API REST degli avvisi di Log Analytics legacy
Questo articolo descrive come gestire le regole di avviso usando l'API legacy.
Importante
Come annunciato, l'API di avviso di Log Analytics verrà ritirata il 1° ottobre 2025. È necessario eseguire la transizione all'uso dell'API Regole query pianificate per gli avvisi di ricerca log entro tale data. Le aree di lavoro di Log Analytics create dopo il 1° giugno 2019 usano l'API scheduledQueryRules per gestire le regole di avviso. Passare all'API corrente nelle aree di lavoro precedenti per sfruttare i vantaggi di Monitoraggio di Azure scheduledQueryRules.
L'API REST degli avvisi di Log Analytics consente di creare e gestire avvisi in Log Analytics. Questo articolo fornisce informazioni dettagliate sull'API e diversi esempi per l'esecuzione di operazioni diverse.
L'API REST di ricerca di Log Analytics è RESTful ed è accessibile tramite l'API REST Azure Resource Manager. In questo articolo sono disponibili esempi in cui si accede all'API da una riga di comando di PowerShell usando ARMClient. Questo strumento da riga di comando open source semplifica la chiamata dell'API di Resource Manager di Azure.
L'uso di ARMClient e PowerShell è una delle numerose opzioni che è possibile usare per accedere all'API di Search di Log Analytics. Con questi strumenti è possibile usare l'API RESTful di Azure Resource Manager per effettuare chiamate alle aree di lavoro di Log Analytics ed eseguire i comandi di ricerca al loro interno. L'API restituisce i risultati della ricerca in formato JSON in modo da poter usare i risultati della ricerca in molti modi diversi a livello di codice.
Prerequisiti
Attualmente, gli avvisi possono essere creati solo con una ricerca salvata in Log Analytics. Per altre informazioni, vedere l'API REST log Search.
Pianificazioni
Una ricerca salvata può avere una o più pianificazioni. La pianificazione definisce la frequenza di esecuzione della ricerca e l'intervallo di tempo in cui vengono identificati i criteri. Le pianificazioni hanno le proprietà descritte nella tabella seguente:
| Proprietà | Descrizione |
|---|---|
Interval |
La frequenza con cui viene eseguita la ricerca. Il valore è espresso in minuti. |
QueryTimeSpan |
Intervallo di tempo in cui vengono valutati i criteri. Deve essere uguale o maggiore di Interval. Il valore è espresso in minuti. |
Version |
La versione API utilizzata. Attualmente, questa impostazione deve essere 1sempre . |
Si consideri ad esempio una query di evento con un Interval valore di 15 minuti e un Timespan valore di 30 minuti. In questo caso, la query verrà eseguita ogni 15 minuti. Se i criteri continuano a essere risolti true in un intervallo di 30 minuti, viene attivato un avviso.
Recuperare le pianificazioni
Utilizzare il metodo Get per recuperare tutte le pianificazioni per una ricerca salvata.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules?api-version=2015-03-20
Usare il metodo Get con l'ID pianificazione per recuperare una determinata pianificazione per una ricerca salvata.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
La risposta di esempio seguente è per una pianificazione:
{
"value": [{
"id": "subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/sampleRG/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace/savedSearches/0f0f4853-17f8-4ed1-9a03-8e888b0d16ec/schedules/a17b53ef-bd70-4ca4-9ead-83b00f2024a8",
"etag": "W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\"",
"properties": {
"Interval": 15,
"QueryTimeSpan": 15,
"Enabled": true,
}
}]
}
Creare una pianificazione
Usare il metodo Put con un ID pianificazione univoco per creare una nuova pianificazione. Due pianificazioni non possono avere lo stesso ID anche se sono associate a ricerche salvate diverse. Quando si crea una pianificazione nella console di Log Analytics, viene creato un GUID per l'ID pianificazione.
Nota
Il nome per tutte le ricerche salvate, per le pianificazioni e per le azioni create con l'API Log Analytics deve essere in minuscolo.
$scheduleJson = "{'properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'true' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Modificare pianificazione
Usare il metodo Put con un ID pianificazione esistente per la stessa ricerca salvata per modificare la pianificazione. Nell'esempio seguente la pianificazione è disabilitata. Il corpo della richiesta deve includere l'etag della pianificazione.
$scheduleJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A49.8074679Z'\""','properties': { 'Interval': 15, 'QueryTimeSpan':15, 'Enabled':'false' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/mynewschedule?api-version=2015-03-20 $scheduleJson
Elimina pianificazioni
Per eliminare una pianificazione, utilizzare il metodo Delete con un ID pianificazione.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}?api-version=2015-03-20
Azioni
Una pianificazione può avere più azioni. Un'azione può definire uno o più processi da eseguire, ad esempio l'invio di un messaggio di posta elettronica o l'avvio di un runbook. Un'azione può anche definire una soglia che determina quando i risultati di una ricerca corrispondono ad alcuni criteri. Alcune azioni definiranno entrambi, in modo che i processi vengano eseguiti quando viene raggiunta la soglia.
Tutte le azioni hanno le proprietà descritte nella tabella seguente. I diversi tipi di avvisi hanno altre proprietà diverse, descritte nella tabella seguente:
| Proprietà | Descrizione |
|---|---|
Type |
Tipo di azione. Attualmente, i valori possibili sono Alert e Webhook. |
Name |
Nome visualizzato per l'avviso. |
Version |
La versione API utilizzata. Attualmente, questa impostazione deve essere 1sempre . |
Recuperare le azioni
Utilizzare il metodo Get per recuperare tutte le azioni per una pianificazione.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions?api-version=2015-03-20
Utilizzare il metodo Get con l'ID azione per recuperare una determinata azione per una pianificazione.
armclient get /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/actions/{Action ID}?api-version=2015-03-20
Creare o modificare azioni
Usare il metodo Put con un ID azione univoco per la pianificazione per creare una nuova azione. Quando si crea un'azione nella console di Log Analytics, un GUID è destinato all'ID azione.
Nota
Il nome per tutte le ricerche salvate, per le pianificazioni e per le azioni create con l'API Log Analytics deve essere in minuscolo.
Usare il metodo Put con un ID azione esistente per la stessa ricerca salvata per modificare la pianificazione. Il corpo della richiesta deve includere il valore ETag della pianificazione.
Il formato della richiesta per la creazione di una nuova azione varia in base al tipo di azione, quindi questi esempi vengono forniti nelle sezioni seguenti.
Elimina azioni
Utilizzare il metodo Delete con l'ID azione per eliminare un’azione.
armclient delete /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Subscription ID}/schedules/{Schedule ID}/Actions/{Action ID}?api-version=2015-03-20
Azioni di avviso
Una pianificazione deve avere una sola azione avviso. Le azioni di avviso hanno una o più sezioni descritte nella tabella seguente:
| Sezione | Descrizione | Utilizzo |
|---|---|---|
| Soglia | Criteri di esecuzione dell'azione. | Obbligatorio per ogni avviso, prima o dopo l'estensione ad Azure. |
| Gravità | Etichetta usata per classificare l'avviso quando viene attivato. | Obbligatorio per ogni avviso, prima o dopo l'estensione ad Azure. |
| Elimina | Opzione per arrestare le notifiche dagli avvisi. | Facoltativo per ogni avviso, prima o dopo l'estensione ad Azure. |
| Gruppi di azioni | ID di Azure ActionGroup in cui vengono specificate le azioni necessarie, ad esempio messaggi di posta elettronica, SMS, chiamate vocali, webhook, runbook di automazione e connettori ITSM. |
Obbligatorio dopo l'estensione degli avvisi ad Azure. |
| Personalizza azioni | Modificare l'output standard per selezionare le azioni da ActionGroup. |
Facoltativo per ogni avviso e può essere usato dopo l'estensione degli avvisi ad Azure. |
Soglie
Un’azione di avviso deve avere una sola soglia. Quando i risultati di una ricerca salvata corrispondono alla soglia in un'azione associata a tale ricerca, vengono eseguiti altri processi in tale azione. Un'azione può contenere anche solo una soglia in modo che possa essere usata con azioni di altri tipi che non contengono soglie.
Le soglie hanno le proprietà descritte nella tabella seguente:
| Proprietà | Descrizione |
|---|---|
Operator |
Operatore di confronto soglie. gt = Maggiore di lt = Minore di |
Value |
Valore per la soglia. |
Si consideri ad esempio una query evento con un Interval valore di 15 minuti, un di 30 minuti e un TimespanThreshold valore superiore a 10. In questo caso, la query verrà eseguita ogni 15 minuti. Un avviso viene attivato se ha restituito 10 eventi creati in un intervallo di 30 minuti.
La risposta di esempio seguente è per un'azione con solo :Threshold
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Version": 1
}
Usare il metodo Put con un ID azione univoco per creare una nuova azione di soglia per una pianificazione.
$thresholdJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Usare il metodo Put con un ID azione esistente per modificare un'azione di soglia per una pianificazione. Il corpo della richiesta deve includere il valore ETag dell'azione.
$thresholdJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdJson
Gravità
Log Analytics consente di classificare gli avvisi in categorie per semplificare la gestione e la valutazione. I livelli di gravità degli avvisi sono informational, warninge critical. Queste categorie vengono mappate alla scala di gravità normalizzata degli avvisi di Azure, come illustrato nella tabella seguente:
| Livello di gravità di Log Analytics | Livello di gravità degli avvisi di Azure |
|---|---|
critical |
Gravità 0 |
warning |
Gravità 1 |
informational |
Gravità 2 |
La risposta di esempio seguente è per un'azione con solo Threshold e Severity:
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Severity": "critical",
"Version": 1
}
Usare il metodo Put con un ID azione univoco per creare una nuova azione per una pianificazione con Severity.
$thresholdWithSevJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Usare il metodo Put con un ID azione esistente per modificare un'azione di gravità per una pianificazione. Il corpo della richiesta deve includere il valore ETag dell'azione.
$thresholdWithSevJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/mythreshold?api-version=2015-03-20 $thresholdWithSevJson
Elimina
Gli avvisi di query basati su Log Analytics vengono attivati ogni volta che la soglia viene soddisfatta o superata. In base alla logica implicita nella query, un avviso potrebbe essere attivato per una serie di intervalli. Il risultato è che le notifiche vengono inviate costantemente. Per evitare questo scenario, è possibile impostare l'opzione Suppress che indica a Log Analytics di attendere un periodo di tempo stabilito prima che venga attivata la seconda volta per la regola di avviso.
Ad esempio, se Suppress è impostato per 30 minuti, l'avviso viene generato la prima volta e invia notifiche configurate. Attendere quindi 30 minuti prima che venga usata di nuovo la notifica per la regola di avviso. Nel periodo provvisorio la regola di avviso continuerà a essere eseguita. La notifica viene eliminata solo da Log Analytics per un periodo specificato, indipendentemente dal numero di volte in cui la regola di avviso è stata attivata in questo periodo.
La Suppress proprietà di una regola di avviso di ricerca log viene specificata usando il Throttling valore . Il periodo di eliminazione viene specificato usando il DurationInMinutes valore .
La risposta di esempio seguente è per un'azione con solo Thresholdproprietà , Severitye Suppress .
"etag": "W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"",
"properties": {
"Type": "Alert",
"Name": "My threshold action",
"Threshold": {
"Operator": "gt",
"Value": 10
},
"Throttling": {
"DurationInMinutes": 30
},
"Severity": "critical",
"Version": 1
}
Usare il metodo Put con un ID azione univoco per creare una nuova azione per una pianificazione con Severity.
$AlertSuppressJson = "{'properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Usare il metodo Put con un ID azione esistente per modificare un'azione di gravità per una pianificazione. Il corpo della richiesta deve includere il valore ETag dell'azione.
$AlertSuppressJson = "{'etag': 'W/\"datetime'2016-02-25T20%3A54%3A20.1302566Z'\"','properties': { 'Name': 'My Threshold', 'Version':'1','Severity': 'critical', 'Type':'Alert', 'Throttling': { 'DurationInMinutes': 30 },'Threshold': { 'Operator': 'gt', 'Value': 10 } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myalert?api-version=2015-03-20 $AlertSuppressJson
Gruppi di azioni
Tutti gli avvisi in Azure usano il gruppo di azioni come meccanismo predefinito per la gestione delle azioni. Con un gruppo di azioni è possibile specificare le azioni una sola volta e quindi associare il gruppo di azioni a più avvisi in Azure senza dover dichiarare ripetutamente le stesse azioni. I gruppi di azioni supportano più azioni come posta elettronica, SMS, chiamata vocale, connessione ITSM, runbook di automazione e URI webhook.
Per gli utenti che hanno esteso gli avvisi in Azure, una pianificazione dovrebbe ora avere i dettagli del gruppo di azioni passati insieme Threshold a per poter creare un avviso. Dettagli della posta elettronica, URL webhook, dettagli di automazione del runbook e altre azioni devono essere definite all'interno di un gruppo di azioni prima di creare un avviso. È possibile creare un gruppo di azioni da Monitoraggio di Azure nella portale di Azure o usare l'API Gruppo di azioni.
