwaarde heeft geschonden. |
| webTestName | Als het voorwaardetype is webtest, wordt de naam van de webtest gebruikt. |
| windowStartTime | De begintijd van het evaluatievenster waarin de waarschuwing is geactiveerd. |
| windowEndTime | De eindtijd van het evaluatievenster waarin de waarschuwing is geactiveerd. |
Voorbeeldwaarschuwing voor metrische gegevens met een statische drempelwaarde wanneer de monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 31.1105
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Voorbeeldwaarschuwing voor metrische gegevens met een dynamische drempelwaarde wanneer de monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "DynamicThresholdCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"alertSensitivity": "High",
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"ignoreDataBefore": null,
"metricName": "Egress",
"metricNamespace": "microsoft.storage/storageaccounts",
"operator": "GreaterThan",
"threshold": "47658",
"timeAggregation": "Total",
"dimensions": [],
"metricValue": 50101
}
],
"windowStartTime": "2021-07-20T05:07:26.363Z",
"windowEndTime": "2021-07-20T05:12:26.363Z"
}
}
}
Voorbeeldwaarschuwing voor metrische gegevens voor beschikbaarheidstests wanneer de monitoringService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "WebtestLocationAvailabilityCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Failed Location",
"metricNamespace": null,
"operator": "GreaterThan",
"threshold": "2",
"timeAggregation": "Sum",
"dimensions": [],
"metricValue": 5,
"webTestName": "myAvailabilityTest-myApplication"
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Contextvelden voor waarschuwingen voor zoeken in logboeken
Notitie
Wanneer u het algemene schema inschakelt, worden de velden in de nettolading opnieuw ingesteld op de algemene schemavelden. Daarom hebben waarschuwingen voor zoeken in logboeken deze beperkingen met betrekking tot het algemene schema:
- Het algemene schema wordt niet ondersteund voor waarschuwingen voor zoeken in logboeken met webhooks met een aangepast e-mailonderwerp en/of JSON-nettolading, omdat het algemene schema de aangepaste configuraties overschrijft.
- Waarschuwingen met behulp van het algemene schema hebben een bovengrens van 256 kB per waarschuwing. Als de nettolading voor logboekzoekopdrachten zoekresultaten bevat die ervoor zorgen dat de waarschuwing de maximale grootte overschrijdt, worden de zoekresultaten niet ingesloten in de nettolading van waarschuwingen voor logboekzoekopdrachten. U kunt controleren of de nettolading de zoekresultaten bevat met de
IncludedSearchResultsvlag. GebruikLinkToFilteredSearchResultsAPIofLinkToSearchResultsAPIom toegang te krijgen tot queryresultaten met de Log Analytics-API als de zoekresultaten niet zijn opgenomen.
| Veld | Beschrijving |
|---|---|
| SearchQuery | De query die is gedefinieerd in de waarschuwingsregel. |
| SearchIntervalStartTimeUtc | De begintijd van het evaluatievenster waarin de waarschuwing in UTC is geactiveerd. |
| SearchIntervalEndTimeUtc | De eindtijd van het evaluatievenster waarin de waarschuwing in UTC is geactiveerd. |
| ResultCount | Het aantal records dat door de query wordt geretourneerd. Voor meetregels voor metrische gegevens, het aantal of de records die overeenkomen met de specifieke dimensiecombinatie. |
| LinkToSearchResults | Een koppeling naar de zoekresultaten. |
| LinkToFilteredSearchResultsUI | Voor meetregels voor metrische gegevens wordt de koppeling naar de zoekresultaten nadat deze zijn gefilterd op de dimensiecombinaties. |
| LinkToSearchResultsAPI | Een koppeling naar de queryresultaten met behulp van de Log Analytics-API. |
| LinkToFilteredSearchResultsAPI | Voor meetregels voor metrische gegevens gebruikt u de koppeling naar de zoekresultaten met behulp van de Log Analytics-API nadat deze zijn gefilterd op de dimensiecombinaties. |
| SearchIntervalDurationMin | Het totale aantal minuten in het zoekinterval. |
| SearchIntervalInMin | Het totale aantal minuten in het zoekinterval. |
| Threshold | De drempelwaarde die is gedefinieerd in de waarschuwingsregel. |
| Operator | De operator die is gedefinieerd in de waarschuwingsregel. |
| ApplicationID | De Application Insights-id waarop de waarschuwing is geactiveerd. |
