API de REST de alertas de Log Analytics heredada
En este artículo se describe cómo administrar reglas de alerta mediante la API heredada.
Importante
Como se anunció, la API de alertas de Log Analytics se retirará el 1 de octubre de 2025. Debe realizar la transición al uso de la API de reglas de consulta programadas para las alertas de búsqueda de registros en esa fecha. Las áreas de trabajo de Log Analytics creadas después del 1 de junio de 2019 usan la API scheduledQueryRules para administrar las reglas de alertas. Cambiar a la API actual en áreas de trabajo más antiguas para aprovechar las ventajas de scheduledQueryRules de Azure Monitor.
La API REST de alertas de Log Analytics le permite crear y administrar alertas en Log Analytics. En este artículo encontrará información detallada sobre la API y varios ejemplos para realizar distintas operaciones.
La API de REST de búsqueda de Log Analytics es de tipo RESTful y se puede obtener acceso a ella a través de la API de REST de Azure Resource Manager. En este artículo, encontrará ejemplos en los que se accede a la API desde una línea de comandos de PowerShell mediante ARMClient. Esta herramienta de línea de comandos de código abierto simplifica la invocación de la API de Azure Resource Manager.
El uso de ARMClient y PowerShell es una de las muchas opciones que se pueden usar para tener acceso a la API de búsqueda de Log Analytics. Con estas herramientas, puede usar la API de RESTful de Azure Resource Manager para realizar llamadas a las áreas de trabajo de Log Analytics y ejecutar comandos de búsqueda dentro de ellas. La API genera resultados de búsqueda en formato JSON, lo que le permite usar los resultados de búsqueda de muchas formas distintas mediante programación.
Prerrequisitos
Actualmente, solo se pueden crear alertas con una búsqueda guardada en Log Analytics. Para obtener más información, vea la API REST de búsqueda de registros.
Programaciones
Una búsqueda guardada puede tener una o varias programaciones. La programación define la frecuencia con que se realiza la búsqueda y el intervalo de tiempo en el que se identifican los criterios. Las programaciones tienen las propiedades descritas en la tabla siguiente:
| Propiedad | Descripción |
|---|---|
Interval |
Frecuencia con que se realiza la búsqueda. Se mide en minutos. |
QueryTimeSpan |
Intervalo de tiempo en el que se evalúan los criterios. Debe ser igual o mayor que Interval. Se mide en minutos. |
Version |
Versión de API en uso. Actualmente, este valor siempre debe ser 1. |
Por ejemplo, considere una consulta de evento con un elemento Interval de 15 minutos y un elemento Timespan de 30 minutos. En este caso, la consulta se ejecutaría cada 15 minutos. Se desencadenaría una alerta si los criterios siguieran resolviéndose true True durante un intervalo de 30 minutos.
Recuperación de programaciones
Use el método Get para recuperar todas las programaciones de una búsqueda guardada.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules?api-version=2015-03-20
Use el método Get con un identificador de programación para recuperar una programación concreta de una búsqueda guardada.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
La siguiente es una respuesta de ejemplo para una programación:
{
"value": [{
"id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
"etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
"properties": {
"Interval": 15,
"QueryTimeSpan": 15,
"Enabled": true,
}
}]
}
Crear una programación
Use el método Put con un identificador de programación único para crear una programación nueva. Dos programaciones no pueden tener el mismo id., aunque estén asociadas a diferentes búsquedas guardadas. Al crear una programación en la consola de Log Analytics, se crea un GUID para el identificador de programación.
Nota
El nombre de todas las búsquedas guardadas, programaciones y acciones creadas con Log Analytics API debe estar en minúsculas.
$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Edición de una programación
Utilice el método Put con un identificador de programación existente para modificar la programación de la misma búsqueda guardada. En el ejemplo siguiente, la programación está deshabilitada. El cuerpo de la solicitud debe incluir el valor etag de la programación.
$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Eliminación de programaciones
Para eliminar una programación, use el método Delete con un identificador de programación.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Acciones
Una programación puede tener varias acciones. Una acción puede definir uno o varios procesos que se van a realizar, como enviar un correo electrónico o iniciar un runbook. Una acción también puede definir un umbral que determine cuándo los resultados de una búsqueda coinciden con algunos criterios. Algunas acciones definen ambos aspectos, de forma que los procesos se realizan cuando se alcance el umbral.
