Verouderde LOG Analytics-waarschuwings-REST API
In dit artikel wordt beschreven hoe u waarschuwingsregels beheert met behulp van de verouderde API.
Belangrijk
Zoals aangekondigd, wordt de Log Analytics-waarschuwings-API op 1 oktober 2025 buiten gebruik gesteld. U moet op die datum overstappen op het gebruik van de API voor geplande queryregels voor waarschuwingen voor zoeken in logboeken. Log Analytics-werkruimten die zijn gemaakt na 1 juni 2019, gebruiken de api scheduledQueryRules om waarschuwingsregels te beheren. Schakel over naar de huidige API in oudere werkruimten om te profiteren van azure Monitor scheduledQueryRules-voordelen.
Met de LOG Analytics Alert REST API kunt u waarschuwingen maken en beheren in Log Analytics. Dit artikel bevat informatie over de API en verschillende voorbeelden voor het uitvoeren van verschillende bewerkingen.
De Log Analytics Search REST API is RESTful en is toegankelijk via de Azure Resource Manager REST API. In dit artikel vindt u voorbeelden waarin de API wordt geopend vanaf een PowerShell-opdrachtregel met behulp van ARMClient. Dit opensource-opdrachtregelprogramma vereenvoudigt het aanroepen van de Azure Resource Manager-API.
Het gebruik van ARMClient en PowerShell is een van de vele opties die u kunt gebruiken om toegang te krijgen tot de Log Analytics Search API. Met deze hulpprogramma's kunt u de RESTful Azure Resource Manager API gebruiken om Log Analytics-werkruimten aan te roepen en zoekopdrachten in deze werkruimten uit te voeren. De API voert zoekresultaten uit in JSON-indeling, zodat u de zoekresultaten programmatisch op veel verschillende manieren kunt gebruiken.
Vereisten
Momenteel kunnen waarschuwingen alleen worden gemaakt met een opgeslagen zoekopdracht in Log Analytics. Zie log Search REST API voor meer informatie.
Schema's
Een opgeslagen zoekopdracht kan een of meer planningen hebben. De planning bepaalt hoe vaak de zoekopdracht wordt uitgevoerd en het tijdsinterval waarover de criteria worden geïdentificeerd. Schema's hebben de eigenschappen die in de volgende tabel worden beschreven:
| Eigenschap | Beschrijving |
|---|---|
Interval |
Hoe vaak de zoekopdracht wordt uitgevoerd. Gemeten in minuten. |
QueryTimeSpan |
Het tijdsinterval waarover de criteria worden geëvalueerd. Moet gelijk zijn aan of groter zijn dan Interval. Gemeten in minuten. |
Version |
De API-versie die wordt gebruikt. Op dit moment moet deze instelling altijd zijn 1. |
Denk bijvoorbeeld aan een gebeurtenisquery met een Interval van 15 minuten en een Timespan van 30 minuten. In dit geval wordt de query elke 15 minuten uitgevoerd. Er wordt een waarschuwing geactiveerd als de criteria worden omgezet tot true meer dan 30 minuten.
Planningen ophalen
Gebruik de methode Ophalen om alle planningen voor een opgeslagen zoekopdracht op te halen.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules?api-version=2015-03-20
Gebruik de methode Ophalen met een plannings-id om een bepaalde planning op te halen voor een opgeslagen zoekopdracht.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Het volgende voorbeeldantwoord is voor een planning:
{
"value": [{
"id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
"etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
"properties": {
"Interval": 15,
"QueryTimeSpan": 15,
"Enabled": true,
}
}]
}
Een planning maken
Gebruik de methode Put met een unieke plannings-id om een nieuwe planning te maken. Twee planningen kunnen niet dezelfde id hebben, zelfs als ze zijn gekoppeld aan verschillende opgeslagen zoekopdrachten. Wanneer u een planning maakt in de Log Analytics-console, wordt er een GUID gemaakt voor de plannings-id.
Notitie
De naam voor alle opgeslagen zoekopdrachten, planningen en acties die met de Log Analytics-API zijn gemaakt, moet in kleine letters zijn.
