Běžné schéma upozornění
Běžné schéma upozornění standardizuje spotřebu oznámení upozornění služby Azure Monitor. Historicky, protokol aktivit, metriky a upozornění prohledávání protokolů měly každá z nich vlastní e-mailové šablony a schémata webhooků. Společné schéma upozornění poskytuje jedno standardizované schéma pro všechna oznámení výstrah.
Použití standardizovaného schématu pomáhá minimalizovat počet integrací, což zjednodušuje proces správy a údržby integrací. Běžné schéma umožňuje širší možnosti využívání výstrah na webu Azure Portal i v mobilní aplikaci Azure.
Schéma běžných upozornění poskytuje konzistentní strukturu pro:
- E-mailové šablony: Pomocí podrobné e-mailové šablony můžete na první pohled diagnostikovat problémy. Vložené odkazy na instanci upozornění na portálu a ovlivněný prostředek zajistí, že můžete rychle přejít na proces nápravy.
- Struktura JSON: Pomocí konzistentní struktury JSON můžete vytvářet integrace pro všechny typy upozornění pomocí:
- Azure Logic Apps
- Azure Functions
- Runbook Azure Automation
Poznámka:
Struktura společného schématu
Běžné schéma obsahuje informace o ovlivněném prostředku a příčině výstrahy v těchto částech:
Základní informace: Standardizovaná pole používaná všemi typy výstrah, které popisují prostředek ovlivněný výstrahou a běžná metadata výstrah, jako je závažnost nebo popis.
Pokud chcete směrovat instance upozornění na konkrétní týmy na základě kritérií, jako je skupina prostředků, můžete pomocí polí v části Základy poskytnout logiku směrování pro všechny typy upozornění. Týmy, které obdrží oznámení o upozornění, pak můžou pro šetření použít kontextová pole.
Kontext výstrahy: Pole, která se liší v závislosti na typu výstrahy. Kontextová pole výstrahy popisují příčinu výstrahy. Upozornění na metriku by například měla pole, jako je název metriky a hodnota metriky v kontextu upozornění. Výstraha protokolu aktivit by měla informace o události, která výstrahu vygenerovala.
Vlastní vlastnosti: Další informace, které nejsou zahrnuté do datové části výstrahy ve výchozím nastavení, mohou být zahrnuty do datové části výstrahy pomocí vlastních vlastností. Vlastní vlastnosti jsou dvojice Klíč:Hodnota , která může obsahovat všechny informace nakonfigurované v pravidle upozornění.
Ukázková datová část upozornění
{
"schemaId": "azureMonitorCommonAlertSchema",
"data": {
"essentials": {
"alertId": "/subscriptions/<subscription ID>/providers/Microsoft.AlertsManagement/alerts/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"alertRule": "WCUS-R2-Gen2",
"severity": "Sev3",
"signalType": "Metric",
"monitorCondition": "Resolved",
"monitoringService": "Platform",
"alertTargetIDs": [
"/subscriptions/<subscription ID>/resourcegroups/pipelinealertrg/providers/microsoft.compute/virtualmachines/wcus-r2-gen2"
],
"configurationItems": [
"wcus-r2-gen2"
],
"originAlertId": "3f2d4487-b0fc-4125-8bd5-7ad17384221e_PipeLineAlertRG_microsoft.insights_metricAlerts_WCUS-R2-Gen2_-117781227",
"firedDateTime": "2019-03-22T13:58:24.3713213Z",
"resolvedDateTime": "2019-03-22T14:03:16.2246313Z",
"description": "",
"essentialsVersion": "1.0",
"alertContextVersion": "1.0"
},
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 7.727
}
]
}
},
"customProperties": {
"Key1": "Value1",
"Key2": "Value2"
}
}
}
Ukázkové výstrahy, které používají společné schéma, najdete v části Ukázkové datové části upozornění.
