API REST d’alerte héritée Log Analytics

Cet article décrit comment gérer les règles d’alerte à l’aide de l’API héritée.

Important

Comme annoncé, l’API d’alerte Log Analytics sera mise hors service le 1er octobre 2025. Vous devez passer à l’utilisation de l’API Règles de requête planifiées pour les alertes de recherche dans les journaux à cette date. Les espaces de travail Log Analytics créés après le 1er juin 2019 utilisent l’API scheduledQueryRules pour gérer les règles d’alerte. Basculez vers l’API actuelle dans des espaces de travail plus anciens pour tirer parti des avantages scheduledQueryRules d’Azure Monitor.

L’API REST d’alerte Log Analytics vous permet de créer et de gérer des alertes dans Log Analytics. Cet article fournit des détails sur l’API et plusieurs exemples pour effectuer différentes opérations.

L’API REST de recherche Log Analytics est un service RESTful qui est accessible par le biais de l’API REST Azure Resource Manager. Dans cet article, vous trouverez des exemples où l’API est accessible à partir d’une ligne de commande PowerShell à l’aide d’ARMClient. Cet outil de ligne de commande open source simplifie l’appel de l’API Azure Resource Manager.

L'utilisation d’ARMClient et de PowerShell est une des nombreuses options que vous pouvez utiliser vous permettant d’accéder à l'API de recherche Log Analytics. Grâce à ces outils, vous pouvez utiliser l’API Azure Resource Manager RESTful pour effectuer des appels vers les espaces de travail Log Analytics et exécuter en leur sein des commandes de recherche. L'API produit des résultats de recherche au format JSON, qui vous permet d'utiliser ces résultats, par programme, de différentes manières.

Prérequis

Actuellement, les alertes peuvent être créées uniquement avec une recherche enregistrée dans Log Analytics. Pour plus d’informations, consultez API REST Recherche dans les journaux.

Planifications

Une recherche enregistrée peut avoir une ou plusieurs planifications. La planification définit la fréquence à laquelle la recherche est exécutée et l’intervalle de temps pendant lequel les critères sont identifiés. Les propriétés des planifications sont décrites dans le tableau suivant :

Propriété Description
Interval Fréquence à laquelle la recherche est exécutée. Exprimée en minutes.
QueryTimeSpan Intervalle de temps pendant lequel les critères sont évalués. Doit être égal ou supérieur à Interval. Exprimée en minutes.
Version Version de l’API utilisée. Actuellement, ce paramètre doit toujours être 1.

Par exemple, considérez une requête d’événement avec un Interval de 15 minutes et un Timespan de 30 minutes. Dans ce cas, la requête est exécutée toutes les 15 minutes. Une alerte serait déclenchée si les critères continuaient à être résolus sur true sur une période de 30 minutes.

Récupérer des planifications

Utilisez la méthode Get pour extraire toutes les planifications d’une recherche enregistrée.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules?api-version=2015-03-20

Utilisez la méthode Get avec un ID de planification pour extraire une planification particulière pour une recherche enregistrée.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

L’exemple de réponse suivant concerne une planification :

{
   "value": [{
      "id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
      "etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
      "properties": {
         "Interval": 15,
         "QueryTimeSpan": 15,
         "Enabled": true,
      }
   }]
}

Créer une planification

Utilisez la méthode Put avec un ID de planification unique pour créer une planification. Notez que deux planifications ne peuvent pas avoir le même ID, même si elles sont associées à d’autres recherches enregistrées. Quand vous créez une planification dans la console Log Analytics, un GUID est créé pour l’ID de la planification.

Notes

Le nom de l’ensemble des recherches enregistrées, des planifications et des actions créées avec l’API Log Analytics doit être en minuscules.

$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Modifier une planification

Utilisez la méthode Put avec un ID de planification existant pour la même recherche enregistrée afin de modifier cette planification. Dans l’exemple suivant, la planification est désactivée. Le corps de la demande doit inclure l’ETag de la planification.

$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson

Supprimer des planifications

Pour supprimer une planification, utilisez la méthode Delete avec un ID de planification.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20

Actions

Une planification peut avoir plusieurs actions. Une action peut définir un ou plusieurs processus à effectuer, tels que l’envoi d’un e-mail ou le démarrage d’un runbook. Une action peut également définir un seuil qui détermine quand les résultats d’une recherche correspondent à certains critères. Certaines actions définissent ces deux aspects afin que les processus soient exécutés quand le seuil est atteint.

Les propriétés de toutes les actions sont décrites dans le tableau suivant. Différents types d’alertes ont d’autres propriétés différentes, décrites dans le tableau suivant :

Propriété Description
Type Type de l’action. Actuellement, les valeurs possibles sont Alert et Webhook.
Name Nom d’affichage de l’alerte.
Version Version de l’API utilisée. Actuellement, ce paramètre doit toujours être 1.

