本文說明如何使用舊版 API 管理警示規則。
這很重要
如 公告,Log Analytics 警示 API 將於 2025 年 10 月 1 日淘汰。 您必須使用該日期的記錄搜尋警示使用排程查詢規則 API 進行轉換。 在 2019 年 6 月 1 日之後建立的 Log Analytics 工作區會使用 scheduledQueryRules API 來管理警示規則。 將舊版工作區切換至目前 API,以利用 Azure 監視器排程查詢規則的優點。
Log Analytics 警示 REST API 可讓您在 Log Analytics 中建立和管理警示。 本文提供 API 的詳細數據,以及數個執行不同作業的範例。
Log Analytics 搜尋 REST API 是 RESTful,可透過 Azure Resource Manager REST API 存取。 在本文中,您將找到使用 ARMClient從PowerShell命令行存取 API 的範例。 此開放原始碼命令行工具可簡化叫用 Azure Resource Manager API。
使用ARMClient和PowerShell是許多可用來存取Log Analytics 搜尋 API 的選項之一。 透過這些工具,您可以使用 RESTful Azure Resource Manager API 來呼叫 Log Analytics 工作區,並在其中執行搜尋命令。 API 會以 JSON 格式輸出搜尋結果,以便以程式設計方式使用搜尋結果。
先決條件
目前,警示只能在Log Analytics中使用已儲存的搜尋來建立。 如需詳細資訊,請參閱 記錄搜尋 REST API。
附表
已儲存的搜尋可以有一或多個排程。 排程會定義搜尋的執行頻率,以及識別準則的時間間隔。 排程具有下表所述的屬性:
| 財產 | 說明 |
|---|---|
Interval |
搜尋的執行頻率。 以分鐘為單位測量。 |
QueryTimeSpan |
評估準則的時間間隔。 必須等於或大於 Interval。 以分鐘為單位測量。 |
Version |
所使用的 API 版本。 目前,此設定應一律為 1。 |
例如,假設事件查詢的 Interval 15 分鐘和 Timespan 30 分鐘。 在此情況下,查詢會每隔 15 分鐘執行一次。 如果準則在超過 30 分鐘期間持續解析為 true,就會觸發警示。
取得排程
使用 Get 方法來擷取已儲存搜尋的所有排程。
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules?api-version=2015-03-20
使用 Get 方法搭配排程標識符來擷取已儲存搜尋的特定排程。
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
下列範例回應適用於排程:
{
"value": [{
"id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
"etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
"properties": {
"Interval": 15,
"QueryTimeSpan": 15,
"Enabled": true,
}
}]
}
建立排程
使用 Put 方法搭配唯一的排程標識碼來建立新的排程。 即使兩個排程與不同的已儲存搜尋相關聯,它們仍然不能有相同的 ID。 當您在Log Analytics 控制台中建立排程時,會針對排程標識元建立 GUID。
備註
使用 Log Analytics API 建立的所有已儲存搜尋、排程和動作的名稱必須小寫。
$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
編輯排程
使用 Put 方法搭配相同已儲存搜尋的現有排程標識碼來修改該排程。 在下列範例中,排程已停用。 請求中必須包含排程的 etag。
$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
刪除排程
使用 Delete 方法搭配排程標識碼來刪除排程。
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
行動
排程可以有多個動作。 動作可能會定義一或多個要執行的處理程式,例如傳送電子郵件或啟動 Runbook。 動作也可以定義臨界值,以判斷搜尋結果何時符合某些準則。 某些動作會定義這兩個動作,以便在符合閾值時執行進程。
所有動作都有下表所述的屬性。 不同類型的警示具有其他不同的屬性,如下表所述:
| 財產 | 說明 |
|---|---|
Type |
動作的類型。 目前可能的值為 Alert 和 Webhook。 |
Name |
警示的顯示名稱。 |
Version |
所使用的 API 版本。 目前,此設定應一律為 1。 |
擷取動作
使用 Get 方法來擷取排程的所有動作。
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20
使用 Get 方法搭配動作標識碼來擷取排程的特定動作。
