Skapa och hantera Varningsregler i Log Analytics med REST APICreate and manage alert rules in Log Analytics with REST API

Log Analytics avisering REST-API kan du skapa och hantera aviseringar i Log Analytics.The Log Analytics Alert REST API allows you to create and manage alerts in Log Analytics. Den här artikeln innehåller information om API: et och flera exempel för att utföra olika åtgärder.This article provides details of the API and several examples for performing different operations.

Viktigt

Som du presenterade tidigare, kan Log Analytics-arbetsytor som skapats efter den 1 juni 2019 -hantera aviserings regler med bara Azure-scheduledQueryRules REST API, Azure Resource Manager-mall och PowerShell-cmdlet.As announced earlier, log analytics workspace(s) created after June 1, 2019 - will be able to manage alert rules using only Azure scheduledQueryRules REST API, Azure Resource Mananger Template and PowerShell cmdlet. Kunder kan enkelt ändra sina önskade metoder för varnings regel hantering för äldre arbets ytor för att utnyttja Azure Monitor scheduledQueryRules som standard och få många nya fördelar som möjligheten att använda inbyggda PowerShell-cmdlets, ökad lookback tids period i regler, skapande av regler i separata resurs grupper eller prenumerationer och mycket mer.Customers can easily switch their preferred means of alert rule management for older workspaces to leverage Azure Monitor scheduledQueryRules as default and gain many new benefits like the ability to use native PowerShell cmdlets, increased lookback time period in rules, creation of rules in separate resource group or subscription and much more.

Log Analytics Search REST API är RESTful och kan nås via Azure Resource Manager REST API.The Log Analytics Search REST API is RESTful and can be accessed via the Azure Resource Manager REST API. I det här dokumentet hittar du exempel där API: T hämtas från en PowerShell från kommandoraden med hjälp av ARMClient, ett kommandoradsverktyg för öppen källkod som förenklar anropar API: et för Azure Resource Manager.In this document, you will find examples where the API is accessed from a PowerShell command line using ARMClient, an open-source command-line tool that simplifies invoking the Azure Resource Manager API. Användning av ARMClient och PowerShell är ett av många alternativ för att få åtkomst till Log Analytics Search-API.The use of ARMClient and PowerShell is one of many options to access the Log Analytics Search API. Du kan använda RESTful Azure Resource Manager-API för att göra anrop till Log Analytics-arbetsytor och utföra sökkommandon i dem med de här verktygen.With these tools, you can utilize the RESTful Azure Resource Manager API to make calls to Log Analytics workspaces and perform search commands within them. API: et kommer mata ut sökresultat till dig i JSON-format, så att du kan använda sökresultaten på många olika sätt programmässigt.The API will output search results to you in JSON format, allowing you to use the search results in many different ways programmatically.

KravPrerequisites

Aviseringar kan för närvarande kan bara skapas med en sparad sökning i Log Analytics.Currently, alerts can only be created with a saved search in Log Analytics. Du kan referera till den Log Search REST API för mer information.You can refer to the Log Search REST API for more information.

SchemanSchedules

En sparad sökning kan ha ett eller flera scheman.A saved search can have one or more schedules. Schemat definierar hur ofta sökningen är kör och det tidsintervall som villkoren har identifierats.The schedule defines how often the search is run and the time interval over which the criteria is identified. Scheman har egenskaper i följande tabell.Schedules have the properties in the following table.

EgenskapProperty BeskrivningDescription
IntervallInterval Hur ofta sökningen körs.How often the search is run. Mätt i minuter.Measured in minutes.
QueryTimeSpanQueryTimeSpan Det tidsintervall som villkoren utvärderas.The time interval over which the criteria is evaluated. Måste vara lika med eller större än intervall.Must be equal to or greater than Interval. Mätt i minuter.Measured in minutes.
VersionVersion API-version som används.The API version being used. För närvarande ska detta alltid vara inställd på 1.Currently, this should always be set to 1.