$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Een planning bewerken
Gebruik de methode Put met een bestaande plannings-id voor dezelfde opgeslagen zoekopdracht om die planning te wijzigen. In het volgende voorbeeld is de planning uitgeschakeld. De hoofdtekst van de aanvraag moet de etag van de planning bevatten.
$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Planningen verwijderen
Gebruik de methode Delete met een plannings-id om een planning te verwijderen.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Acties
Een planning kan meerdere acties hebben. Een actie kan een of meer processen definiëren die moeten worden uitgevoerd, zoals het verzenden van een e-mail of het starten van een runbook. Een actie kan ook een drempelwaarde definiëren die bepaalt wanneer de resultaten van een zoekopdracht voldoen aan bepaalde criteria. Sommige acties definiëren beide, zodat de processen worden uitgevoerd wanneer de drempelwaarde wordt bereikt.
Alle acties hebben de eigenschappen die in de volgende tabel worden beschreven. Verschillende typen waarschuwingen hebben andere eigenschappen, die worden beschreven in de volgende tabel:
| Eigenschap | Beschrijving |
|---|---|
Type |
Type van de actie. Op dit moment zijn Alert de mogelijke waarden en Webhook. |
Name |
Weergavenaam voor de waarschuwing. |
Version |
De API-versie die wordt gebruikt. Op dit moment moet deze instelling altijd zijn 1. |
Acties ophalen
Gebruik de methode Get om alle acties voor een planning op te halen.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20
Gebruik de methode Ophalen met de actie-id om een bepaalde actie voor een planning op te halen.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20
Acties maken of bewerken
Gebruik de methode Put met een actie-id die uniek is voor de planning om een nieuwe actie te maken. Wanneer u een actie maakt in de Log Analytics-console, is een GUID voor de actie-id.
Notitie
De naam voor alle opgeslagen zoekopdrachten, planningen en acties die met de Log Analytics-API zijn gemaakt, moet in kleine letters zijn.
Gebruik de methode Put met een bestaande actie-id voor dezelfde opgeslagen zoekopdracht om die planning te wijzigen. De hoofdtekst van de aanvraag moet de etag van de planning bevatten.
De aanvraagindeling voor het maken van een nieuwe actie verschilt per actietype. Deze voorbeelden worden daarom in de volgende secties gegeven.
Acties verwijderen
Gebruik de methode Delete met de actie-id om een actie te verwijderen.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20
Waarschuwingsacties
Een planning moet slechts één waarschuwingsactie hebben. Waarschuwingsacties bevatten een of meer van de secties die in de volgende tabel worden beschreven:
| Sectie | Beschrijving | Gebruik |
|---|---|---|
| Drempelwaarde | Criteria voor wanneer de actie wordt uitgevoerd. | Vereist voor elke waarschuwing, voor of nadat ze zijn uitgebreid naar Azure. |
| Ernst | Label dat wordt gebruikt om de waarschuwing te classificeren wanneer deze wordt geactiveerd. | Vereist voor elke waarschuwing, voor of nadat ze zijn uitgebreid naar Azure. |
| Onderdrukken | Optie om meldingen van waarschuwingen te stoppen. | Optioneel voor elke waarschuwing, voor of nadat ze zijn uitgebreid naar Azure. |
| Actiegroepen | Id's van Azure ActionGroup waar vereiste acties zijn opgegeven, zoals e-mailberichten, SMS's, spraakoproepen, webhooks, automatiseringsrunbooks en ITSM-connectors. |
Vereist nadat waarschuwingen zijn uitgebreid naar Azure. |
| Acties aanpassen | Wijzig de standaarduitvoer voor het selecteren van acties uit ActionGroup. |
Optioneel voor elke waarschuwing en kan worden gebruikt nadat waarschuwingen zijn uitgebreid naar Azure. |
Drempelwaarden
Een waarschuwingsactie moet slechts één drempelwaarde hebben. Wanneer de resultaten van een opgeslagen zoekopdracht overeenkomen met de drempelwaarde in een actie die aan die zoekopdracht is gekoppeld, worden alle andere processen in die actie uitgevoerd. Een actie kan ook alleen een drempelwaarde bevatten, zodat deze kan worden gebruikt met acties van andere typen die geen drempelwaarden bevatten.