| Afmetingen | Voor metrische meetregels zijn de metrische dimensies waarop de waarschuwing is geactiveerd. |
| naam | De dimensienaam. |
| waarde | De dimensiewaarde. |
| SearchResults | De volledige zoekresultaten. |
| table | De tabel met resultaten in de zoekresultaten. |
| naam | De naam van de tabel in de zoekresultaten. |
| kolommen | De kolommen in de tabel. |
| naam | De naam van de kolom. |
| type | Het type kolom. |
| rijen | De rijen in de tabel. |
| Gegevensbronnen | De gegevensbronnen waarop de waarschuwing is geactiveerd. |
| resourceID | De resource-id die wordt beïnvloed door de waarschuwing. |
| tabellen | De conceptantwoordtabellen die zijn opgenomen in de query. |
| IncludedSearchResults | Vlag die aangeeft of de nettolading de resultaten moet bevatten. |
| AlertType | Het waarschuwingstype: - Metrische meting - Aantal resultaten |
Voorbeeldwaarschuwing voor zoeken in logboeken wanneer de monitoringService = Log Analytics
{
"alertContext": {
"SearchQuery": "Perf | where ObjectName == \"Processor\" and CounterName == \"% Processor Time\" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), Computer",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:31 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:31 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"LinkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"SeverityDescription": "Warning",
"WorkspaceId": "12345a-1234b-123c-123d-12345678e",
"SearchIntervalDurationMin": "15",
"AffectedConfigurationItems": [
"INC-Gen2Alert"
],
"SearchIntervalInMinutes": "15",
"Threshold": 10000,
"Operator": "Less Than",
"Dimensions": [
{
"name": "Computer",
"value": "INC-Gen2Alert"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Computer",
"type": "string"
},
{
"name": "TimeGenerated",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Voorbeeldwaarschuwing voor zoeken in logboeken wanneer de monitoringService = Application Insights
{
"alertContext": {
"SearchQuery": "requests | where resultCode == \"500\" | summarize AggregatedValue = Count by bin(Timestamp, 5m), IP",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:33 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:33 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"LinkToFilteredSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"SearchIntervalDurationMin": "15",
"SearchIntervalInMinutes": "15",
"Threshold": 10000.0,
"Operator": "Less Than",
"ApplicationId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"Dimensions": [
{
"name": "IP",
"value": "1.1.1.1"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Id",
"type": "string"
},
{
"name": "Timestamp",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Voorbeeldwaarschuwing voor zoeken in logboeken wanneer de monitoringService = Logboekwaarschuwingen V2
Notitie
Waarschuwingsregels voor zoeken in logboeken van API-versie 2020-05-01 gebruiken dit nettoladingtype, dat alleen algemene schema's ondersteunt. Zoekresultaten worden niet ingesloten in de nettolading voor logboekzoekwaarschuwingen wanneer u deze versie gebruikt. Gebruik dimensies om context te bieden voor geactiveerde waarschuwingen. U kunt ook queryresultaten gebruiken LinkToFilteredSearchResultsAPI of openen met de Log Analytics-APILinkToSearchResultsAPI. Als u de resultaten moet insluiten, gebruikt u een logische app met de opgegeven koppelingen om een aangepaste nettolading te genereren.
{
"alertContext": {
"properties": {
"name1": "value1",
"name2": "value2"
},
"conditionType": "LogQueryCriteria",
"condition": {
"windowSize": "PT10M",
"allOf": [
{
"searchQuery": "Heartbeat",
"metricMeasureColumn": "CounterValue",
"targetResourceTypes": "['Microsoft.Compute/virtualMachines']",
"operator": "LowerThan",
"threshold": "1",
"timeAggregation": "Count",
"dimensions": [
{
"name": "Computer",
"value": "TestComputer"
}
],
"metricValue": 0.0,
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"linkToSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z"
}
],
"windowStartTime": "2020-07-07T13:54:34Z",
"windowEndTime": "2020-07-09T13:54:34Z"
}
}
}
Contextvelden voor waarschuwingen voor activiteitenlogboeken
Zie het gebeurtenisschema van het Azure-activiteitenlogboek voor gedetailleerde informatie over de velden in waarschuwingen voor activiteitenlogboeken.