Pole Základy
| Pole | Popis |
|---|---|
| alertId | Jedinečné ID prostředku, které identifikuje instanci výstrahy. |
| alertRule | Název pravidla upozornění, které vygenerovalo instanci výstrahy. |
| Závažnost | Závažnost výstrahy. Možné hodnoty jsou Sev0, Sev1, Sev2, Sev3 nebo Sev4. |
| signalType | Identifikuje signál, na kterém bylo definováno pravidlo upozornění. Možné hodnoty jsou metrika, protokol nebo protokol aktivit. |
| MonitorCondition | Když se aktivuje výstraha, nastaví se stav monitorování výstrahy na hodnotu Aktivováno. Pokud se základní podmínka, která způsobila, že výstraha aktivovala, vymaže, nastaví se podmínka monitorování na Hodnotu Vyřešeno. |
| monitoringService | Monitorovací služba nebo řešení, které výstrahu vygenerovalo. Monitorovací služba určuje, která pole jsou v kontextu výstrahy. |
| alertTargetIDs | Seznam ID Azure Resource Manageru, které jsou ovlivněné cíli výstrahy. Upozornění prohledávání protokolu definované v pracovním prostoru služby Log Analytics nebo instanci Application Insights je to příslušný pracovní prostor nebo aplikace. |
| configurationItems | Seznam ovlivněných prostředků výstrahy V některých případech se položky konfigurace můžou lišit od cílů upozornění. Například v upozorněních prohledávání protokolů nebo protokolů definovaných v pracovním prostoru služby Log Analytics jsou položky konfigurace skutečnými prostředky odesílajícími data, nikoli v pracovním prostoru.
configurationItems ITSM se toto pole používá ke korelaci výstrah s prostředky v databázi správy konfigurace. |
| originAlertId | ID instance výstrahy vygenerované službou monitorování, která ji generuje. |
| firedDateTime | Datum a čas, kdy byla instance výstrahy aktivována ve standardu UTC (Coordinated Universal Time). |
| resolvedDateTime | Datum a čas, kdy je podmínka monitorování instance výstrahy nastavená na Hodnotu Vyřešeno v UTC. Aktuálně platí jenom pro upozornění na metriky. |
| description | Popis, jak je definováno v pravidle upozornění. |
| alertRuleID | ID pravidla upozornění, které vygenerovalo instanci výstrahy. |
| resourceType | Typ prostředku ovlivněný výstrahou. |
| resourceGroupName | Název skupiny prostředků pro ovlivněný prostředek |
| essentialsVersion | Číslo verze pro část Základy. |
| alertContextVersion | Číslo verze oddílu alertContext . |
| investigationLink | Odkaz na prozkoumání výstrahy ve službě Azure Monitor V současné době vyžaduje omezenou registraci ve verzi Preview. |
Kontextová pole upozornění pro upozornění metrik
| Pole | Popis |
|---|---|
| vlastnosti | (Volitelné.) Kolekce vlastností definovaných zákazníkem. |
| conditionType | Typ podmínky vybrané pro pravidlo upozornění: - statická prahová hodnota – dynamická prahová hodnota - webtest |
| condition | |
| windowSize | Časové období analyzované pravidlem upozornění. |
| allOf | Označuje, že všechny podmínky definované v pravidle upozornění musí být splněny, aby se aktivovalo upozornění. |
| upozorněníSensitivity | V pravidle upozornění s dynamickou prahovou hodnotou určuje, jak je pravidlo citlivé nebo kolik hodnoty se může odlišovat od horní nebo nižší prahové hodnoty. |
| selháníPeriods | V pravidlu upozornění s dynamickou prahovou hodnotou je počet období vyhodnocení, která nesplňují prahovou hodnotu upozornění, která aktivují výstrahu. Můžete například označit, že se výstraha aktivuje, když 3 z posledních pěti období vyhodnocení nejsou v rámci prahových hodnot upozornění. |
| numberOfEvaluationPeriods | Celkový počet vyhodnocení. |
| minFailingPeriodsToAlert | Minimální počet vyhodnocení, která nesplňují podmínky pravidla upozornění. |