Todas las acciones tienen las propiedades descritas en la tabla siguiente. Los distintos tipos de alertas tienen otras propiedades diferentes, que se describen en la tabla siguiente:
| Propiedad | Descripción |
|---|---|
Type |
Tipo de la acción. Actualmente, los valores posibles son Alert y Webhook. |
Name |
Nombre para mostrar de la alerta. |
Version |
Versión de API en uso. Actualmente, este valor siempre debe ser 1. |
Recuperación de acciones
Use el método Get para recuperar todas las acciones de una programación.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20
Use el método Get con el identificador de una acción para recuperar esa acción concreta para una programación.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20
Creación o edición de acciones
Para crear una acción, use el método Put con un id. de acción que sea único de la programación. Al crear una acción en la consola de Log Analytics, se crea un GUID para el identificador de acción.
Nota
El nombre de todas las búsquedas guardadas, programaciones y acciones creadas con Log Analytics API debe estar en minúsculas.
Utilice el método Put con un identificador de acción existente para modificar la programación de la misma búsqueda guardada. El cuerpo de la solicitud debe incluir el valor etag de la programación.
El formato de solicitud para crear una acción varía según el tipo de acción y en las secciones siguientes se proporcionan estos ejemplos.
Eliminación de acciones
Use el método Delete con el identificador de acción para eliminar esa acción.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20
Acciones de alerta
Una programación debe tener una acción de alerta única y exclusiva. Las acciones de alerta tienen una o varias de las secciones descritas en la tabla siguiente:
| Sección | Descripción | Uso |
|---|---|---|
| Umbral | Criterios para establecer cuándo se va a ejecutar la acción. | Se requiere para cada alerta, ya sea antes o después de extenderlas a Azure. |
| severity | Etiqueta que se usa para clasificar la alerta cuando se desencadena. | Se requiere para cada alerta, ya sea antes o después de extenderlas a Azure. |
| Suprimir | Opción para dejar de recibir notificaciones de las alertas. | Opcional para cada alerta, ya sea antes o después de extenderlas a Azure. |
| Grupos de acciones | Id. de ActionGroup de Azure donde se especifican las acciones requeridas, como correos electrónicos, SMS, llamadas de voz, webhooks, runbooks de Automation y Conectores ITSM. |
Se requiere después de que las alertas se extiendan a Azure |
| Personalizar acciones | Se modifica la salida estándar para seleccionar acciones de ActionGroup. |
Opcional para cada alerta y se puede usar después de que las alertas se extiendan a Azure. |
Umbrales
Una acción de alerta debe tener un umbral única y exclusivamente. Cuando los resultados de una búsqueda guardada coinciden con el umbral de una acción asociada a esa búsqueda, se ejecutan los demás procesos de esa acción. Una acción también puede contener solo un umbral para que pueda usarse con acciones de otros tipos que no contienen umbrales.
Los umbrales tienen las propiedades descritas en la tabla siguiente:
| Propiedad | Descripción |
|---|---|
Operator |
Operador de la comparación de umbral. gt = Mayor que lt = Menor que |
Value |
Valor del umbral. |
Por ejemplo, considere una consulta de evento con un elemento Interval de 15 minutos, uno Timespan de 30 minutos y otro Threshold mayor que 10. En este caso, la consulta se ejecutaría cada 15 minutos. Se desencadenaría una alerta si devolviera 10 eventos creados durante un intervalo de 30 minutos.
La siguiente es una respuesta de ejemplo para una acción con solo un elemento Threshold:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Version": 1
}
Use el método Put con un identificador de acción único para crear una acción de umbral para una programación.
$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Use el método Put con un identificador de acción existente para modificar una acción de umbral para una programación. El cuerpo de la solicitud debe incluir el valor etag de la acción.
$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
severity
Log Analytics permite clasificar las alertas en categorías para obtener una administración y una evaluación de prioridades más sencillas. Los niveles de gravedad de alertas son informational, warning y critical. Estas categorías se asignan a la escala de gravedad normalizada de alertas de Azure, tal como se muestra en la tabla siguiente:
| Nivel de gravedad de Log Analytics | Nivel de gravedad de alertas de Azure |
|---|---|
critical |
Gravedad 0 |
warning |
Gravedad 1 |
informational |
Gravedad 2 |
La siguiente es una respuesta de ejemplo para una acción con solo Threshold y Severity:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Severity": "critical",
"Version": 1
}
Use el método Put con un id. de acción único a fin de crear una acción para una programación con Severity.
$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Use el método Put con un identificador de acción existente para modificar una acción de gravedad para una programación. El cuerpo de la solicitud debe incluir el valor etag de la acción.
$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Suprimir
Las alertas de consulta basadas en Log Analytics se activan cada vez que se alcance o se supere el umbral. En función de la lógica implícita en la consulta, es posible que se active una alerta para una serie de intervalos. El resultado es que las notificaciones se envían constantemente. Para evitar este tipo de escenario, se puede establecer la opción Suppress que indicar a Log Analytics que espere durante un periodo de tiempo estipulado antes de que la notificación se active por segunda vez para la regla de alertas.