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20
建立或編輯動作
使用 Put 方法搭配排程唯一的動作識別碼,以建立新的動作。 當您在Log Analytics 控制台中建立動作時,GUID 適用於動作識別碼。
備註
使用 Log Analytics API 建立的所有已儲存搜尋、排程和動作的名稱必須小寫。
使用 Put 方法搭配現有的動作標識碼來修改相同已儲存搜尋的排程。 要求的主體必須包含排程的 etag。
建立新動作的要求格式會因動作類型而異,因此下列各節會提供這些範例。
刪除動作
使用 Delete 方法搭配動作標識碼來刪除動作。
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20
警示動作
排程應該只有且僅有一個警示動作。 警示動作具有下表所述的一或多個區段:
| 章節 | 說明 | 用法 |
|---|---|---|
| 門檻 | 執行動作時的準則。 | 在擴充至 Azure 之前或之後,每個警示都需要符合要求。 |
| 嚴重程度 | 用於在觸發時分類警示的標籤。 | 在擴充至 Azure 之前或之後,每個警示都需要符合要求。 |
| 抑制 | 停止警示通知的選項。 | 對於每個警示,在擴充至 Azure 之前或之後,皆為選擇性。 |
| 行動團體 | 指定所需動作的 Azure ActionGroup 識別碼,例如電子郵件、SMS、語音通話、Webhook、自動化 Runbook 和 ITSM 連接器。 |
警示擴展到 Azure 後,才會需要。 |
| 自定義動作 | 修改標準輸出,以從 ActionGroup中選取動作。 |
對於每個警示而言都是選擇性的,而且可在警示擴充至 Azure 之後使用。 |
閾 值
警示動作應該有一個且只有一個臨界值。 當已儲存的搜尋結果符合與該搜尋相關聯的動作中的臨界值時,該動作中的任何其他進程都會執行。 動作也可以只包含臨界值,以便與不包含臨界值的其他類型動作搭配使用。
臨界值具有下表所述的屬性:
| 財產 | 說明 |
|---|---|
Operator |
臨界值比較的運算符。 gt = 大於 lt = 小於 |
Value |
臨界值。 |
例如,假設事件查詢具有 Interval 15 分鐘、Timespan 30 分鐘和 Threshold 大於 10。 在此情況下,查詢會每隔 15 分鐘執行一次。 如果警示傳回在 30 分鐘內建立的 10 個事件,就會觸發警示。
下列範例回應適用於只有 Threshold的動作:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Version": 1
}
使用 Put 方法搭配唯一的動作識別碼,為排程建立新的閾值動作。
$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
使用 Put 方法搭配現有的動作標識碼來修改排程的臨界值動作。 請求的正文必須包含操作的etag。
$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
嚴重程度
Log Analytics 可讓您將警示分類為類別,以方便管理和分級。 警示嚴重性層級為 informational、 warning和 critical。 這些類別會對應至 Azure 警示的標準化嚴重性規模,如下表所示:
| Log Analytics 嚴重性層級 | Azure 警報嚴重性層級 |
|---|---|
critical |
Sev 0 |
warning |
Sev 1 |
informational |
Sev 2 |
下列範例回應僅適用於只有Threshold和Severity的動作:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Severity": "critical",
"Version": 1
}
使用 Put 方法搭配唯一的動作識別碼,為具有 Severity 的排程建立新動作。
$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
使用 PUT 方法搭配現有的動作 ID 來修改排程的嚴重性級別。 請求的正文必須包含操作的etag。
$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
抑制
Log Analytics 型查詢警示會在每次達到或超過閾值時觸發。 根據查詢中隱含的邏輯,警示可能會在一系列的時間間隔內被觸發。 結果是會持續傳送通知。 若要防止這類案例,您可以設定 Suppress 選項,指示 Log Analytics 等候指定的時間量,再針對警示規則第二次引發通知。
例如,如果 Suppress 設定為 30 分鐘,則警示會首次觸發並傳送已設定的通知。 然後,它會等候 30 分鐘,再使用警示規則發送通知。 在過渡期間,警示規則將會繼續執行。 不論在此期間引發警示規則的次數為多少,Log Analytics 只會在指定時間內抑制通知。