Drempelwaarden hebben de eigenschappen die in de volgende tabel worden beschreven:
| Eigenschap | Beschrijving |
|---|---|
Operator |
Operator voor de drempelwaardevergelijking. gt = Groter dan lt = kleiner dan |
Value |
Waarde voor de drempelwaarde. |
Denk bijvoorbeeld aan een gebeurtenisquery met een Interval van 15 minuten, een Timespan van 30 minuten en een Threshold van meer dan 10. In dit geval wordt de query elke 15 minuten uitgevoerd. Een waarschuwing wordt geactiveerd als deze tien gebeurtenissen retourneert die gedurende een periode van 30 minuten zijn gemaakt.
Het volgende voorbeeldantwoord is voor een actie met alleen een Threshold:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Version": 1
}
Gebruik de methode Put met een unieke actie-id om een nieuwe drempelwaardeactie voor een planning te maken.
$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Gebruik de methode Put met een bestaande actie-id om een drempelwaardeactie voor een planning te wijzigen. De hoofdtekst van de aanvraag moet de etag van de actie bevatten.
$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Ernst
Met Log Analytics kunt u uw waarschuwingen in categorieën classificeren voor eenvoudiger beheer en sortering. De ernstniveaus van waarschuwingen zijn informational, warningen critical. Deze categorieën zijn toegewezen aan de genormaliseerde ernstschaal van Azure-waarschuwingen, zoals wordt weergegeven in de volgende tabel:
| Ernstniveau van Log Analytics | Ernstniveau azure-waarschuwingen |
|---|---|
critical |
Sev 0 |
warning |
Sev 1 |
informational |
Sev 2 |
Het volgende voorbeeldantwoord is voor een actie met alleen Threshold en Severity:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Severity": "critical",
"Version": 1
}
Gebruik de methode Put met een unieke actie-id om een nieuwe actie voor een planning te maken met Severity.
$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Gebruik de methode Put met een bestaande actie-id om een ernstactie voor een planning te wijzigen. De hoofdtekst van de aanvraag moet de etag van de actie bevatten.
$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Onderdrukken
Querywaarschuwingen op basis van Log Analytics worden geactiveerd telkens wanneer de drempelwaarde wordt bereikt of overschreden. Op basis van de logica die in de query is geïmpliceerd, kan een waarschuwing gedurende een reeks intervallen worden geactiveerd. Het resultaat is dat meldingen voortdurend worden verzonden. Als u een dergelijk scenario wilt voorkomen, kunt u de Suppress optie instellen waarmee Log Analytics wordt geïnstrueerd om een bepaalde tijd te wachten voordat de melding de tweede keer voor de waarschuwingsregel wordt geactiveerd.
Als Suppress bijvoorbeeld is ingesteld op 30 minuten, wordt de waarschuwing de eerste keer geactiveerd en worden geconfigureerde meldingen verzonden. Vervolgens wordt 30 minuten gewacht voordat de melding voor de waarschuwingsregel opnieuw wordt gebruikt. In de tussentijdse periode blijft de waarschuwingsregel actief. Alleen meldingen worden gedurende een opgegeven tijd onderdrukt door Log Analytics, ongeacht hoe vaak de waarschuwingsregel in deze periode is geactiveerd.
De Suppress eigenschap van een waarschuwingsregel voor zoeken in logboeken wordt opgegeven met behulp van de Throttling waarde. De onderdrukkingsperiode wordt opgegeven met behulp van de DurationInMinutes waarde.
Het volgende voorbeeldantwoord is bedoeld voor een actie met alleen Thresholdde eigenschappen , Severityen Suppress .
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Throttling": {
"DurationInMinutes": 30
},
"Severity": "critical",
"Version": 1
}
Gebruik de methode Put met een unieke actie-id om een nieuwe actie voor een planning te maken met Severity.
$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Gebruik de methode Put met een bestaande actie-id om een ernstactie voor een planning te wijzigen. De hoofdtekst van de aanvraag moet de etag van de actie bevatten.
