Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come gestire le regole di avviso usando l'API legacy.
Importante
Come annunciato, l'API di avviso di Log Analytics verrà ritirata il 1° ottobre 2025. È necessario passare all'utilizzo dell'API delle regole delle query pianificate entro tale data per gli avvisi di ricerca dei log. Le aree di lavoro di Log Analytics create dopo il 1° giugno 2019 usano l'API scheduledQueryRules per gestire le regole di avviso. Passare all'API corrente nelle aree di lavoro precedenti per sfruttare i vantaggi delle regole di query pianificate di Azure Monitor.
L'API REST degli avvisi di Log Analytics consente di creare e gestire avvisi in Log Analytics. Questo articolo fornisce informazioni dettagliate sull'API e diversi esempi per l'esecuzione di operazioni diverse.
L'API REST di ricerca di Log Analytics è RESTful e può essere accessibile tramite l'API REST di Azure Resource Manager. In questo articolo sono disponibili esempi in cui l'API è accessibile da una riga di comando di PowerShell usando ARMClient. Questo strumento da riga di comando open source semplifica la chiamata dell'API di Azure Resource Manager.
L'uso di ARMClient e PowerShell è una delle molte opzioni che è possibile usare per accedere all'API di ricerca di Log Analytics. Con questi strumenti, è possibile usare l'API RESTful di Azure Resource Manager per effettuare chiamate alle aree di lavoro Log Analytics ed eseguire comandi di ricerca all'interno di essi. L'API restituisce i risultati della ricerca in formato JSON in modo da poter usare i risultati della ricerca in molti modi diversi a livello di codice.
Prerequisiti
Attualmente, gli avvisi possono essere creati solo con una ricerca salvata in Log Analytics. Per ulteriori informazioni, vedere l'API REST di ricerca log.
Pianificazioni
Una ricerca salvata può avere una o più pianificazioni. La pianificazione definisce la frequenza con cui viene eseguita la ricerca e l'intervallo di tempo in cui vengono identificati i criteri. Le pianificazioni hanno le proprietà descritte nella tabella seguente:
| Proprietà | Descrizione |
|---|---|
Interval |
Frequenza con cui viene eseguita la ricerca. Misurato in minuti. |
QueryTimeSpan |
Intervallo di tempo in cui vengono valutati i criteri. Deve essere uguale o maggiore di Interval. Misurato in minuti. |
Version |
Versione dell'API usata. Attualmente, questa impostazione deve essere 1sempre . |
Si consideri, ad esempio, una query di evento con un Interval valore di 15 minuti e un Timespan valore di 30 minuti. In questo caso, la query verrà eseguita ogni 15 minuti. Un avviso viene attivato se i criteri continuano a essere risolti true in un intervallo di 30 minuti.
Recuperare le pianificazioni
Utilizzare il metodo Get per recuperare tutte le pianificazioni per una ricerca salvata.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules?api-version=2015-03-20
Utilizzare il metodo Get con un ID pianificazione per recuperare una pianificazione specifica per una ricerca salvata.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
La risposta di esempio seguente è per una pianificazione:
{
"value": [{
"id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
"etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
"properties": {
"Interval": 15,
"QueryTimeSpan": 15,
"Enabled": true,
}
}]
}
Creare una programmazione
Utilizzare il metodo Put con un ID pianificazione univoco per creare una nuova pianificazione. Due pianificazioni non possono avere lo stesso ID anche se sono associate a ricerche salvate diverse. Quando si crea una pianificazione nella console di Log Analytics, viene creato un GUID per l'ID pianificazione.
Annotazioni
Il nome di tutte le ricerche salvate, le pianificazioni e le azioni create con l'API Log Analytics deve essere in lettere minuscole.
$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Modificare pianificazione
Utilizzare il metodo Put con un ID pianificazione esistente per la stessa ricerca salvata per modificare tale pianificazione. Nell'esempio seguente la pianificazione è disabilitata. Il corpo della richiesta deve includere l'etag della pianificazione.
$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Elimina pianificazioni
Utilizzare il metodo Elimina con un ID di pianificazione per eliminare una pianificazione.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Azioni
Una pianificazione può avere più azioni. Un'azione può definire uno o più processi da eseguire, ad esempio l'invio di un messaggio di posta elettronica o l'avvio di un runbook. Un'azione può anche definire una soglia che determina quando i risultati di una ricerca corrispondono ad alcuni criteri. Alcune azioni definiranno entrambi in modo che i processi vengano eseguiti quando viene raggiunta la soglia.
Tutte le azioni hanno le proprietà descritte nella tabella seguente. Diversi tipi di avvisi hanno altre proprietà diverse, descritte nella tabella seguente:
| Proprietà | Descrizione |
|---|---|
Type |
Tipo dell'azione. Attualmente, i valori possibili sono Alert e Webhook. |
Name |
Nome visualizzato per l'allerta. |
Version |
Versione dell'API usata. Attualmente, questa impostazione deve essere 1sempre . |
Recuperare le azioni
Utilizzare il metodo Get per recuperare tutte le azioni per una pianificazione.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20
Usare il metodo Get con l'ID azione per recuperare una determinata azione per una pianificazione.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20
Creare o modificare azioni
Usare il metodo Put con un ID azione univoco per la pianificazione per creare una nuova azione. Quando si crea un'azione nella console di Log Analytics, un GUID serve come ID dell'azione.