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = Activiteitenlogboek - Beheer
{
"alertContext": {
"authorization": {
"action": "Microsoft.Compute/virtualMachines/restart/action",
"scope": "/subscriptions/<subscription ID>/resourceGroups/PipeLineAlertRG/providers/Microsoft.Compute/virtualMachines/WCUS-R2-ActLog"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.core.windows.net/\",\"iss\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"iat\":\"1553260826\",\"nbf\":\"1553260826\",\"exp\":\"1553264726\",\"aio\":\"42JgYNjdt+rr+3j/dx68v018XhuFAwA=\",\"appid\":\"11112222-bbbb-3333-cccc-4444dddd5555\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"12345a-1234b-123c-123d-12345678e\",\"uti\":\"v5wYC9t9ekuA2rkZSVZbAA\",\"ver\":\"1.0\"}",
"caller": "22223333-cccc-4444-dddd-5555eeee6666",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventSource": "Administrative",
"eventTimestamp": "2019-03-22T13:56:31.2917159+00:00",
"eventDataId": "161fda7e-1cb4-4bc5-9c90-857c55a8f57b",
"level": "Informational",
"operationName": "Microsoft.Compute/virtualMachines/restart/action",
"operationId": "310db69b-690f-436b-b740-6103ab6b0cba",
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-03-22T13:56:54.067593+00:00"
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = Activiteitenlogboek - Beleid
{
"alertContext": {
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<GUID>"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.azure.com/\",\"iss\":\"https://sts.windows.net/<GUID>/\",\"iat\":\"1566711059\",\"nbf\":\"1566711059\",\"exp\":\"1566740159\",\"aio\":\"42FgYOhynHNw0scy3T/bL71+xLyqEwA=\",\"appid\":\"<GUID>\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/<GUID>/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"<GUID>\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"<GUID>\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"<GUID>\",\"uti\":\"Miy1GzoAG0Scu_l3m1aIAA\",\"ver\":\"1.0\"}",
"caller": "<GUID>",
"correlationId": "<GUID>",
"eventSource": "Policy",
"eventTimestamp": "2019-08-25T11:11:34.2269098+00:00",
"eventDataId": "<GUID>",
"level": "Warning",
"operationName": "Microsoft.Authorization/policies/audit/action",
"operationId": "<GUID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "eastus2",
"ancestors": "<GUID>",
"policies": "[{\"policyDefinitionId\":\"/providers/Microsoft.Authorization/policyDefinitions/<GUID>/\",\"policySetDefinitionId\":\"/providers/Microsoft.Authorization/policySetDefinitions/<GUID>/\",\"policyDefinitionReferenceId\":\"vulnerabilityAssessmentMonitoring\",\"policySetDefinitionName\":\"<GUID>\",\"policyDefinitionName\":\"<GUID>\",\"policyDefinitionEffect\":\"AuditIfNotExists\",\"policyAssignmentId\":\"/subscriptions/<GUID>/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn/\",\"policyAssignmentName\":\"SecurityCenterBuiltIn\",\"policyAssignmentScope\":\"/subscriptions/<GUID>\",\"policyAssignmentSku\":{\"name\":\"A1\",\"tier\":\"Standard\"},\"policyAssignmentParameters\":{}}]"
},
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-08-25T11:12:46.1557298+00:00"
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = Activiteitenlogboek - Automatisch schalen
{
"alertContext": {
"channels": "Admin, Operation",
"claims": "{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn\":\"Microsoft.Insights/autoscaleSettings\"}",
"caller": "Microsoft.Insights/autoscaleSettings",
"correlationId": "<GUID>",
"eventSource": "Autoscale",
"eventTimestamp": "2019-08-21T16:17:47.1551167+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Insights/AutoscaleSettings/Scaleup/Action",
"operationId": "<GUID>",
"properties": {
"description": "The autoscale engine attempting to scale resource '/subscriptions/d<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS' from 9 instances count to 10 instances count.",
"resourceName": "/subscriptions/<GUID>/resourceGroups/voiceassistancedemo/providers/Microsoft.Compute/virtualMachineScaleSets/alexademo",
"oldInstancesCount": "9",
"newInstancesCount": "10",