Anta exempelvis att en fråga med ett intervall på 15 minuter och Timespan 30 minuter.For example, consider an event query with an Interval of 15 minutes and a Timespan of 30 minutes. I det här fallet frågan skulle köras var 15: e minut och en avisering skulle aktiveras om villkoren fortsatt att lösa till SANT över ett 30-minuters intervall.In this case, the query would be run every 15 minutes, and an alert would be triggered if the criteria continued to resolve to true over a 30-minute span.

Hämtning av schemanRetrieving schedules

Använda Get-metoden för att hämta alla scheman för en sparad sökning.Use the Get method to retrieve all schedules for a saved search.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules?api-version=2015-03-20

Använda Get-metoden med ett schema-ID för att hämta ett visst schema för en sparad sökning.Use the Get method with a schedule ID to retrieve a particular schedule for a saved search.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

Följande är ett exempelsvar för ett schema.Following is a sample response for a schedule.

{
    "value": [{
        "id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
        "etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
        "properties": {
            "Interval": 15,
            "QueryTimeSpan": 15,
            "Enabled": true,
        }
    }]
}

Skapa ett schemaCreating a schedule

Använda Put-metoden med ett unikt schema-ID för att skapa ett nytt schema.Use the Put method with a unique schedule ID to create a new schedule. Två scheman kan inte ha samma ID även om de är kopplade till olika sparade sökningar.Two schedules cannot have the same ID even if they are associated with different saved searches. När du skapar ett schema i Log Analytics-konsolen, skapas en GUID för schema-ID.When you create a schedule in the Log Analytics console, a GUID is created for the schedule ID.

Anteckning

Namnet på alla sparade sökningar, scheman och åtgärder som skapats med Log Analytics-API måste vara i gemener.The name for all saved searches, schedules, and actions created with the Log Analytics API must be in lowercase.

$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Ändringar i schematEditing a schedule

Använd metoden för att skicka med ett befintligt schema-ID för samma sparade sökning för att ändra schemat. i exemplet nedan är schemat inaktiverat.Use the Put method with an existing schedule ID for the same saved search to modify that schedule; in example below the schedule is disabled. Bröd texten i begäran måste innehålla etag för schemat.The body of the request must include the etag of the schedule.

  $scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
  armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Ta bort schemanDeleting schedules

Använd Delete-metoden med ett schema-ID för att ta bort ett schema.Use the Delete method with a schedule ID to delete a schedule.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

ÅtgärderActions

Ett schema kan ha flera åtgärder.A schedule can have multiple actions. En åtgärd kan definiera en eller flera processer för att utföra, till exempel skickar ett e-postmeddelande eller starta en runbook eller den kan definiera ett tröskelvärde som bestämmer när resultatet av en sökning som matchar vissa kriterier.An action may define one or more processes to perform such as sending a mail or starting a runbook, or it may define a threshold that determines when the results of a search match some criteria. Vissa åtgärder kommer definiera både så att processerna som utförs när tröskelvärdet är uppfyllt.Some actions will define both so that the processes are performed when the threshold is met.

Alla åtgärder har egenskaper i följande tabell.All actions have the properties in the following table. Olika typer av aviseringar har olika ytterligare egenskaper som beskrivs nedan.Different types of alerts have different additional properties, which are described below.

EgenskapProperty BeskrivningDescription
Type Typ av åtgärd.Type of the action. Möjliga värden är för närvarande aviseringen och Webhook.Currently the possible values are Alert and Webhook.
Name Visningsnamn för aviseringen.Display name for the alert.
Version API-version som används.The API version being used. För närvarande ska detta alltid vara inställd på 1.Currently, this should always be set to 1.

Hämta åtgärderRetrieving actions

Använda Get-metoden för att hämta alla åtgärder för ett schema.Use the Get method to retrieve all actions for a schedule.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20

Använd Get-metoden med åtgärds-ID för att hämta en viss åtgärd för ett schema.Use the Get method with the action ID to retrieve a particular action for a schedule.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20

Skapa eller redigera åtgärderCreating or editing actions

Använda Put-metoden med en åtgärds-ID som är unik för schema för att skapa en ny åtgärd.Use the Put method with an action ID that is unique to the schedule to create a new action. När du skapar en åtgärd i Log Analytics-konsolen, måste ett GUID för åtgärden-ID.When you create an action in the Log Analytics console, a GUID is for the action ID.