Annotazioni
Il nome di tutte le ricerche salvate, le pianificazioni e le azioni create con l'API Log Analytics deve essere in lettere minuscole.
Utilizzare il metodo Put con un ID azione esistente per la stessa ricerca salvata per modificare tale pianificazione. Il corpo della richiesta deve includere l'etag del programma.
Il formato della richiesta per la creazione di una nuova azione varia in base al tipo di azione, quindi questi esempi vengono forniti nelle sezioni seguenti.
Elimina azioni
Utilizzare il metodo Delete con l'ID azione per eliminare un'azione.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20
Azioni di avviso
Una pianificazione deve avere esclusivamente un'unica azione di allerta. Le azioni di avviso hanno una o più sezioni descritte nella tabella seguente:
| Sezione | Descrizione | Uso |
|---|---|---|
| Soglia | Criteri per l'esecuzione dell'azione. | Obbligatorio per ogni avviso, prima o dopo l'estensione ad Azure. |
| Severità | Etichetta usata per classificare l'avviso quando viene attivato. | Obbligatorio per ogni avviso, prima o dopo l'estensione ad Azure. |
| Reprimere | Opzione per fermare le notifiche degli avvisi. | Facoltativo per ogni avviso, prima o dopo l'estensione ad Azure. |
| Gruppi di azioni | ID di Azure ActionGroup in cui sono specificate le azioni richieste, come messaggi di posta elettronica, SMS, chiamate vocali, webhook, runbook di automazione e connettori ITSM. |
Obbligatorio dopo l'estensione degli avvisi ad Azure. |
| Personalizzare le azioni | Modificare l'output standard per le azioni selezionate da ActionGroup. |
Facoltativo per ogni avviso e può essere usato dopo l'estensione degli avvisi ad Azure. |
Soglie
Un'azione Avviso deve avere una sola soglia. Quando i risultati di una ricerca salvata corrispondono alla soglia in un'azione associata a tale ricerca, vengono eseguiti tutti gli altri processi in tale azione. Un'azione può contenere anche solo una soglia in modo che possa essere usata con azioni di altri tipi che non contengono soglie.
Le soglie hanno le proprietà descritte nella tabella seguente:
| Proprietà | Descrizione |
|---|---|
Operator |
Operatore per il confronto delle soglie. gt = Maggiore di lt = Minore di |
Value |
Valore per la soglia. |
Si consideri, ad esempio, una query di evento con un Interval valore di 15 minuti, una Timespan di 30 minuti e un Threshold valore maggiore di 10. In questo caso, la query verrà eseguita ogni 15 minuti. Un avviso viene attivato se restituisce 10 eventi creati in un intervallo di 30 minuti.
La risposta di esempio seguente è relativa a un'azione con solo :Threshold
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Version": 1
}
Usare il metodo Put con un ID azione univoco per creare una nuova azione soglia per una pianificazione.
$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Utilizzare il metodo Put con un ID azione esistente per modificare un'azione di soglia per una pianificazione. Il corpo della richiesta deve includere l'etag dell'azione.
$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Severità
Log Analytics consente di classificare gli avvisi in categorie per semplificare la gestione e la valutazione. I livelli di gravità degli avvisi sono informational, warninge critical. Queste categorie vengono mappate alla scala di gravità normalizzata degli avvisi di Azure, come illustrato nella tabella seguente:
| Livello di gravità di Log Analytics | Livello di gravità degli avvisi di Azure |
|---|---|
critical |
Sev 0 |
warning |
Sev 1 |
informational |
Sev 2 |
La risposta di esempio seguente riguarda un'azione con solo Threshold e Severity:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Severity": "critical",
"Version": 1
}
Usare il metodo Put con un ID azione univoco per creare una nuova azione per una pianificazione con Severity.
$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Usare il metodo Put con un ID azione esistente per modificare un'azione di gravità per una pianificazione. Il corpo della richiesta deve includere l'etag dell'azione.
$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Reprimere
Gli avvisi di query basati su Log Analytics vengono attivati ogni volta che la soglia viene raggiunta o superata. In base alla logica implicita nella query, un avviso potrebbe essere attivato per una serie di intervalli. Il risultato è che le notifiche vengono inviate costantemente. Per evitare questo scenario, è possibile impostare l'opzione Suppress che indica a Log Analytics di attendere un periodo di tempo stabilito prima che la notifica venga attivata la seconda volta per la regola di avviso.