Récupérer des actions

Utilisez la méthode Get pour récupérer toutes les actions d’une planification.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search  ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20

Utilisez la méthode Get avec l’ID d’action pour récupérer une action particulière d’une planification.

armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20

Créer ou modifier des actions

Utilisez la méthode Put avec un ID d’action propre à la planification pour créer une activité. Quand vous créez une action dans la console Log Analytics, un GUID est défini pour l’ID de l’action.

Notes

Le nom de l’ensemble des recherches enregistrées, des planifications et des actions créées avec l’API Log Analytics doit être en minuscules.

Utilisez la méthode Put avec un ID d’action existant pour la même recherche enregistrée afin de modifier cette planification. Le corps de la demande doit inclure l’ETag de la planification.

Le format de demande pour la création d’une action variant selon le type d’action, des exemples sont fournis dans les sections suivantes.

Supprimer des actions

Utilisez la méthode Delete avec l’ID d’action pour supprimer une action.

armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20

Actions d’alerte

Une planification doit avoir une, et une seule, action d’alerte. Les actions d’alerte ont une ou plusieurs des sections décrites dans le tableau suivant :

Section Description Usage
Seuil Critères d’exécution de l’action. Obligatoire pour chaque alerte, avant ou après l’extension à Azure.
severity Étiquette utilisée pour classer l’alerte quand elle est déclenchée. Obligatoire pour chaque alerte, avant ou après l’extension à Azure.
Suppress Option permettant d’arrêter les notifications d’alertes. Section facultative pour chaque alerte, avant ou après l’extension à Azure.
Groupes d’actions ID d’Azure ActionGroup, où les actions requises sont spécifiées. Par exemple, e-mails, SMS, appels vocaux, webhooks, runbooks d’automatisation et connecteurs ITSM. Obligatoire une fois que les alertes sont étendues à Azure
Personnaliser les actions Modifier la sortie standard pour les actions sélectionnées depuis ActionGroup. Facultatif pour chaque alerte, et possibilité d’utilisation après l’extension des alertes à Azure.

Seuils

Une action d’alerte ne doit avoir qu’un seul seuil. Quand les résultats d’une recherche enregistrée correspondent au seuil dans une action associée à cette recherche, tous les autres processus dans cette action sont exécutés. En outre, une action peut ne contenir qu’un seuil et être ainsi utilisable avec d’autres types d’actions ne comportant pas de seuils.

Les propriétés des seuils sont décrites dans le tableau suivant :

Propriété Description
Operator Opérateur de comparaison de seuil.
gt = Supérieur à
lt = Inférieur à
Value Valeur du seuil.

Par exemple, considérez une requête d’événement avec un Interval de 15 minutes, un Timespan de 30 minutes et un Threshold supérieur à 10. Dans ce cas, la requête est exécutée toutes les 15 minutes. Une alerte se déclenche si la requête renvoie 10 événements créés en l’espace de 30 minutes.

L’exemple de réponse suivant concerne une action avec uniquement un Threshold :

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Version": 1
}

Utilisez la méthode Put avec un ID d’action unique pour créer une action de seuil pour une planification.

$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

Utilisez la méthode Put avec un ID d’action existant pour modifier une action de seuil pour une planification. Le corps de la demande doit inclure l’ETag de l’action.

$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson

severity

Log Analytics vous permet de classer vos alertes en catégories, pour faciliter la gestion et le triage. Les niveaux de gravité des alertes sont informational, warning et critical. Ces catégories sont mappées à l'échelle de gravité normalisée des alertes Azure, comme indiqué dans le tableau suivant :

Niveau de gravité Log Analytics Niveau de gravité des alertes Azure
critical Gravité 0
warning Gravité 1
informational Gravité 2

L’exemple de réponse suivant concerne une action avec uniquement Threshold et Severity :

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Severity": "critical",
   "Version": 1
}

Utilisez la méthode Put avec un ID d’action unique pour créer une action pour une planification avec Severity.

$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Utilisez la méthode Put avec un ID d’action existant pour modifier une action de gravité pour une planification. Le corps de la demande doit inclure l’ETag de l’action.

$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson

Suppress

Les alertes de requête basées sur Log Analytics sont déclenchées à chaque fois que le seuil est atteint ou dépassé. En fonction de la logique impliquée dans la requête, une alerte peut être déclenchée pour une série d’intervalles. Le résultat est que les notifications sont envoyées en permanence. Pour empêcher un tel scénario, vous pouvez définir l’option Suppress qui indique à Log Analytics d’attendre un délai spécifié avant que la notification ne soit déclenchée la seconde fois pour la règle d’alerte.

Par conséquent, si Suppress est définie sur 30 minutes, l’alerte est déclenchée la première fois et envoie les notifications configurées. Attendez 30 minutes avant que la notification de la règle d’alerte ne soit de nouveau utilisée. Pendant la période intermédiaire, la règle d’alerte continuera à s’exécuter. Seule la notification est supprimée par Log Analytics pendant la période spécifiée, et ce, quel que soit le nombre de déclenchements de la règle d’alerte pendant cette période.