$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Actiegroepen
Alle waarschuwingen in Azure gebruiken actiegroep als standaardmechanisme voor het afhandelen van acties. Met een actiegroep kunt u uw acties eenmaal opgeven en de actiegroep vervolgens koppelen aan meerdere waarschuwingen in Azure zonder dat u dezelfde acties herhaaldelijk hoeft te declareren. Actiegroepen ondersteunen meerdere acties, zoals e-mail, sms, spraakoproep, ITSM-verbinding, automation-runbook en webhook-URI.
Voor gebruikers die hun waarschuwingen hebben uitgebreid naar Azure, moet er nu actiegroepdetails worden doorgegeven Threshold aan een planning om een waarschuwing te kunnen maken. E-maildetails, webhook-URL's, details van runbookautomatisering en andere acties moeten eerst in een actiegroep worden gedefinieerd voordat u een waarschuwing maakt. U kunt een actiegroep maken vanuit Azure Monitor in de Azure Portal of de ACTIEgroep-API gebruiken.
Als u een actiegroep aan een waarschuwing wilt koppelen, geeft u de unieke Azure Resource Manager-id van de actiegroep op in de waarschuwingsdefinitie. Het volgende voorbeeld illustreert het gebruik:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
]
},
"Severity": "critical",
"Version": 1
}
Gebruik de methode Put met een unieke actie-id om een al bestaande actiegroep voor een planning te koppelen. Het volgende voorbeeld illustreert het gebruik:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Gebruik de methode Put met een bestaande actie-id om een actiegroep te wijzigen die is gekoppeld voor een planning. De hoofdtekst van de aanvraag moet de etag van de actie bevatten.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Acties aanpassen
Acties volgen standaard standaard de standaardsjablonen en -indeling voor meldingen. Maar u kunt sommige acties aanpassen, zelfs als ze worden beheerd door actiegroepen. Op dit moment is aanpassing mogelijk voor EmailSubject en WebhookPayload.
EmailSubject aanpassen voor een actiegroep
Het e-mailonderwerp voor waarschuwingen is standaard Waarschuwingsmelding <AlertName> voor <WorkspaceName>. Maar het onderwerp kan worden aangepast, zodat u woorden of tags kunt opgeven, zodat u eenvoudig filterregels kunt toepassen in uw Postvak IN. De details van de aangepaste e-mailkop moeten samen met ActionGroup de details worden verzonden, zoals in het volgende voorbeeld:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
}
Gebruik de methode Put met een unieke actie-id om een bestaande actiegroep te koppelen aan aanpassing voor een planning. Het volgende voorbeeld illustreert het gebruik:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Gebruik de methode Put met een bestaande actie-id om een actiegroep te wijzigen die is gekoppeld voor een planning. De hoofdtekst van de aanvraag moet de etag van de actie bevatten.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
WebhookPayload aanpassen voor een actiegroep
De webhook die via een actiegroep voor Log Analytics wordt verzonden, heeft standaard een vaste structuur. Maar u kunt de JSON-nettolading aanpassen met behulp van specifieke variabelen die worden ondersteund om te voldoen aan de vereisten van het webhook-eindpunt. Zie Webhookactie voor waarschuwingsregels voor zoeken in logboeken voor meer informatie.
De aangepaste webhookgegevens moeten samen met ActionGroup de details worden verzonden. Ze worden toegepast op alle webhook-URI's die zijn opgegeven in de actiegroep. Het volgende voorbeeld illustreert het gebruik:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
},
Gebruik de methode Put met een unieke actie-id om een bestaande actiegroep te koppelen aan aanpassing voor een planning. Het volgende voorbeeld illustreert het gebruik:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Gebruik de methode Put met een bestaande actie-id om een actiegroep te wijzigen die is gekoppeld voor een planning. De hoofdtekst van de aanvraag moet de etag van de actie bevatten.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Volgende stappen
- Gebruik de REST API om zoekopdrachten in logboeken uit te voeren in Log Analytics.
- Meer informatie over waarschuwingen voor zoeken in logboeken in Azure Monitor.
- Meer informatie over het maken, bewerken of beheren van waarschuwingsregels voor zoeken in logboeken in Azure Monitor.