| ignoreDataBefore | (Volitelné.) V pravidlu upozornění s dynamickou prahovou hodnotou je datum, ze kterého se prahová hodnota vypočítá. Tuto hodnotu použijte k označení, že pravidlo by nemělo vypočítat dynamickou prahovou hodnotu pomocí dat před zadaným datem. |
| metricName | Název metriky monitorované pravidlem upozornění |
| metricNamespace | Obor názvů metrik monitorované pravidlem upozornění. |
| operator | Logický operátor pravidla upozornění. |
| threshold | Prahová hodnota definovaná v pravidle upozornění. Pro pravidlo upozornění s dynamickou prahovou hodnotou je tato hodnota vypočítanou prahovou hodnotou. |
| timeAggregation | Typ agregace pravidla upozornění. |
| dimensions | Dimenze metriky, která výstrahu aktivovala. |
| name | Název dimenze. |
| hodnota | Hodnota dimenze. |
| metricValue | Hodnota metriky v době, kdy porušila prahovou hodnotu. |
| webTestName | Pokud je webtesttyp podmínky , název webového testu. |
| windowStartTime | Počáteční čas vyhodnocení, ve kterém se výstraha aktivovala. |
| windowEndTime | Koncový čas okna vyhodnocení, ve kterém se výstraha aktivovala. |
Ukázkové upozornění na metriku se statickou prahovou hodnotou při monitorováníService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "SingleResourceMultipleMetricCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Percentage CPU",
"metricNamespace": "Microsoft.Compute/virtualMachines",
"operator": "GreaterThan",
"threshold": "25",
"timeAggregation": "Average",
"dimensions": [
{
"name": "ResourceId",
"value": "3efad9dc-3d50-4eac-9c87-8b3fd6f97e4e"
}
],
"metricValue": 31.1105
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Ukázkové upozornění na metriku s dynamickou prahovou hodnotou při monitorováníService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "DynamicThresholdCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"alertSensitivity": "High",
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"ignoreDataBefore": null,
"metricName": "Egress",
"metricNamespace": "microsoft.storage/storageaccounts",
"operator": "GreaterThan",
"threshold": "47658",
"timeAggregation": "Total",
"dimensions": [],
"metricValue": 50101
}
],
"windowStartTime": "2021-07-20T05:07:26.363Z",
"windowEndTime": "2021-07-20T05:12:26.363Z"
}
}
}
Ukázkové upozornění na metriku pro testy dostupnosti při monitorováníService = Platform
{
"alertContext": {
"properties": null,
"conditionType": "WebtestLocationAvailabilityCriteria",
"condition": {
"windowSize": "PT5M",
"allOf": [
{
"metricName": "Failed Location",
"metricNamespace": null,
"operator": "GreaterThan",
"threshold": "2",
"timeAggregation": "Sum",
"dimensions": [],
"metricValue": 5,
"webTestName": "myAvailabilityTest-myApplication"
}
],
"windowStartTime": "2019-03-22T13:40:03.064Z",
"windowEndTime": "2019-03-22T13:45:03.064Z"
}
}
}
Kontextová pole upozornění pro upozornění prohledávání protokolu
Poznámka:
Když povolíte společné schéma, pole v datové části se resetují na běžná pole schématu. Upozornění prohledávání protokolů proto mají tato omezení týkající se běžného schématu:
- Běžné schéma není podporováno pro upozornění prohledávání protokolů pomocí webhooků s vlastním předmětem e-mailu nebo datovou částí JSON, protože běžné schéma přepíše vlastní konfigurace.
- Výstrahy používající běžné schéma mají horní limit velikosti 256 kB na výstrahu. Pokud datová část upozornění prohledávání protokolu obsahuje výsledky hledání, které způsobí, že upozornění překročí maximální velikost, výsledky hledání se nevloží do datové části upozornění prohledávání protokolu. Můžete zkontrolovat, jestli datová část obsahuje výsledky hledání s příznakem
IncludedSearchResults. Pokud výsledky hledání nejsou zahrnuté, použijteLinkToFilteredSearchResultsAPIneboLinkToSearchResultsAPIpřistupujte k výsledkům dotazů pomocí rozhraní LOG Analytics API .