Anteckning

Namnet på alla sparade sökningar, scheman och åtgärder som skapats med Log Analytics-API måste vara i gemener.The name for all saved searches, schedules, and actions created with the Log Analytics API must be in lowercase.

Använda Put-metoden med en befintlig åtgärds-ID för samma sparad sökning om du vill ändra schemat.Use the Put method with an existing action ID for the same saved search to modify that schedule. Brödtexten i begäran måste innehålla etag för schemat.The body of the request must include the etag of the schedule.

Format för förfrågan för att skapa en ny åtgärd varierar åtgärdstyp så att de här exemplen finns i avsnitten nedan.The request format for creating a new action varies by action type so these examples are provided in the sections below.

Ta bort åtgärderDeleting actions

Använda Delete-metoden med åtgärds-ID för att ta bort en åtgärd.Use the Delete method with the action ID to delete an action.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20

AviseringsåtgärderAlert Actions

Ett schema måste ha en Aviseringsåtgärd.A Schedule should have one and only one Alert action. Aviseringsåtgärder har en eller flera av avsnitten i följande tabell.Alert actions have one or more of the sections in the following table. Beskrivs i mer detalj nedan.Each is described in further detail below.

SectionSection BeskrivningDescription AnvändningUsage
TröskelvärdeThreshold Kriterier för när åtgärden har körts.Criteria for when the action is run. Krävs för varje avisering före eller efter att de har utökats till Azure.Required for every alert, before or after they are extended to Azure.
AllvarsgradSeverity Etikett som används för att klassificera avisering när den utlöses.Label used to classify alert when triggered. Krävs för varje avisering före eller efter att de har utökats till Azure.Required for every alert, before or after they are extended to Azure.
UtelämnaSuppress Alternativet för att stoppa meddelanden från aviseringen.Option to stop notifications from alert. Valfritt för varje avisering innan eller efter att de har utökats till Azure.Optional for every alert, before or after they are extended to Azure.
ÅtgärdsgrupperAction Groups ID: N för Azure ActionGroup där åtgärder som krävs har angetts, - e-postmeddelanden, SMSs, röstsamtal, Webhooks, Automation-Runbooks, ITSM-anslutningsprogram, t.ex.IDs of Azure ActionGroup where actions required are specified, like - E-Mails, SMSs, Voice Calls, Webhooks, Automation Runbooks, ITSM Connectors, etc. Krävs när aviseringar har utökats till AzureRequired once alerts are extended to Azure
Anpassa åtgärderCustomize Actions Ändra standardutdata för väljer åtgärder från ActionGroupModify the standard output for select actions from ActionGroup Du kan använda valfritt för varje avisering när aviseringar har utökats till Azure.Optional for every alert, can be used after alerts are extended to Azure.

TröskelThresholds

En Aviseringsåtgärd bör ha ett och endast ett tröskelvärde.An Alert action should have one and only one threshold. När resultatet av en sparad sökning matchar tröskelvärdet i en åtgärd som är associerade med sökningen, körs alla andra processer i åtgärden.When the results of a saved search match the threshold in an action associated with that search, then any other processes in that action are run. En åtgärd kan också innehålla endast ett tröskelvärde så att den kan användas med åtgärder från andra typer som inte innehåller tröskelvärden.An action can also contain only a threshold so that it can be used with actions of other types that don’t contain thresholds.

Tröskelvärden har egenskaper i följande tabell.Thresholds have the properties in the following table.

EgenskapProperty BeskrivningDescription
Operator Operator för tröskelvärde för jämförelse.Operator for the threshold comparison.
gt = större ängt = Greater Than
lt = mindre änlt = Less Than
Value Värde för tröskelvärdet.Value for the threshold.

Anta exempelvis att en fråga med ett intervall på 15 minuter, Timespan 30 minuter och ett tröskelvärde för större än 10.For example, consider an event query with an Interval of 15 minutes, a Timespan of 30 minutes, and a Threshold of greater than 10. I det här fallet frågan skulle köras var 15: e minut och en avisering ska utlösas om 10 händelser som har skapats under en 30-minuters returnerades.In this case, the query would be run every 15 minutes, and an alert would be triggered if it returned 10 events that were created over a 30-minute span.