Por ejemplo, si Suppress se establece en 30 minutos, la alerta se activará la primera vez y enviará las notificaciones configuradas. Después, esperará 30 minutos antes de volver a utilizar la notificación para la regla de alertas. En el periodo transitorio, la regla de alertas seguirá ejecutándose. Log Analytics solo suprime la notificación durante el tiempo especificado, independientemente de cuántas veces se active la regla de alertas durante este periodo.
La Suppress propiedad de una regla de alertas de búsqueda de registros se especifica mediante el Throttling valor . El período de eliminación se especifica mediante el valor DurationInMinutes.
La siguiente es una respuesta de ejemplo para una acción con solo las propiedades Threshold, Severity y Suppress.
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Throttling": {
"DurationInMinutes": 30
},
"Severity": "critical",
"Version": 1
}
Use el método Put con un id. de acción único a fin de crear una acción para una programación con Severity.
$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Use el método Put con un identificador de acción existente para modificar una acción de gravedad para una programación. El cuerpo de la solicitud debe incluir el valor etag de la acción.
$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Grupos de acciones
Todas las alertas de Azure usan el grupo de acciones como el mecanismo predeterminado para controlar las acciones. Con un grupo de acciones, puede especificar las acciones una vez y, después, asociar el grupo de acciones a varias alertas en Azure sin necesidad de declarar repetidamente las mismas acciones. Los grupos de acciones admiten varias acciones, como el correo electrónico, SMS, llamadas de voz, conexión ITSM, runbook de Automation y URI de webhook.
Para los usuarios que han extendido sus alertas a Azure, ahora una programación deberá tener los detalles del grupo de acciones junto con Threshold a fin de poder crear una alerta. Para poder crear una alerta, dentro de un grupo de acciones deben definirse primero los detalles de correo electrónico, las direcciones URL del webhook, los detalles de automatización de runbook y otras acciones. Puede crear un grupo de acciones desde Azure Monitor en Azure Portal o usar la API de grupo de acciones.
Para asociar un grupo de acciones a una alerta, especifique el id. de Azure Resource Manager único del grupo de acciones en la definición de la alerta. En el ejemplo siguiente se muestra el uso:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
]
},
"Severity": "critical",
"Version": 1
}
Use el método Put con un id. de acción único a fin de asociar un grupo de acciones ya existente para una programación. En el ejemplo siguiente se muestra el uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Use el método Put con un id. de acción existente a fin de modificar un grupo de acciones asociado para una programación. El cuerpo de la solicitud debe incluir el valor etag de la acción.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personalizar acciones
De manera predeterminada, las acciones siguen las plantillas y el formato estándar para las notificaciones. Pero se pueden personalizar algunas acciones, incluso si las controlan los grupos de acciones. Actualmente, la personalización es posible para EmailSubject y WebhookPayload.
Personalización de EmailSubject para un grupo de acciones
De manera predeterminada, el asunto del correo electrónico para las alertas es: Notificación de alerta <AlertName> para <WorkspaceName>. Pero este se puede personalizar, de modo que pueda especificar palabras o etiquetas que le permitan emplear fácilmente reglas de filtro en la Bandeja de entrada. Los detalles del encabezado del correo electrónico personalizado deben enviarse junto con los detalles de ActionGroup, tal como se indica en el ejemplo siguiente:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
}
Use el método Put con un id. de acción único para asociar el grupo de acciones existente a una personalización para una programación. En el ejemplo siguiente se muestra el uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Use el método Put con un id. de acción existente a fin de modificar un grupo de acciones asociado para una programación. El cuerpo de la solicitud debe incluir el valor etag de la acción.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personalización de WebhookPayload para un grupo de acciones
De manera predeterminada, el webhook enviado mediante un grupo de acciones para Log Analytics tiene una estructura fija. Pero se puede personalizar la carga de JSON si usa variables específicas admitidas para cumplir con los requisitos del punto de conexión del webhook. Para más información, consulte Acción de webhook para reglas de alertas de búsqueda de registros.
Los detalles del webhook personalizado se deben enviar junto con los detalles de ActionGroup. Se aplicarán a todos los URI del webhook especificados dentro del grupo de acciones. En el ejemplo siguiente se muestra el uso:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
},
Use el método Put con un id. de acción único para asociar el grupo de acciones existente a una personalización para una programación. En el ejemplo siguiente se muestra el uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Use el método Put con un id. de acción existente a fin de modificar un grupo de acciones asociado para una programación. El cuerpo de la solicitud debe incluir el valor etag de la acción.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Pasos siguientes
- Use la API de búsqueda de registros de Log Analytics en Log Analytics.
- Obtenga información sobre las alertas de búsqueda de registros en Azure Monitor.
- Aprenda a crear, editar o administrar reglas de alertas de búsqueda de registros en Azure Monitor.