REST API för äldre Log Analytics-avisering

Den här artikeln beskriver hur du hanterar aviseringsregler med hjälp av det äldre API:et.

Viktigt!

Som vi har meddelat dras Log Analytics-aviserings-API:et tillbaka den 1 oktober 2025. Du måste övergå till att använda API:et schemalagda frågeregler för loggsökningsaviseringar vid det datumet. Log Analytics-arbetsytor som skapats efter den 1 juni 2019 använder api:et scheduledQueryRules för att hantera aviseringsregler. Växla till det aktuella API:et på äldre arbetsytor för att dra nytta av Azure Monitor scheduledQueryRules-förmåner.

Med Rest-API:et för Log Analytics-aviseringar kan du skapa och hantera aviseringar i Log Analytics. Den här artikeln innehåller information om API:et och flera exempel för att utföra olika åtgärder.

Rest-API:et för Log Analytics-sökning är RESTful och kan nås via Rest-API:et för Azure Resource Manager. I den här artikeln hittar du exempel där API:et nås från en PowerShell-kommandorad med hjälp av ARMClient. Det här kommandoradsverktyget med öppen källkod förenklar anropet av Azure Resource Manager-API:et.

Användningen av ARMClient och PowerShell är ett av många alternativ som du kan använda för att komma åt Log Analytics Search-API:et. Med dessa verktyg kan du använda RESTful Azure Resource Manager-API:et för att göra anrop till Log Analytics-arbetsytor och utföra sökkommandon i dem. API:et matar ut sökresultat i JSON-format så att du kan använda sökresultaten på många olika sätt programmatiskt.

Förutsättningar

För närvarande kan aviseringar endast skapas med en sparad sökning i Log Analytics. Mer information finns i REST API för loggsökning.

Scheman

En sparad sökning kan ha ett eller flera scheman. Schemat definierar hur ofta sökningen körs och det tidsintervall som kriterierna identifieras över. Scheman har de egenskaper som beskrivs i följande tabell:

Property beskrivning
Interval Hur ofta sökningen körs. Mätt i minuter.
QueryTimeSpan Tidsintervallet som kriterierna utvärderas över. Måste vara lika med eller större än Interval. Mätt i minuter.
Version DEN API-version som används. För närvarande bör den här inställningen alltid vara 1.

Tänk dig till exempel en händelsefråga med Interval 15 minuter och Timespan 30 minuter. I det här fallet skulle frågan köras var 15:e minut. En avisering utlöses om kriterierna fortsätter att matchas till true över 30 minuter.

Hämta scheman

Använd metoden Hämta för att hämta alla scheman för en sparad sökning.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules?api-version=2015-03-20

Använd metoden Get med ett schema-ID för att hämta ett visst schema för en sparad sökning.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

Följande exempelsvar gäller för ett schema:

{
   "value": [{
      "id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
      "etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
      "properties": {
         "Interval": 15,
         "QueryTimeSpan": 15,
         "Enabled": true,
      }
   }]
}

Skapa en tidsplan

Använd metoden Put med ett unikt schema-ID för att skapa ett nytt schema. Två scheman kan inte ha samma ID även om de är associerade med olika sparade sökningar. När du skapar ett schema i Log Analytics-konsolen skapas ett GUID för schema-ID:t.

Kommentar

Namnet på alla sparade sökningar, scheman och åtgärder som skapats med Log Analytics-API:et måste vara i gemener.

$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Redigera ett schema

Använd metoden Put med ett befintligt schema-ID för samma sparade sökning för att ändra det schemat. I följande exempel är schemat inaktiverat. Brödtexten i begäran måste innehålla etag i schemat.

$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Ta bort scheman

Använd metoden Ta bort med ett schema-ID för att ta bort ett schema.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

Åtgärder

Ett schema kan ha flera åtgärder. En åtgärd kan definiera en eller flera processer att utföra, till exempel att skicka ett e-postmeddelande eller starta en runbook. En åtgärd kan också definiera ett tröskelvärde som avgör när resultatet av en sökning matchar vissa kriterier. Vissa åtgärder definierar båda så att processerna utförs när tröskelvärdet uppfylls.

Alla åtgärder har de egenskaper som beskrivs i följande tabell. Olika typer av aviseringar har andra egenskaper som beskrivs i följande tabell:

Property beskrivning
Type Typ av åtgärd. För närvarande är Alert de möjliga värdena och Webhook.
Name Visningsnamn för aviseringen.
Version DEN API-version som används. För närvarande bör den här inställningen alltid vara 1.