Följande är ett exempelsvar för en åtgärd med bara ett tröskelvärde.Following is a sample response for an action with only a threshold.

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
    "Type": "Alert",
    "Name": "My threshold action",
    "Threshold": {
        "Operator": "gt",
        "Value": 10
    },
    "Version": 1
}

Använda Put-metoden med en unik åtgärds-ID för att skapa en ny åtgärd för tröskelvärde för ett schema.Use the Put method with a unique action ID to create a new threshold action for a schedule.

$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

Använda Put-metoden med en befintlig åtgärds-ID om du vill ändra en åtgärd för tröskelvärde för ett schema.Use the Put method with an existing action ID to modify a threshold action for a schedule. Brödtexten i begäran måste innehålla etag för åtgärden.The body of the request must include the etag of the action.

$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

AllvarsgradSeverity

Log Analytics kan du klassificera aviseringar i kategorier så att enklare hantering och prioritering.Log Analytics allows you to classify your alerts into categories, to allow easier management and triage. Aviseringens allvarlighetsgrad definierats är: information, varning och kritiskt.The Alert severity defined is: informational, warning, and critical. Dessa är mappade till normaliserade allvarlighetsgrad skalan för Azure-aviseringar som:These are mapped to the normalized severity scale of Azure Alerts as:

Allvarlighetsgrad för log AnalyticsLog Analytics Severity Level Allvarlighetsgrad för Azure-aviseringarAzure Alerts Severity Level
critical Sev 0Sev 0
warning Sev 1Sev 1
informational Sev 2Sev 2

Följande är ett exempelsvar för en åtgärd med ett tröskelvärde och allvarlighetsgrad.Following is a sample response for an action with only a threshold and severity.

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
    "Type": "Alert",
    "Name": "My threshold action",
    "Threshold": {
        "Operator": "gt",
        "Value": 10
    },
    "Severity": "critical",
    "Version": 1    }

Använda Put-metoden med en unika åtgärds-ID för att skapa en ny åtgärd för ett schema med allvarlighetsgrad.Use the Put method with a unique action ID to create a new action for a schedule with severity.

$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Använda Put-metoden med en befintlig åtgärds-ID om du vill ändra en allvarlighetsgrad-åtgärd för ett schema.Use the Put method with an existing action ID to modify a severity action for a schedule. Brödtexten i begäran måste innehålla etag för åtgärden.The body of the request must include the etag of the action.

$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

UtelämnaSuppress

Log Analytics bygger fråga aviseringar utlöses varje gång tröskelvärde har uppnåtts eller överskridits.Log Analytics based query alerts will fire every time threshold is met or exceeded. Baserat på logiken underförstådd i frågan kan detta resultera i aviseringen komma utlöses för en serie intervall och kan därför meddelanden också skickas kontinuerligt.Based on the logic implied in the query, this may result in alert getting fired for a series of intervals and hence notifications also being sent constantly. För att förhindra sådana scenariot kan en användare ange utelämna alternativet anvisningar om hur Log Analytics för att vänta tills en stipulerade lång tid innan meddelande utlöses den andra gången för regeln.To prevent such scenario, a user can set Suppress option instructing Log Analytics to wait for a stipulated amount of time before notification is fired the second time for the alert rule. Om utelämna anges under 30 minuter. sedan kommer aviseringen utlöses första gången och skicka meddelanden som har konfigurerats.So if suppress is set for 30 minutes; then alert will fire the first time and send notifications configured. Men sedan vänta i 30 minuter innan meddelandet för regeln används igen.But then wait for 30 minutes, before notification for the alert rule is again used. Varningsregeln fortsätter att köras i övergångsperioden, – endast meddelande undertrycks av Log Analytics för angiven tidpunkt, oavsett hur många gånger varningsregeln har utlösts under den här perioden.In the interim period, alert rule will continue to run - only notification is suppressed by Log Analytics for specified time, regardless of how many times the alert rule fired in this period.