| Pole | Popis |
|---|---|
| SearchQuery | Dotaz definovaný v pravidle upozornění. |
| SearchIntervalStartTimeUtc | Čas zahájení vyhodnocení, ve kterém se výstraha aktivovala v UTC. |
| SearchIntervalEndTimeUtc | Koncový čas okna vyhodnocení, ve kterém se výstraha aktivovala v UTC. |
| ResultCount | Počet záznamů vrácených dotazem. Pro pravidla měření metriky počet nebo záznamy, které odpovídají konkrétní kombinaci dimenzí. |
| LinkToSearchResults | Odkaz na výsledky hledání |
| LinkToFilteredSearchResultsUI | V případě pravidel měření metrik je odkaz na výsledky hledání po jejich filtrování kombinacemi dimenzí. |
| LinkToSearchResultsAPI | Odkaz na výsledky dotazu pomocí rozhraní LOG Analytics API. |
| LinkToFilteredSearchResultsAPI | V případě pravidel měření metrik odkaz na výsledky hledání pomocí rozhraní LOG Analytics API po jejich filtrování pomocí kombinací dimenzí. |
| SearchIntervalDurationMin | Celkový počet minut v intervalu hledání. |
| SearchIntervalInMin | Celkový počet minut v intervalu hledání. |
| Prahová hodnota | Prahová hodnota definovaná v pravidle upozornění. |
| Operátor | Operátor definovaný v pravidle upozornění. |
| ApplicationID | ID Application Insights, na kterém se výstraha aktivovala. |
| Dimenze | Pro pravidla měření metriky dimenze metriky, na kterých byla výstraha aktivována. |
| name | Název dimenze. |
| hodnota | Hodnota dimenze. |
| SearchResults | Kompletní výsledky hledání. |
| table | Tabulka výsledků hledání. |
| name | Název tabulky ve výsledcích hledání |
| sloupce | Sloupce v tabulce. |
| name | Název sloupce. |
| type | Typ sloupce. |
| řádky | Řádky v tabulce. |
| Zdroje dat | Zdroje dat, na kterých se výstraha aktivovala. |
| RESOURCEID | ID prostředku ovlivněné výstrahou. |
| V tabulkách | Tabulky konceptů odpovědí zahrnuté v dotazu. |
| IncludedSearchResults | Příznak označující, jestli datová část by měla obsahovat výsledky. |
| AlertType | Typ výstrahy: - Měření metriky - Počet výsledků |
Ukázkové upozornění prohledávání protokolu při monitorováníService = Log Analytics
{
"alertContext": {
"SearchQuery": "Perf | where ObjectName == \"Processor\" and CounterName == \"% Processor Time\" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), Computer",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:31 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:31 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/#Analyticsblade/search/index?_timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"LinkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/workspaces/workspaceID/query?query=Heartbeat×pan=2020-05-07T18%3a11%3a51.0000000Z%2f2020-05-07T18%3a16%3a51.0000000Z",
"SeverityDescription": "Warning",
"WorkspaceId": "12345a-1234b-123c-123d-12345678e",
"SearchIntervalDurationMin": "15",
"AffectedConfigurationItems": [
"INC-Gen2Alert"
],
"SearchIntervalInMinutes": "15",
"Threshold": 10000,
"Operator": "Less Than",
"Dimensions": [
{
"name": "Computer",
"value": "INC-Gen2Alert"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Computer",
"type": "string"
},
{
"name": "TimeGenerated",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Ukázkové upozornění prohledávání protokolu při monitorováníService = Application Insights
{
"alertContext": {
"SearchQuery": "requests | where resultCode == \"500\" | summarize AggregatedValue = Count by bin(Timestamp, 5m), IP",
"SearchIntervalStartTimeUtc": "3/22/2019 1:36:33 PM",
"SearchIntervalEndtimeUtc": "3/22/2019 1:51:33 PM",
"ResultCount": 2,
"LinkToSearchResults": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToFilteredSearchResultsUI": "https://portal.azure.com/AnalyticsBlade/subscriptions/12345a-1234b-123c-123d-12345678e/?query=search+*+&timeInterval.intervalEnd=2018-03-26T09%3a10%3a40.0000000Z&_timeInterval.intervalDuration=3600&q=Usage",
"LinkToSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"LinkToFilteredSearchResultsAPI": "https://api.applicationinsights.io/v1/apps/0MyAppId0/metrics/requests/count",
"SearchIntervalDurationMin": "15",
"SearchIntervalInMinutes": "15",
"Threshold": 10000.0,
"Operator": "Less Than",
"ApplicationId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"Dimensions": [
{
"name": "IP",
"value": "1.1.1.1"
}
],
"SearchResults": {
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "$table",
"type": "string"
},
{
"name": "Id",
"type": "string"
},
{
"name": "Timestamp",
"type": "datetime"
}
],
"rows": [
[
"Fabrikam",
"33446677a",
"2018-02-02T15:03:12.18Z"
],
[
"Contoso",
"33445566b",
"2018-02-02T15:16:53.932Z"
]
]
}
],
"dataSources": [
{
"resourceId": "/subscriptions/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a/resourcegroups/test/providers/microsoft.operationalinsights/workspaces/test",
"tables": [
"Heartbeat"
]
}
]
},
"IncludedSearchResults": "True",
"AlertType": "Metric measurement"
}
}
Ukázkové upozornění prohledávání protokolu při monitorováníService = upozornění protokolu V2
Poznámka:
Pravidla upozornění prohledávání protokolu z rozhraní API verze 2020-05-01 používají tento typ datové části, který podporuje pouze běžné schéma. Výsledky hledání se při použití této verze nevkládají do datové části upozornění prohledávání protokolu. Pomocí dimenzí můžete poskytnout kontext aktivovaným výstrahám. Pomocí rozhraní LOG Analytics API můžete také získat LinkToFilteredSearchResultsAPI LinkToSearchResultsAPI přístup k výsledkům dotazů. Pokud je nutné vložit výsledky, použijte aplikaci logiky s poskytnutými odkazy k vygenerování vlastní datové části.