記錄Suppress搜尋警示規則的屬性是透過Throttling值來指定的。 隱藏期間是使用 DurationInMinutes 值來指定。
下列範例回應適用於只有 Threshold、Severity 和 Suppress 屬性的動作。
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Throttling": {
"DurationInMinutes": 30
},
"Severity": "critical",
"Version": 1
}
使用 Put 方法搭配唯一的動作識別碼,為具有 Severity 的排程建立新動作。
$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
使用 PUT 方法搭配現有的動作 ID 來修改排程的嚴重性級別。 請求的正文必須包含操作的etag。
$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
行動團體
Azure 中的所有警示都會使用動作群組作為處理動作的默認機制。 使用動作群組時,您可以指定動作一次,然後將動作群組與跨 Azure 的多個警示產生關聯,而不需要重複宣告相同的動作。 動作群組支援多個動作,例如電子郵件、SMS、語音通話、ITSM 連線、自動化 Runbook 和 Webhook URI。
對於已將警示擴充至 Azure 的使用者,現在排程應該會附加動作群組詳細資料,以便建立Threshold警示。 建立警示之前,必須先在動作群組內定義電子郵件詳細數據、Webhook URL、Runbook 自動化詳細數據和其他動作。 您可以從 Azure 入口網站中的 Azure 監視器建立動作群組 ,或使用 動作群組 API。
若要將動作群組與警示產生關聯,請在警示定義中指定動作群組的唯一 Azure Resource Manager 標識符。 下列範例說明用法:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
]
},
"Severity": "critical",
"Version": 1
}
使用 Put 方法搭配唯一的動作識別碼,將已存在的動作群組與排程產生關聯。 下列範例說明用法:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
使用 Put 方法搭配現有的動作標識碼來修改與排程相關聯的動作群組。 請求的正文必須包含操作的etag。
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
自定義動作
根據預設,動作會遵循標準範本和通知格式。 但是,您可以自定義某些動作,即使這些動作是由動作群組所控制。 目前,可以對EmailSubject和WebhookPayload進行自定義。
自定義動作群組的電子郵件主題
根據預設,警示的電子郵件主旨是 警示通知<AlertName>為<WorkspaceName>。 但是可以自定義主旨,以便您可以指定單字或標籤,讓您輕鬆地在收件匣中使用篩選規則。 自定義的電子郵件標頭詳細數據必須連同 ActionGroup 詳細數據一起傳送,如下列範例所示:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
}
使用 Put 方法搭配唯一的動作識別碼,將現有的動作群組與排程的自定義產生關聯。 下列範例說明用法:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
使用 Put 方法搭配現有的動作標識碼來修改與排程相關聯的動作群組。 請求的正文必須包含操作的etag。
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
自定義動作群組的 WebhookPayload
根據預設,透過Log Analytics動作群組傳送的Webhook具有固定的結構。 但是,您可以使用支援的特定變數來自定義 JSON 負載,以符合 Webhook 端點的需求。 如需更多資訊,請參閱 用於日誌搜尋警示規則的 Webhook 動作。
自定義的 Webhook 詳細數據必須連同 ActionGroup 詳細數據一起傳送。 它們會套用至動作群組內指定的所有 Webhook URI。 下列範例說明用法:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
},
使用 Put 方法搭配唯一的動作識別碼,將現有的動作群組與排程的自定義產生關聯。 下列範例說明用法:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
使用 Put 方法搭配現有的動作標識碼來修改與排程相關聯的動作群組。 請求的正文必須包含操作的etag。
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
後續步驟
- 使用 REST API 在 Log Analytics 中 執行記錄搜尋 。
- 瞭解 Azure 監視器中的記錄搜尋警示。
- 瞭解如何 在 Azure 監視器中建立、編輯或管理記錄搜尋警示規則。