PowerShell
Edit|Remove
<# 
 
This Sample Code is provided for the purpose of illustration only and is not intended to be used in a production environment.  THIS SAMPLE CODE AND ANY RELATED INFORMATION ARE PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.  We grant You a nonexclusive, royalty-free right to use and modify the Sample Code and to reproduce and distribute the object code form of the Sample Code, provided that You agree: (i) to not use Our name, logo, or trademarks to market Your software product in which the Sample Code is embedded; (ii) to include a valid copyright notice on Your software product in which the Sample Code is embedded; and (iii) to indemnify, hold harmless, and defend Us and Our suppliers from and against any claims or lawsuits, including attorneys’ fees, that arise or result from the use or distribution of the Sample Code. 
Please note: None of the conditions outlined in the disclaimer above will supersede the terms and conditions contained within the Premier Customer Services Description. 
 
.SYNOPSIS  
    This sample automation runbook is based on the Restart-ServiceFromAzureAlert runbook, created by the Automation Team and is designed to take the payload from an Azure Alert based on a Log Analytics query for stopped services. 
     
    This runbook parses out the comptuter name and service name so that it could be extended to start the service 
    on the machine downloading a script from a storage account and running it. 
 
 
.DESCRIPTION 
    This sample automation runbook is designed to take the payload from an Azure Alert based on a Log Analytics 
    query for stopped services. 
     
    This runbook parses out the comptuter name and service name so that it could be extended to start the service 
    on the machine downloading a script from a storage account and running it. 
 
 
    The query used from Log Analytics Azure Alert is:  
 
    Event 
    | where ServiceName_CF == "Print Spooler" and ServiceState_CF == "stopped" 
 
    Two custom fields have been created to be used on the previous query to extract the service display name and service state. 
 
.PARAMETER WebhookData 
    Optional. The Alert will pass in the json body of the above query when it is activated. 
 
.NOTES 
    AUTHOR: Everson Amancio, with Kleber Alves contribution 
    RELEASE: April 03rd, 2019 
    LASTEDIT: April 03rd, 2019 
        - Updated for schema change 
 
#>
 

This sample automation runbook is based on the Restart-ServiceFromAzureAlert runbook, created by the Automation Team and is designed to take the payload from an Azure Alert based on a Log Analytics query for stopped services.

This runbook parses out the comptuter name and service name so that it could be extended to start the service on the machine downloading a script from a storage account and running it.

The query used from Log Analytics Azure Alert is:

    Event
    | where ServiceName_CF == "Print Spooler" and ServiceState_CF == "stopped"

Two custom fields have been created to be used on the previous query to extract the service display name and service state.

A script to start the service must be created and hosted in a blob storage container, to be downloaded and executed.