Hämta åtgärder

Använd metoden Hämta för att hämta alla åtgärder för ett schema.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20

Använd metoden Get med åtgärds-ID:t för att hämta en viss åtgärd för ett schema.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20

Skapa eller redigera åtgärder

Använd metoden Put med ett åtgärds-ID som är unikt för schemat för att skapa en ny åtgärd. När du skapar en åtgärd i Log Analytics-konsolen är ett GUID för åtgärds-ID:t.

Kommentar

Namnet på alla sparade sökningar, scheman och åtgärder som skapats med Log Analytics-API:et måste vara i gemener.

Använd metoden Put med ett befintligt åtgärds-ID för samma sparade sökning för att ändra det schemat. Brödtexten i begäran måste innehålla etag i schemat.

Begärandeformatet för att skapa en ny åtgärd varierar beroende på åtgärdstyp, så de här exemplen finns i följande avsnitt.

Ta bort åtgärder

Använd metoden Ta bort med åtgärds-ID:t för att ta bort en åtgärd.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20

Aviseringsåtgärder

Ett schema ska ha en och bara en aviseringsåtgärd. Aviseringsåtgärder har ett eller flera av de avsnitt som beskrivs i följande tabell:

Avsnitt beskrivning Användning
Threshold Kriterier för när åtgärden körs. Krävs för varje avisering, före eller efter att de har utökats till Azure.
Allvarlighet Etikett som används för att klassificera aviseringen när den utlöses. Krävs för varje avisering, före eller efter att de har utökats till Azure.
Suppress Alternativ för att stoppa meddelanden från aviseringar. Valfritt för varje avisering, före eller efter att de har utökats till Azure.
Åtgärdsgrupper ID:t för Azure ActionGroup där åtgärder som krävs anges, till exempel e-postmeddelanden, SMS, röstsamtal, webhooks, automations-runbooks och ITSM-Anslut orer. Krävs när aviseringar har utökats till Azure.
Anpassa åtgärder Ändra standardutdata för att välja åtgärder från ActionGroup. Valfritt för varje avisering och kan användas när aviseringar har utökats till Azure.

Tröskelvärden

En aviseringsåtgärd bör ha ett och endast ett tröskelvärde. När resultatet av en sparad sökning matchar tröskelvärdet i en åtgärd som är associerad med sökningen körs alla andra processer i den åtgärden. En åtgärd kan också endast innehålla ett tröskelvärde så att den kan användas med åtgärder av andra typer som inte innehåller tröskelvärden.

Tröskelvärden har de egenskaper som beskrivs i följande tabell:

Property beskrivning
Operator Operator för tröskelvärdesjämförelsen.
gt = Större än
lt = mindre än
Value Värde för tröskelvärdet.

Tänk dig till exempel en händelsefråga med Interval 15 minuter, en Timespan på 30 minuter och en Threshold på mer än 10. I det här fallet skulle frågan köras var 15:e minut. En avisering utlöses om den returnerade 10 händelser som skapades under ett 30-minutersintervall.

Följande exempelsvar är för en åtgärd med endast en Threshold:

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Version": 1
}

Använd metoden Put med ett unikt åtgärds-ID för att skapa en ny tröskelåtgärd för ett schema.

$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

Använd metoden Put med ett befintligt åtgärds-ID för att ändra en tröskelåtgärd för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.

$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

Allvarlighet

Med Log Analytics kan du klassificera dina aviseringar i kategorier för enklare hantering och sortering. Allvarlighetsgraderna Aviseringar är informational, warningoch critical. De här kategorierna mappas till den normaliserade allvarlighetsgradsskalan för Azure-aviseringar enligt följande tabell:

Allvarlighetsgrad för Log Analytics Allvarlighetsgrad för Azure-aviseringar
critical Allv.grad 0
warning Allv.grad 1
informational Allv.grad 2

Följande exempelsvar är för en åtgärd med endast Threshold och Severity:

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Severity": "critical",
   "Version": 1
}

Använd metoden Put med ett unikt åtgärds-ID för att skapa en ny åtgärd för ett schema med Severity.

$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Använd metoden Put med ett befintligt åtgärds-ID för att ändra en allvarlighetsgradsåtgärd för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.

$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Suppress

Log Analytics-baserade frågeaviseringar utlöses varje gång tröskelvärdet uppfylls eller överskrids. Baserat på logiken i frågan kan en avisering utlösas under en rad intervall. Resultatet är att meddelanden skickas hela tiden. För att förhindra ett sådant scenario kan du ange det Suppress alternativ som instruerar Log Analytics att vänta en angiven tid innan meddelandet utlöses andra gången för aviseringsregeln.