"activeAutoscaleProfile": "{\r\n \"Name\": \"Auto created scale condition\",\r\n \"Capacity\": {\r\n \"Minimum\": \"1\",\r\n \"Maximum\": \"10\",\r\n \"Default\": \"1\"\r\n },\r\n \"Rules\": [\r\n {\r\n \"MetricTrigger\": {\r\n \"Name\": \"Percentage CPU\",\r\n \"Namespace\": \"microsoft.compute/virtualmachinescalesets\",\r\n \"Resource\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"ResourceLocation\": \"eastus\",\r\n \"TimeGrain\": \"PT1M\",\r\n \"Statistic\": \"Average\",\r\n \"TimeWindow\": \"PT5M\",\r\n \"TimeAggregation\": \"Average\",\r\n \"Operator\": \"GreaterThan\",\r\n \"Threshold\": 0.0,\r\n \"Source\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"MetricType\": \"MDM\",\r\n \"Dimensions\": [],\r\n \"DividePerInstance\": false\r\n },\r\n \"ScaleAction\": {\r\n \"Direction\": \"Increase\",\r\n \"Type\": \"ChangeCount\",\r\n \"Value\": \"1\",\r\n \"Cooldown\": \"PT1M\"\r\n }\r\n }\r\n ]\r\n}",
"lastScaleActionTime": "Wed, 21 Aug 2019 16:17:47 GMT"
},
"status": "Succeeded",
"submissionTimestamp": "2019-08-21T16:17:47.2410185+00:00"
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = Activiteitenlogboek - Beveiliging
{
"alertContext": {
"channels": "Operation",
"correlationId": "<GUID>",
"eventSource": "Security",
"eventTimestamp": "2019-08-26T08:34:14+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Security/locations/alerts/activate/action",
"operationId": "<GUID>",
"properties": {
"threatStatus": "Quarantined",
"category": "Virus",
"threatID": "2147519003",
"filePath": "C:\\AlertGeneration\\test.eicar",
"protectionType": "Windows Defender",
"actionTaken": "Blocked",
"resourceType": "Virtual Machine",
"severity": "Low",
"compromisedEntity": "testVM",
"remediationSteps": "[\"No user action is necessary\"]",
"attackedResourceType": "Virtual Machine"
},
"status": "Active",
"submissionTimestamp": "2019-08-26T09:28:58.3019107+00:00"
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = ServiceHealth
{
"alertContext": {
"authorization": null,
"channels": 1,
"claims": null,
"caller": null,
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"eventSource": 2,
"eventTimestamp": "2019-06-24T11:31:19.0312699+00:00",
"httpRequest": null,
"eventDataId": "<GUID>",
"level": 3,
"operationName": "Microsoft.ServiceHealth/maintenance/action",
"operationId": "<GUID>",
"properties": {
"title": "Azure Synapse Analytics Scheduled Maintenance Pending",
"service": "Azure Synapse Analytics",
"region": "East US",
"communication": "<MESSAGE>",
"incidentType": "Maintenance",
"trackingId": "<GUID>",
"impactStartTime": "2019-06-26T04:00:00Z",
"impactMitigationTime": "2019-06-26T12:00:00Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"East US\"}],\"ServiceName\":\"Azure Synapse Analytics\"}]",
"impactedServicesTableRows": "<tr>\r\n<td align='center' style='padding: 5px 10px; border-right:1px solid black; border-bottom:1px solid black'>Azure Synapse Analytics</td>\r\n<td align='center' style='padding: 5px 10px; border-bottom:1px solid black'>East US<br></td>\r\n</tr>\r\n",
"defaultLanguageTitle": "Azure Synapse Analytics Scheduled Maintenance Pending",
"defaultLanguageContent": "<MESSAGE>",
"stage": "Planned",
"communicationId": "<GUID>",
"maintenanceId": "<GUID>",
"isHIR": "false",
"version": "0.1.1"
},
"status": "Active",
"subStatus": null,
"submissionTimestamp": "2019-06-24T11:31:31.7147357+00:00",
"ResourceType": null
}
}
Voorbeeld van een waarschuwing voor activiteitenlogboeken wanneer de monitoringService = ResourceHealth
{
"alertContext": {
"channels": "Admin, Operation",
"correlationId": "<GUID>",
"eventSource": "ResourceHealth",
"eventTimestamp": "2019-06-24T15:42:54.074+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "<GUID>",
"properties": {
"title": "This virtual machine is stopping and deallocating as requested by an authorized user or process",
"details": null,
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "UserInitiated"
},
"status": "Active",
"submissionTimestamp": "2019-06-24T15:45:20.4488186+00:00"
}
}
Contextvelden voor Waarschuwingen voor Prometheus-waarschuwingen
Zie de beheerde Azure Monitor-service voor Prometheus-regelgroepen (preview) voor gedetailleerde informatie over de velden in Prometheus-waarschuwingen.