Utelämna egenskapen för Log Analytics varningsregel anges med hjälp av den begränsning värde och den Undertryckning period med DurationInMinutes värde.Suppress property of Log Analytics alert rule is specified using the Throttling value and the suppression period using DurationInMinutes value.

Följande är ett exempel svar för en åtgärd med endast egenskapen Threshold, allvarlighets grad och utelämnaFollowing is a sample response for an action with only a threshold, severity, and suppress property

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
    "Type": "Alert",
    "Name": "My threshold action",
    "Threshold": {
        "Operator": "gt",
        "Value": 10
    },
    "Throttling": {
      "DurationInMinutes": 30
    },
    "Severity": "critical",
    "Version": 1    }

Använda Put-metoden med en unika åtgärds-ID för att skapa en ny åtgärd för ett schema med allvarlighetsgrad.Use the Put method with a unique action ID to create a new action for a schedule with severity.

$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Använda Put-metoden med en befintlig åtgärds-ID om du vill ändra en allvarlighetsgrad-åtgärd för ett schema.Use the Put method with an existing action ID to modify a severity action for a schedule. Brödtexten i begäran måste innehålla etag för åtgärden.The body of the request must include the etag of the action.

$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

ÅtgärdsgrupperAction Groups

Alla aviseringar i Azure, använda åtgärdsgrupp som standardmekanism för att hantera åtgärder.All alerts in Azure, use Action Group as the default mechanism for handling actions. Med åtgärdsgrupp kan du ange dina åtgärder en gång och sedan associerar åtgärdsgrupp att flera aviseringar – i Azure.With Action Group, you can specify your actions once and then associate the action group to multiple alerts - across Azure. Utan att behöva flera gånger deklarera samma åtgärder om och om igen.Without the need, to repeatedly declare the same actions over and over again. Åtgärdsgrupper stöd för flera åtgärder – inklusive e-post, SMS, röstsamtal, ITSM-anslutningen, Automation-Runbook, Webhook URI med mera.Action Groups support multiple actions - including email, SMS, Voice Call, ITSM Connection, Automation Runbook, Webhook URI and more.

För användare som har utökat sina aviseringar till Azure bör ett schema nu ha åtgärds grupp information som skickas tillsammans med tröskelvärdet för att kunna skapa en avisering.For users who have extended their alerts into Azure - a schedule should now have Action Group details passed along with threshold, to be able to create an alert. Information om e-post, Webhook-URL: er, Runbook Automation-information och andra åtgärder måste vara definierade i sida en åtgärdsgrupp innan du kan skapa en avisering; går att skapa åtgärdsgrupp från Azure Monitor i portalen eller Använd åtgärd grupp API.E-mail details, Webhook URLs, Runbook Automation details, and other Actions, need to be defined in side an Action Group first before creating an alert; one can create Action Group from Azure Monitor in Portal or use Action Group API.

Ange det unika Azure Resource Manager-ID för åtgärdsgruppen i varningsdefinitionen för att lägga till associationen mellan åtgärdsgrupp till en avisering.To add association of action group to an alert, specify the unique Azure Resource Manager ID of the action group in the alert definition. En exempel-bilden finns nedan:A sample illustration is provided below:

 "etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
  "properties": {
    "Type": "Alert",
    "Name": "test-alert",
    "Description": "I need to put a description here",
    "Threshold": {
      "Operator": "gt",
      "Value": 12
    },
    "AzNsNotification": {
      "GroupIds": [
        "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ]
    },
    "Severity": "critical",
    "Version": 1
  },

Använda Put-metoden med en unika åtgärds-ID för att associera redan befintlig åtgärdsgrupp för ett schema.Use the Put method with a unique action ID to associate already existing Action Group for a schedule. Följande är ett Exempelillustration av användning.The following is a sample illustration of usage.