{
"alertContext": {
"properties": {
"name1": "value1",
"name2": "value2"
},
"conditionType": "LogQueryCriteria",
"condition": {
"windowSize": "PT10M",
"allOf": [
{
"searchQuery": "Heartbeat",
"metricMeasureColumn": "CounterValue",
"targetResourceTypes": "['Microsoft.Compute/virtualMachines']",
"operator": "LowerThan",
"threshold": "1",
"timeAggregation": "Count",
"dimensions": [
{
"name": "Computer",
"value": "TestComputer"
}
],
"metricValue": 0.0,
"failingPeriods": {
"numberOfEvaluationPeriods": 1,
"minFailingPeriodsToAlert": 1
},
"linkToSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsUI": "https://portal.azure.com#@12345a-1234b-123c-123d-12345678e/blade/Microsoft_Azure_Monitoring_Logs/LogsBlade/source/Alerts.EmailLinks/scope/%7B%22resources%22%3A%5B%7B%22resourceId%22%3A%22%2Fsubscriptions%212345a-1234b-123c-123d-12345678e%2FresourceGroups%2FContoso%2Fproviders%2FMicrosoft.Compute%2FvirtualMachines%2FContoso%22%7D%5D%7D/q/eJzzSE0sKklKTSypUSjPSC1KVQjJzE11T81LLUosSU1RSEotKU9NzdNIAfJKgDIaRgZGBroG5roGliGGxlYmJlbGJnoGEKCpp4dDmSmKMk0A/prettify/1/timespan/2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z",
"linkToFilteredSearchResultsAPI": "https://api.loganalytics.io/v1/subscriptions/12345a-1234b-123c-123d-12345678e/resourceGroups/Contoso/providers/Microsoft.Compute/virtualMachines/Contoso/query?query=Heartbeat%7C%20where%20TimeGenerated%20between%28datetime%282020-07-09T13%3A44%3A34.0000000%29..datetime%282020-07-09T13%3A54%3A34.0000000%29%29×pan=2020-07-07T13%3a54%3a34.0000000Z%2f2020-07-09T13%3a54%3a34.0000000Z"
}
],
"windowStartTime": "2020-07-07T13:54:34Z",
"windowEndTime": "2020-07-09T13:54:34Z"
}
}
}
Pole kontextu upozornění pro upozornění protokolu aktivit
Podrobné informace o polích v upozorněních protokolu aktivit najdete ve schématu událostí protokolu aktivit Azure.