Voorbeeld van Prometheus-waarschuwing
{
"alertContext": {
"interval": "PT1M",
"expression": "sql_up > 0",
"expressionValue": "0",
"for": "PT2M",
"labels": {
"Environment": "Prod",
"cluster": "myCluster1"
},
"annotations": {
"summary": "alert on SQL availability"
},
"ruleGroup": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.AlertsManagement/prometheusRuleGroups/myRuleGroup"
}
}
Aangepaste eigenschappenvelden
Als de waarschuwingsregel die uw waarschuwing heeft gegenereerd actiegroepen bevat, kunnen aangepaste eigenschappen aanvullende informatie over de waarschuwing bevatten. De sectie aangepaste eigenschappen bevat 'sleutel: waarde'-objecten die worden toegevoegd aan webhookmeldingen.
Als aangepaste eigenschappen niet zijn ingesteld in de waarschuwingsregel, is het veld null.
Het algemene waarschuwingsschema inschakelen
Gebruik actiegroepen in Azure Portal of gebruik de REST API om het algemene waarschuwingsschema in te schakelen. Schema's worden gedefinieerd op actieniveau. U moet bijvoorbeeld het schema voor een e-mailactie en een webhookactie afzonderlijk inschakelen.
Het algemene schema inschakelen in Azure Portal
- Open een bestaande actie of een nieuwe actie in een actiegroep.
- Selecteer Ja om het algemene waarschuwingsschema in te schakelen.
Het algemene schema inschakelen met behulp van de REST API
U kunt ook de API voor actiegroepen gebruiken om u aan te sluiten bij het algemene waarschuwingsschema. In de aanroep REST API maken of bijwerken ,
- Stel de vlag useCommonAlertSchema in om
truehet algemene schema in te schakelen - Stel de vlag useCommonAlertSchema in op
falsehet gebruik van het niet-algemene schema voor e-mail-, webhook-, Logic Apps-, Azure Functions- of Automation-runbookacties.
Voorbeeld van REST API-aanroep voor het gebruik van het algemene schema
De volgende REST API-aanvraag maken of bijwerken :
- Hiermee schakelt u het algemene waarschuwingsschema in voor de e-mailactie 'John Doe's e-mail'.
- Hiermee wordt het algemene waarschuwingsschema voor de e-mailactie Jane Smith's e-mail uitgeschakeld.
- Hiermee schakelt u het algemene waarschuwingsschema voor de webhookactie 'Voorbeeldwebhook' in.
{
"properties": {
"groupShortName": "sample",
"enabled": true,
"emailReceivers": [
{
"name": "John Doe's email",
"emailAddress": "johndoe@email.com",
"useCommonAlertSchema": true
},
{
"name": "Jane Smith's email",
"emailAddress": "janesmith@email.com",
"useCommonAlertSchema": false
}
],
"smsReceivers": [
{
"name": "John Doe's mobile",
"countryCode": "1",
"phoneNumber": "1234567890"
},
{
"name": "Jane Smith's mobile",
"countryCode": "1",
"phoneNumber": "0987654321"
}
],
"webhookReceivers": [
{
"name": "Sample webhook",
"serviceUri": "http://www.example.com/webhook",
"useCommonAlertSchema": true
}
]
},
"location": "Global",
"tags": {}
}