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Använda Put-metoden med en befintlig åtgärds-ID om du vill ändra en åtgärdsgrupp som är associerade för ett schema.Use the Put method with an existing action ID to modify an Action Group associated for a schedule. Brödtexten i begäran måste innehålla etag för åtgärden.The body of the request must include the etag of the action.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Anpassa åtgärderCustomize Actions

Följ standardmall och format för meddelanden av standardåtgärder.By default actions, follow standard template and format for notifications. Men användaren kan anpassa vissa åtgärder, även om de styrs av åtgärdsgrupper.But user can customize some actions, even if they are controlled by Action Groups. För närvarande är det möjligt för e-postmeddelandets ämne och Webhook-nyttolasten med anpassning.Currently, customization is possible for Email Subject and Webhook Payload.

Anpassa e-postämne för åtgärdsgruppCustomize E-Mail Subject for Action Group

Ämne för aviseringar är som standard: avisering om <AlertName> för <WorkspaceName>.By default, the email subject for alerts is: Alert Notification <AlertName> for <WorkspaceName>. Men detta kan anpassas, så att du kan vissa specifika ord eller taggar – så att du kan enkelt använda filterregler i din inkorg.But this can be customized, so that you can specific words or tags - to allow you to easily employ filter rules in your Inbox. Anpassa e-huvudet information behöver skicka tillsammans med ActionGroup information, som i exemplet nedan.The customize email header details need to send along with ActionGroup details, as in sample below.

 "etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
  "properties": {
    "Type": "Alert",
    "Name": "test-alert",
    "Description": "I need to put a description here",
    "Threshold": {
      "Operator": "gt",
      "Value": 12
    },
    "AzNsNotification": {
      "GroupIds": [
        "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
      "CustomEmailSubject": "Azure Alert fired"
    },
    "Severity": "critical",
    "Version": 1
  },

Använda Put-metoden med en unik åtgärds-ID för att associera redan befintlig åtgärdsgrupp med anpassning för ett schema.Use the Put method with a unique action ID to associate already existing Action Group with customization for a schedule. Följande är ett Exempelillustration av användning.The following is a sample illustration of usage.

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Använda Put-metoden med en befintlig åtgärds-ID om du vill ändra en åtgärdsgrupp som är associerade för ett schema.Use the Put method with an existing action ID to modify an Action Group associated for a schedule. Brödtexten i begäran måste innehålla etag för åtgärden.The body of the request must include the etag of the action.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Anpassa Webhook-nyttolasten för åtgärdsgruppCustomize Webhook Payload for Action Group

Webhooken som skickas via åtgärdsgrupp för log analytics har en fast struktur som standard.By default, the webhook sent via Action Group for log analytics has a fixed structure. Men en kan anpassa JSON-nyttolasten med hjälp av specifika variabler som stöds för att uppfylla kraven för webhook-slutpunkt.But one can customize the JSON payload by using specific variables supported, to meet requirements of the webhook endpoint. Mer information finns i Webhook-åtgärd för loggaviseringsregler.For more information, see Webhook action for log alert rules.

Anpassa webhook information måste du skicka tillsammans med ActionGroup information och ska tillämpas på alla Webhook URI som anges i åtgärdsgruppen; som i exemplet nedan.The customize webhook details need to send along with ActionGroup details and will be applied to all Webhook URI specified inside the action group; as in sample below.

 "etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
  "properties": {
    "Type": "Alert",
    "Name": "test-alert",
    "Description": "I need to put a description here",
    "Threshold": {
      "Operator": "gt",
      "Value": 12
    },
    "AzNsNotification": {
      "GroupIds": [
        "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
      "CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
      "CustomEmailSubject": "Azure Alert fired"
    },
    "Severity": "critical",
    "Version": 1
  },

Använda Put-metoden med en unik åtgärds-ID för att associera redan befintlig åtgärdsgrupp med anpassning för ett schema.Use the Put method with a unique action ID to associate already existing Action Group with customization for a schedule. Följande är ett Exempelillustration av användning.The following is a sample illustration of usage.

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Använda Put-metoden med en befintlig åtgärds-ID om du vill ändra en åtgärdsgrupp som är associerade för ett schema.Use the Put method with an existing action ID to modify an Action Group associated for a schedule. Brödtexten i begäran måste innehålla etag för åtgärden.The body of the request must include the etag of the action.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Nästa stegNext steps