Per associare un gruppo di azioni a un avviso, specificare l'ID univoco di Azure Resource Manager del gruppo di azioni nella definizione di avviso. L'esempio seguente illustra l'uso:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
]
},
"Severity": "critical",
"Version": 1
}
Usare il metodo Put con un ID azione univoco per associare un gruppo di azioni già esistente per una pianificazione. L'esempio seguente illustra l'uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Usare il metodo Put con un ID azione esistente per modificare un gruppo di azioni associato per una pianificazione. Il corpo della richiesta deve includere il valore ETag dell'azione.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': { 'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'] } } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personalizza azioni
Per impostazione predefinita, le azioni seguono modelli standard e formato per le notifiche. È tuttavia possibile personalizzare alcune azioni, anche se sono controllate dai gruppi di azioni. Attualmente, la personalizzazione è possibile per EmailSubject e WebhookPayload.
Personalizzare EmailSubject per un gruppo di azioni
Per impostazione predefinita, l'oggetto di posta elettronica per gli avvisi è Notifica <AlertName> avviso per <WorkspaceName>. Tuttavia, l'oggetto può essere personalizzato in modo che sia possibile specificare parole o tag per consentire di usare facilmente le regole di filtro nella posta in arrivo. I dettagli dell'intestazione di posta elettronica personalizzati devono essere inviati insieme ai ActionGroup dettagli, come nell'esempio seguente:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
}
Usare il metodo Put con un ID azione univoco per associare un gruppo di azioni esistente alla personalizzazione per una pianificazione. L'esempio seguente illustra l'uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Usare il metodo Put con un ID azione esistente per modificare un gruppo di azioni associato per una pianificazione. Il corpo della richiesta deve includere il valore ETag dell'azione.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Personalizzare WebhookPayload per un gruppo di azioni
Per impostazione predefinita, il webhook inviato tramite un gruppo di azioni per Log Analytics ha una struttura fissa. È tuttavia possibile personalizzare il payload JSON usando variabili specifiche supportate per soddisfare i requisiti dell'endpoint webhook. Per altre informazioni, vedere Azione Webhook per le regole di avviso di ricerca log.
I dettagli del webhook personalizzati devono essere inviati insieme ai ActionGroup dettagli. Verranno applicati a tutti gli URI webhook specificati all'interno del gruppo di azioni. L'esempio seguente illustra l'uso:
"etag": "W/\"datetime'2017-12-13T10%3A52%3A21.1697364Z'\"",
"properties": {
"Type": "Alert",
"Name": "test-alert",
"Description": "I need to put a description here",
"Threshold": {
"Operator": "gt",
"Value": 12
},
"AzNsNotification": {
"GroupIds": [
"/subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup"
],
"CustomWebhookPayload": "{\"field1\":\"value1\",\"field2\":\"value2\"}",
"CustomEmailSubject": "Azure Alert fired"
},
"Severity": "critical",
"Version": 1
},
Usare il metodo Put con un ID azione univoco per associare un gruppo di azioni esistente alla personalizzazione per una pianificazione. L'esempio seguente illustra l'uso:
$AzNsJson = "{'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup'], 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}'} } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Usare il metodo Put con un ID azione esistente per modificare un gruppo di azioni associato per una pianificazione. Il corpo della richiesta deve includere il valore ETag dell'azione.
$AzNsJson = "{'etag': 'datetime'2017-12-13T10%3A52%3A21.1697364Z'\"', 'properties': { 'Name': 'test-alert', 'Version':'1', 'Type':'Alert', 'Threshold': { 'Operator': 'gt', 'Value': 12 },'Severity': 'critical', 'AzNsNotification': {'GroupIds': ['subscriptions/1234a45-123d-4321-12aa-123b12a5678/resourcegroups/my-resource-group/providers/microsoft.insights/actiongroups/test-actiongroup']}, 'CustomEmailSubject': 'Azure Alert fired','CustomWebhookPayload': '{\"field1\":\"value1\",\"field2\":\"value2\"}' } }"
armclient put /subscriptions/{Subscription ID}/resourceGroups/{Resource Group Name}/Microsoft.OperationalInsights/workspaces/{Workspace Name}/savedSearches/{Search ID}/schedules/{Schedule ID}/actions/myAzNsaction?api-version=2015-03-20 $AzNsJson
Passaggi successivi
- Utilizzare l’ API REST per eseguire ricerche nei log in Log Analytics.
- Informazioni sugli avvisi di ricerca log in Monitoraggio di Azure.
- Informazioni su come creare, modificare o gestire le regole di avviso di ricerca log in Monitoraggio di Azure.