Ukázkové upozornění protokolu aktivit při monitorováníService = Protokol aktivit – Správa
{
"alertContext": {
"authorization": {
"action": "Microsoft.Compute/virtualMachines/restart/action",
"scope": "/subscriptions/<subscription ID>/resourceGroups/PipeLineAlertRG/providers/Microsoft.Compute/virtualMachines/WCUS-R2-ActLog"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.core.windows.net/\",\"iss\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"iat\":\"1553260826\",\"nbf\":\"1553260826\",\"exp\":\"1553264726\",\"aio\":\"42JgYNjdt+rr+3j/dx68v018XhuFAwA=\",\"appid\":\"11112222-bbbb-3333-cccc-4444dddd5555\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/12345a-1234b-123c-123d-12345678e/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"22223333-cccc-4444-dddd-5555eeee6666\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"12345a-1234b-123c-123d-12345678e\",\"uti\":\"v5wYC9t9ekuA2rkZSVZbAA\",\"ver\":\"1.0\"}",
"caller": "22223333-cccc-4444-dddd-5555eeee6666",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"eventSource": "Administrative",
"eventTimestamp": "2019-03-22T13:56:31.2917159+00:00",
"eventDataId": "161fda7e-1cb4-4bc5-9c90-857c55a8f57b",
"level": "Informational",
"operationName": "Microsoft.Compute/virtualMachines/restart/action",
"operationId": "310db69b-690f-436b-b740-6103ab6b0cba",
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-03-22T13:56:54.067593+00:00"
}
}
Ukázkové upozornění protokolu aktivit při monitorováníService = Protokol aktivit – Zásady
{
"alertContext": {
"authorization": {
"action": "Microsoft.Resources/checkPolicyCompliance/read",
"scope": "/subscriptions/<GUID>"
},
"channels": "Operation",
"claims": "{\"aud\":\"https://management.azure.com/\",\"iss\":\"https://sts.windows.net/<GUID>/\",\"iat\":\"1566711059\",\"nbf\":\"1566711059\",\"exp\":\"1566740159\",\"aio\":\"42FgYOhynHNw0scy3T/bL71+xLyqEwA=\",\"appid\":\"<GUID>\",\"appidacr\":\"2\",\"http://schemas.microsoft.com/identity/claims/identityprovider\":\"https://sts.windows.net/<GUID>/\",\"http://schemas.microsoft.com/identity/claims/objectidentifier\":\"<GUID>\",\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier\":\"<GUID>\",\"http://schemas.microsoft.com/identity/claims/tenantid\":\"<GUID>\",\"uti\":\"Miy1GzoAG0Scu_l3m1aIAA\",\"ver\":\"1.0\"}",
"caller": "<GUID>",
"correlationId": "<GUID>",
"eventSource": "Policy",
"eventTimestamp": "2019-08-25T11:11:34.2269098+00:00",
"eventDataId": "<GUID>",
"level": "Warning",
"operationName": "Microsoft.Authorization/policies/audit/action",
"operationId": "<GUID>",
"properties": {
"isComplianceCheck": "True",
"resourceLocation": "eastus2",
"ancestors": "<GUID>",
"policies": "[{\"policyDefinitionId\":\"/providers/Microsoft.Authorization/policyDefinitions/<GUID>/\",\"policySetDefinitionId\":\"/providers/Microsoft.Authorization/policySetDefinitions/<GUID>/\",\"policyDefinitionReferenceId\":\"vulnerabilityAssessmentMonitoring\",\"policySetDefinitionName\":\"<GUID>\",\"policyDefinitionName\":\"<GUID>\",\"policyDefinitionEffect\":\"AuditIfNotExists\",\"policyAssignmentId\":\"/subscriptions/<GUID>/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn/\",\"policyAssignmentName\":\"SecurityCenterBuiltIn\",\"policyAssignmentScope\":\"/subscriptions/<GUID>\",\"policyAssignmentSku\":{\"name\":\"A1\",\"tier\":\"Standard\"},\"policyAssignmentParameters\":{}}]"
},
"status": "Succeeded",
"subStatus": "",
"submissionTimestamp": "2019-08-25T11:12:46.1557298+00:00"
}
}
Ukázkové upozornění protokolu aktivit při monitorováníService = Protokol aktivit – Automatické škálování
{
"alertContext": {
"channels": "Admin, Operation",
"claims": "{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn\":\"Microsoft.Insights/autoscaleSettings\"}",
"caller": "Microsoft.Insights/autoscaleSettings",