Om Suppress den till exempel har angetts i 30 minuter utlöses aviseringen första gången och meddelanden skickas konfigurerade. Den väntar sedan i 30 minuter innan aviseringsregeln används igen. Under övergångsperioden fortsätter aviseringsregeln att köras. Endast meddelanden undertrycks av Log Analytics under en angiven tid oavsett hur många gånger aviseringsregeln utlöstes under den här perioden.

Egenskapen Suppress för en loggsökningsaviseringsregel anges med hjälp Throttling av värdet. Undertryckningsperioden anges med hjälp DurationInMinutes av värdet.

Följande exempelsvar är för en åtgärd med endast Threshold, Severityoch Suppress egenskaper.

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Throttling": {
   "DurationInMinutes": 30
   },
   "Severity": "critical",
   "Version": 1
}

Använd metoden Put med ett unikt åtgärds-ID för att skapa en ny åtgärd för ett schema med Severity.

$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Använd metoden Put med ett befintligt åtgärds-ID för att ändra en allvarlighetsgradsåtgärd för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.

$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Åtgärdsgrupper

Alla aviseringar i Azure använder åtgärdsgruppen som standardmekanism för att hantera åtgärder. Med en åtgärdsgrupp kan du ange dina åtgärder en gång och sedan associera åtgärdsgruppen med flera aviseringar i Azure utan att behöva deklarera samma åtgärder upprepade gånger. Åtgärdsgrupper stöder flera åtgärder som e-post, SMS, röstsamtal, ITSM-anslutning, Automation Runbook och webhook-URI.

För användare som har utökat sina aviseringar till Azure bör ett schema nu ha information om åtgärdsgrupper som skickas tillsammans med Threshold för att kunna skapa en avisering. E-postinformation, webhook-URL:er, runbook-automatiseringsinformation och andra åtgärder måste definieras i en åtgärdsgrupp först innan du skapar en avisering. Du kan skapa en åtgärdsgrupp från Azure Monitor i Azure-portalen eller använda API:et för åtgärdsgrupp.

Om du vill associera en åtgärdsgrupp med en avisering anger du det unika Azure Resource Manager-ID:t för åtgärdsgruppen i aviseringsdefinitionen. Följande exempel illustrerar användningen:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ]
   },
   "Severity": "critical",
   "Version": 1
}

Använd metoden Put med ett unikt åtgärds-ID för att associera en redan befintlig åtgärdsgrupp för ett schema. Följande exempel illustrerar användningen:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Använd metoden Put med ett befintligt åtgärds-ID för att ändra en åtgärdsgrupp som är associerad för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Anpassa åtgärder

Som standard följer åtgärderna standardmallar och format för meddelanden. Men du kan anpassa vissa åtgärder, även om de styrs av åtgärdsgrupper. För närvarande är anpassning möjlig för EmailSubject och WebhookPayload.

Anpassa EmailSubject för en åtgärdsgrupp

Som standard är e-postämnet för aviseringar Aviseringsmeddelande <AlertName> för <WorkspaceName>. Men ämnet kan anpassas så att du kan ange ord eller taggar så att du enkelt kan använda filterregler i inkorgen. Den anpassade e-posthuvudinformationen måste skickas tillsammans med ActionGroup information, som i följande exempel:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
      "CustomEmailSubject": "Azure Alert fired"
   },
   "Severity": "critical",
   "Version": 1
}

Använd metoden Put med ett unikt åtgärds-ID för att associera en befintlig åtgärdsgrupp med anpassning för ett schema. Följande exempel illustrerar användningen:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Använd metoden Put med ett befintligt åtgärds-ID för att ändra en åtgärdsgrupp som är associerad för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Anpassa WebhookPayload för en åtgärdsgrupp

Som standard har webhooken som skickas via en åtgärdsgrupp för Log Analytics en fast struktur. Men du kan anpassa JSON-nyttolasten med hjälp av specifika variabler som stöds för att uppfylla kraven för webhooksslutpunkten. Mer information finns i Webhook-åtgärd för aviseringsregler för loggsökning.

Den anpassade webhookens information måste skickas tillsammans med ActionGroup information. De tillämpas på alla webhook-URI:er som anges i åtgärdsgruppen. Följande exempel illustrerar användningen:

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
   "CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
   "CustomEmailSubject": "Azure Alert fired"
   },
   "Severity": "critical",
   "Version": 1
},

Använd metoden Put med ett unikt åtgärds-ID för att associera en befintlig åtgärdsgrupp med anpassning för ett schema. Följande exempel illustrerar användningen:

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Använd metoden Put med ett befintligt åtgärds-ID för att ändra en åtgärdsgrupp som är associerad för ett schema. Brödtexten i begäran måste innehålla etag för åtgärden.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Nästa steg