La Suppress propriété d’une règle d’alerte de recherche dans les journaux est spécifiée à l’aide de la Throttling valeur . La période de suppression est spécifiée à l’aide de la valeur DurationInMinutes.

L’exemple de réponse suivant concerne une action avec uniquement les propriétés Threshold, Severity et Suppress.

"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "My threshold action",
   "Threshold": {
      "Operator": "gt",
      "Value": 10
   },
   "Throttling": {
   "DurationInMinutes": 30
   },
   "Severity": "critical",
   "Version": 1
}

Utilisez la méthode Put avec un ID d’action unique pour créer une action pour une planification avec Severity.

$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Utilisez la méthode Put avec un ID d’action existant pour modifier une action de gravité pour une planification. Le corps de la demande doit inclure l’ETag de l’action.

$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson

Groupes d’actions

Toutes les alertes dans Azure utilisent le groupe d’actions en tant que mécanisme par défaut pour la gestion des actions. Avec un groupe d’actions, vous pouvez spécifier vos actions une seule fois, puis associer le groupe d’actions à plusieurs alertes dans Azure sans avoir à déclarer les mêmes actions à plusieurs reprises. Les groupes d’actions prennent en charge plusieurs actions, y compris, les e-mails, les SMS, les appels vocaux, les connexions ITSM, les runbooks d’automatisation et les URI de webhook.

Pour les utilisateurs qui ont étendu leurs alertes dans Azure, une planification doit maintenant avoir des informations sur le groupe d’actions transmises avec Threshold, afin de pouvoir créer une alerte. Les détails de l’e-mail, les URL de webhook, les détails de runbook automation et d’autres actions doivent être définis à l’intérieur d’un groupe d’actions avant de créer une alerte. Vous pouvez créer un groupe d’actions à partir d’Azure Monitor dans le portail Azure ou utiliser l’API Groupe d’actions.

Pour associer un groupe d’actions à une alerte, spécifiez l’ID Azure Resource Manager du groupe d’actions dans la définition de l’alerte. L'exemple suivant illustre l'utilisation :

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ]
   },
   "Severity": "critical",
   "Version": 1
}

Utilisez la méthode Put avec un ID d’action unique pour associer le groupe d’actions déjà existant d’une planification. L'exemple suivant illustre l'utilisation :

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Utilisez la méthode Put avec un ID d’action existant pour modifier un groupe d’actions associé à une planification. Le corps de la demande doit inclure l’ETag de l’action.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Personnaliser les actions

Par défaut, les actions suivent le modèle et le format standard des notifications. Mais vous pouvez personnaliser certaines actions, même si elles sont contrôlées par les groupes d’actions. Actuellement, la personnalisation est possible pour EmailSubject et WebhookPayload.

Personnaliser EmailSubject pour un groupe d’actions

Par défaut, l’objet de l’e-mail pour les alertes est Alert Notification <AlertName> pour <WorkspaceName>. Mais le sujet peut être personnalisé, afin que vous puissiez ajouter des mots ou mots-clés spécifiques, utiles pour les règles de filtrage dans votre boîte de réception. Les détails de l’en-tête de l’e-mail personnalisé doivent être envoyés avec des informations ActionGroup, comme dans l’exemple suivant :

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
      "CustomEmailSubject": "Azure Alert fired"
   },
   "Severity": "critical",
   "Version": 1
}

Utilisez la méthode Put avec un ID d’action unique pour associer le groupe d’actions existant à une personnalisation d’une planification. L'exemple suivant illustre l'utilisation :

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Utilisez la méthode Put avec un ID d’action existant pour modifier un groupe d’actions associé à une planification. Le corps de la demande doit inclure l’ETag de l’action.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personnaliser WebhookPayload pour un groupe d’actions

Par défaut, le webhook envoyé via le groupe d’actions pour Log Analytics a une structure fixe. Néanmoins, vous pouvez personnaliser la charge utile JSON à l’aide de variables spécifiques prises en charge, pour répondre aux exigences du point de terminaison du webhook. Pour plus d’informations, consultez Action webhook pour les règles d’alerte de recherche dans les journaux.

Les détails personnalisés du webhook doivent être envoyés avec des informations ActionGroup. Ils seront appliqués à toutes les URI de webhook spécifiés dans le groupe d’actions. L'exemple suivant illustre l'utilisation :

"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
   "Type": "Alert",
   "Name": "test-alert",
   "Description": "I need to put a description here",
   "Threshold": {
      "Operator": "gt",
      "Value": 12
   },
   "AzNsNotification": {
      "GroupIds": [
         "/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
      ],
   "CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
   "CustomEmailSubject": "Azure Alert fired"
   },
   "Severity": "critical",
   "Version": 1
},

Utilisez la méthode Put avec un ID d’action unique pour associer le groupe d’actions existant à une personnalisation d’une planification. L'exemple suivant illustre l'utilisation :

$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Utilisez la méthode Put avec un ID d’action existant pour modifier un groupe d’actions associé à une planification. Le corps de la demande doit inclure l’ETag de l’action.

$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson

Étapes suivantes