"correlationId": "<GUID>",
"eventSource": "Autoscale",
"eventTimestamp": "2019-08-21T16:17:47.1551167+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Insights/AutoscaleSettings/Scaleup/Action",
"operationId": "<GUID>",
"properties": {
"description": "The autoscale engine attempting to scale resource '/subscriptions/d<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS' from 9 instances count to 10 instances count.",
"resourceName": "/subscriptions/<GUID>/resourceGroups/voiceassistancedemo/providers/Microsoft.Compute/virtualMachineScaleSets/alexademo",
"oldInstancesCount": "9",
"newInstancesCount": "10",
"activeAutoscaleProfile": "{\r\n \"Name\": \"Auto created scale condition\",\r\n \"Capacity\": {\r\n \"Minimum\": \"1\",\r\n \"Maximum\": \"10\",\r\n \"Default\": \"1\"\r\n },\r\n \"Rules\": [\r\n {\r\n \"MetricTrigger\": {\r\n \"Name\": \"Percentage CPU\",\r\n \"Namespace\": \"microsoft.compute/virtualmachinescalesets\",\r\n \"Resource\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"ResourceLocation\": \"eastus\",\r\n \"TimeGrain\": \"PT1M\",\r\n \"Statistic\": \"Average\",\r\n \"TimeWindow\": \"PT5M\",\r\n \"TimeAggregation\": \"Average\",\r\n \"Operator\": \"GreaterThan\",\r\n \"Threshold\": 0.0,\r\n \"Source\": \"/subscriptions/<GUID>/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachineScaleSets/testVMSS\",\r\n \"MetricType\": \"MDM\",\r\n \"Dimensions\": [],\r\n \"DividePerInstance\": false\r\n },\r\n \"ScaleAction\": {\r\n \"Direction\": \"Increase\",\r\n \"Type\": \"ChangeCount\",\r\n \"Value\": \"1\",\r\n \"Cooldown\": \"PT1M\"\r\n }\r\n }\r\n ]\r\n}",
"lastScaleActionTime": "Wed, 21 Aug 2019 16:17:47 GMT"
},
"status": "Succeeded",
"submissionTimestamp": "2019-08-21T16:17:47.2410185+00:00"
}
}
Ukázkové upozornění protokolu aktivit při monitorováníService = Protokol aktivit – Zabezpečení
{
"alertContext": {
"channels": "Operation",
"correlationId": "<GUID>",
"eventSource": "Security",
"eventTimestamp": "2019-08-26T08:34:14+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Security/locations/alerts/activate/action",
"operationId": "<GUID>",
"properties": {
"threatStatus": "Quarantined",
"category": "Virus",
"threatID": "2147519003",
"filePath": "C:\\AlertGeneration\\test.eicar",
"protectionType": "Windows Defender",
"actionTaken": "Blocked",
"resourceType": "Virtual Machine",
"severity": "Low",
"compromisedEntity": "testVM",
"remediationSteps": "[\"No user action is necessary\"]",
"attackedResourceType": "Virtual Machine"
},
"status": "Active",
"submissionTimestamp": "2019-08-26T09:28:58.3019107+00:00"
}
}
Ukázkové upozornění protokolu aktivit při monitorováníService = ServiceHealth
{
"alertContext": {
"authorization": null,
"channels": 1,
"claims": null,
"caller": null,
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"eventSource": 2,
"eventTimestamp": "2019-06-24T11:31:19.0312699+00:00",
"httpRequest": null,
"eventDataId": "<GUID>",
"level": 3,
"operationName": "Microsoft.ServiceHealth/maintenance/action",
"operationId": "<GUID>",
"properties": {
"title": "Azure Synapse Analytics Scheduled Maintenance Pending",
"service": "Azure Synapse Analytics",
"region": "East US",
"communication": "<MESSAGE>",
"incidentType": "Maintenance",
"trackingId": "<GUID>",
"impactStartTime": "2019-06-26T04:00:00Z",
"impactMitigationTime": "2019-06-26T12:00:00Z",
"impactedServices": "[{\"ImpactedRegions\":[{\"RegionName\":\"East US\"}],\"ServiceName\":\"Azure Synapse Analytics\"}]",
"impactedServicesTableRows": "<tr>\r\n<td align='center' style='padding: 5px 10px; border-right:1px solid black; border-bottom:1px solid black'>Azure Synapse Analytics</td>\r\n<td align='center' style='padding: 5px 10px; border-bottom:1px solid black'>East US<br></td>\r\n</tr>\r\n",