Ad esempio, se Suppress è impostato per 30 minuti, l'avviso verrà attivato la prima volta e verranno inviate notifiche configurate. Attenderà quindi 30 minuti prima che la notifica per la regola di avviso venga usata di nuovo. Nel periodo provvisorio, la regola di avviso continuerà a essere eseguita. Solo la notifica viene eliminata da Log Analytics per un periodo di tempo specificato, indipendentemente dal numero di volte in cui la regola di avviso è stata attivata in questo periodo.
La Suppress proprietà di una regola di avviso di ricerca log viene specificata usando il Throttling valore . Il periodo di eliminazione viene specificato utilizzando il DurationInMinutes valore .
La risposta di esempio seguente riguarda un'azione con solo Thresholdle proprietà , Severitye Suppress .
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Throttling": {
"DurationInMinutes": 30
},
"Severity": "critical",
"Version": 1
}
Usare il metodo Put con un ID azione univoco per creare una nuova azione per una pianificazione con Severity.
$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Usare il metodo Put con un ID azione esistente per modificare un'azione di severità per una schedulazione. Il corpo della richiesta deve includere l'etag dell'azione.
$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Gruppi di azioni
Tutti gli avvisi in Azure usano il gruppo di azioni come meccanismo predefinito per la gestione delle azioni. Con un gruppo di azioni, è possibile specificare le azioni una sola volta e quindi associare il gruppo di azioni a più avvisi in Azure senza dover dichiarare ripetutamente le stesse azioni. I gruppi di azioni supportano più azioni, ad esempio posta elettronica, SMS, chiamata vocale, connessione ITSM, runbook di automazione e URI webhook.
Per gli utenti che hanno esteso gli avvisi in Azure, una pianificazione dovrebbe ora avere i dettagli del gruppo di azioni passati per Threshold poter creare un avviso. Prima di creare un avviso, è necessario definire i dettagli di posta elettronica, gli URL del webhook, i dettagli di automazione del runbook e altre azioni all'interno di un gruppo di azioni. È possibile creare un gruppo di azioni da Monitoraggio di Azure nel portale di Azure o usare l'API Gruppo di azioni.
Per associare un gruppo di azioni a un avviso, specificare l'ID univoco di Azure Resource Manager del gruppo di azioni nella definizione di avviso. L'esempio seguente illustra l'uso:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
]
},
"Severity": "critical",
"Version": 1
}
Utilizzare il metodo Put con un ID azione univoco per associare un gruppo di azioni già esistente per una pianificazione. L'esempio seguente illustra l'uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Utilizzare il metodo Put con un ID azione esistente per modificare un gruppo di azioni associato per una pianificazione. Il corpo della richiesta deve includere l'etag dell'azione.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personalizzare le azioni
Per impostazione predefinita, le azioni seguono i modelli standard e il formato per le notifiche. Tuttavia, è possibile personalizzare alcune azioni, anche se sono controllate dai gruppi di azioni. Attualmente, la personalizzazione è possibile per EmailSubject e WebhookPayload.
Personalizzare EmailSubject per un gruppo di azioni
Per impostazione predefinita, l'oggetto del messaggio di posta elettronica per gli avvisi è Notifica <AlertName> avvisi per <WorkspaceName>. Ma l'oggetto può essere personalizzato in modo da poter specificare parole o tag per consentire di usare facilmente le regole di filtro nella posta in arrivo. I dettagli dell'intestazione di posta elettronica personalizzati devono essere inviati insieme ActionGroup ai dettagli, come nell'esempio seguente:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
}
Utilizzare il metodo Put con un ID azione univoco per associare un gruppo di azioni esistente alla personalizzazione per una pianificazione. L'esempio seguente illustra l'uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Utilizzare il metodo Put con un ID azione esistente per modificare un gruppo di azioni associato per una pianificazione. Il corpo della richiesta deve includere l'etag dell'azione.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personalizzare WebhookPayload per un gruppo di azioni
Per impostazione predefinita, il webhook inviato tramite un gruppo di azioni per Log Analytics ha una struttura fissa. È tuttavia possibile personalizzare il payload JSON usando variabili specifiche supportate per soddisfare i requisiti dell'endpoint del webhook. Per altre informazioni, vedere Azione webhook per le regole di avviso di ricerca log.
I dettagli del webhook personalizzati devono essere inviati insieme ai ActionGroup dettagli. Verranno applicati a tutti gli URI del webhook specificati all'interno del gruppo di azioni. L'esempio seguente illustra l'uso:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
},
Utilizzare il metodo Put con un ID azione univoco per associare un gruppo di azioni esistente alla personalizzazione per una pianificazione. L'esempio seguente illustra l'uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Utilizzare il metodo Put con un ID azione esistente per modificare un gruppo di azioni associato per una pianificazione. Il corpo della richiesta deve includere l'etag dell'azione.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Passaggi successivi
- Usare l'API REST per eseguire ricerche nei log in Log Analytics.
- Informazioni sugli avvisi di ricerca log in Monitoraggio di Azure.
- Informazioni su come creare, modificare o gestire le regole di avviso di ricerca log in Monitoraggio di Azure.