"defaultLanguageTitle": "Azure Synapse Analytics Scheduled Maintenance Pending",
"defaultLanguageContent": "<MESSAGE>",
"stage": "Planned",
"communicationId": "<GUID>",
"maintenanceId": "<GUID>",
"isHIR": "false",
"version": "0.1.1"
},
"status": "Active",
"subStatus": null,
"submissionTimestamp": "2019-06-24T11:31:31.7147357+00:00",
"ResourceType": null
}
}
Ukázkové upozornění protokolu aktivit při monitorováníService = ResourceHealth
{
"alertContext": {
"channels": "Admin, Operation",
"correlationId": "<GUID>",
"eventSource": "ResourceHealth",
"eventTimestamp": "2019-06-24T15:42:54.074+00:00",
"eventDataId": "<GUID>",
"level": "Informational",
"operationName": "Microsoft.Resourcehealth/healthevent/Activated/action",
"operationId": "<GUID>",
"properties": {
"title": "This virtual machine is stopping and deallocating as requested by an authorized user or process",
"details": null,
"currentHealthStatus": "Unavailable",
"previousHealthStatus": "Available",
"type": "Downtime",
"cause": "UserInitiated"
},
"status": "Active",
"submissionTimestamp": "2019-06-24T15:45:20.4488186+00:00"
}
}
Kontextová pole výstrahy pro výstrahy Prometheus
Ukázková výstraha prometheus
{
"alertContext": {
"interval": "PT1M",
"expression": "sql_up > 0",
"expressionValue": "0",
"for": "PT2M",
"labels": {
"Environment": "Prod",
"cluster": "myCluster1"
},
"annotations": {
"summary": "alert on SQL availability"
},
"ruleGroup": "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.AlertsManagement/prometheusRuleGroups/myRuleGroup"
}
}
Pole vlastních vlastností
Pokud pravidlo upozornění, které vygenerovalo upozornění, obsahuje skupiny akcí, můžou vlastní vlastnosti obsahovat další informace o této výstraze. Oddíl vlastních vlastností obsahuje objekty "klíč: hodnota", které jsou přidány do oznámení webhooku.
Pokud nejsou v pravidle upozornění nastaveny vlastní vlastnosti, pole má hodnotu null.
Povolení běžného schématu upozornění
Pomocí skupin akcí na webu Azure Portal nebo pomocí rozhraní REST API povolte běžné schéma upozornění. Schémata jsou definována na úrovni akce. Musíte například samostatně povolit schéma pro e-mailovou akci a akci webhooku.
Povolení běžného schématu na webu Azure Portal
- Otevřete jakoukoli existující akci nebo novou akci ve skupině akcí.
- Chcete-li povolit společné schéma upozornění, vyberte možnost Ano .
Povolení běžného schématu pomocí rozhraní REST API
K vyjádření souhlasu se společným schématem upozornění můžete použít také rozhraní API skupin akcí. Ve volání rozhraní REST API pro vytvoření nebo aktualizaci
- Nastavte příznak useCommonAlertSchema tak, aby
truese povolilo společné schéma. - Nastavte příznak useCommonAlertSchema tak, aby
falsepoužíval nestandardní schéma pro e-mail, webhook, Logic Apps, Azure Functions nebo akce runbooku Automation.
Ukázkové volání rozhraní REST API pro použití společného schématu
Následující požadavek rozhraní REST API vytvořte nebo aktualizujte :
- Povolí běžné schéma upozornění pro e-mailovou akci John Doe.
- Zakáže běžné schéma upozornění pro e-mailovou akci Jane Smithova e-mailu.
- Povolí společné schéma upozornění pro akci webhooku Ukázka webhooku.
{
"properties": {
"groupShortName": "sample",
"enabled": true,
"emailReceivers": [
{
"name": "John Doe's email",
"emailAddress": "johndoe@email.com",
"useCommonAlertSchema": true
},
{
"name": "Jane Smith's email",
"emailAddress": "janesmith@email.com",
"useCommonAlertSchema": false
}
],
"smsReceivers": [
{
"name": "John Doe's mobile",
"countryCode": "1",
"phoneNumber": "1234567890"
},
{
"name": "Jane Smith's mobile",
"countryCode": "1",
"phoneNumber": "0987654321"
}
],
"webhookReceivers": [
{
"name": "Sample webhook",
"serviceUri": "http://www.example.com/webhook",
"useCommonAlertSchema": true
}
]
},
"location": "Global",
"tags": {}
}