Vytváření, zobrazování a správa výstrah protokolu aktivit pomocí Azure Monitor

Výstrahy protokolu aktivit jsou výstrahy, které se aktivují, když dojde k nové události protokolu aktivit, která odpovídá podmínkám zadaným ve výstraze. Tato upozornění pro prostředky Azure vytvoříte pomocí šablony Azure Resource Manager. Tyto výstrahy můžete také vytvořit, aktualizovat nebo odstranit v Azure Portal.

Obvykle vytváříte výstrahy protokolu aktivit pro příjem oznámení, když dojde k určitým změnám prostředků ve vašem předplatném Azure. Výstrahy jsou často vymezené na konkrétní skupiny prostředků nebo prostředky. Například můžete chtít být upozorněni na odstranění libovolného virtuálního počítače v ukázkové skupině prostředků myProductionResourceGroup . Nebo můžete chtít dostávat oznámení, pokud jsou všechny nové role přiřazené uživateli v rámci vašeho předplatného.

Při vytváření pravidel upozornění se ujistěte, že:

• Předplatné v oboru se neliší od předplatného, ve kterém se výstraha vytvořila.
• Tato kritéria musí být kategorie události úroveň, stav, volající, skupina prostředků, ID prostředku nebo typ prostředku, na kterém je výstraha nakonfigurovaná.
• anyOfVe formátu JSON konfigurace výstrahy není žádná podmínka ani vnořené podmínky. allOfJe povolena pouze jedna podmínka bez dalších allOf anyOf podmínek nebo.
• Pokud je kategorie administrative , musíte zadat alespoň jedno z výše uvedených kritérií v upozornění. Nelze vytvořit výstrahu, která aktivuje při každém vytvoření události v protokolech aktivit.
• Pro události v alert kategorii protokolu aktivit nelze vytvořit výstrahy.

portál Azure

Pomocí Azure Portal můžete vytvářet a upravovat pravidla upozornění protokolu aktivit. Prostředí se integruje s protokolem aktivit Azure a zajišťuje tak bezproblémové vytváření výstrah pro konkrétní události, které vás zajímají. V Azure Portal můžete vytvořit nové pravidlo upozornění protokolu aktivit, a to buď z podokna výstrahy Azure Monitor, nebo z podokna Azure Monitor protokolu aktivit.

Vytvoření pravidla výstrahy z podokna výstrahy Azure Monitor

Tady je postup, jak vytvořit pravidlo upozornění protokolu aktivit v Azure Portal:

1. V Azure Portalvyberte monitorovat. Podokno monitorování slučuje všechna nastavení monitorování a data v jednom zobrazení.

2. Vyberte výstrahy > a nové pravidlo výstrahy.

   

   Tip

   Většina podoken prostředků má také výstrahy v nabídce prostředek v části monitorování. Z této služby můžete také vytvořit výstrahy.

3. Zvolte možnost vybrat cíl a potom vyberte cílový prostředek, na kterém chcete upozornit. Chcete-li najít prostředek, který chcete monitorovat, použijte seznamy v předplatném a v typu prostředku. K vyhledání prostředku můžete použít také panel hledání.

   Poznámka

   Jako cíl můžete vybrat celé předplatné, skupinu prostředků nebo konkrétní prostředek. Pokud jako cíl zvolíte předplatné nebo skupinu prostředků a zároveň vyberete typ prostředku, pravidlo bude platit pro všechny prostředky daného typu v rámci vybraného předplatného nebo skupiny prostředků. Zvolíte-li konkrétní cílový prostředek, pravidlo bude platit pouze pro daný prostředek. Pomocí cílového selektoru nemůžete explicitně vybrat více předplatných, skupin prostředků nebo prostředků.

4. Pokud má vybraný prostředek operace s protokolem aktivit, na kterých můžete vytvářet výstrahy, zobrazí se seznam dostupných typů signálů v seznamu Protokol aktivit. V operacích poskytovatele prostředků Azuresi můžete prohlédnout úplný seznam typů prostředků podporovaných pro výstrahy protokolu aktivit.

   

5. Po výběru cílového prostředku vyberte Přidat podmínku.

6. Zobrazí se seznam signálů podporovaných pro daný prostředek, což zahrnuje tyto signály z různých kategorií protokolu aktivit. Vyberte signál nebo operaci protokolu aktivit, na kterých chcete vytvořit výstrahu.

7. V průběhu posledních šesti hodin se zobrazí graf pro operaci protokolu aktivit. V rozevíracím seznamu období grafu můžete zobrazit delší historii operace.

8. V části logika výstrahy můžete volitelně definovat další kritéria filtrování:

   • Úroveň události: úroveň závažnosti události: verbose, informativní, varovná, Chyba nebo kritická.
   • Stav: stav události: spuštěno, selhalo nebo proběhlo úspěšně.
   • Událost iniciovaná: taky se označuje jako volající. e-mailová adresa nebo Azure Active Directory identifikátor uživatele, který operaci provedl.

   Poznámka

   Definování alespoň jednoho z těchto kritérií vám pomůže dosáhnout účinnějších pravidel. Pokud je například rozsah výstrahy celé předplatné a vybraný signál je All Administrative Operations , bude vaše pravidlo konkrétnější, pokud zadáte informace o úrovni události, stavu nebo spuštění.

9. Vyberte Hotovo.

   

10. Vyplňte podrobnosti výstrahy, jako je název pravidla výstrahy, Popis a závažnost.

    Poznámka

    Závažnost výstrahy pro výstrahy protokolu aktivit nejde aktuálně nakonfigurovat uživatelem. Úroveň závažnosti se vždy nastaví jako výchozí Sev4.

11. Přidejte do výstrahy skupinu akcí, a to buď výběrem existující skupiny akcí, nebo vytvořením nové skupiny akcí.

12. Vyberte Hotovo a uložte pravidlo upozornění protokolu aktivit.

Vytvoření pravidla výstrahy z podokna protokolu aktivit Azure Monitor

Alternativním způsobem, jak vytvořit upozornění protokolu aktivit, je spustit událost protokolu aktivit, ke které už došlo, prostřednictvím protokolu aktivit v Azure Portal.

1. V podokně Protokol aktivit Azure monitor můžete vyfiltrovat nebo najít požadovanou událost a pak vytvořit výstrahu v budoucích podobných událostech tak, že vyberete Přidat upozornění protokolu aktivit.

   

2. Otevře se podokno Vytvoření pravidla výstrahy s oborem pravidla upozornění a podmínkou, která je již k dispozici na základě dříve vybrané události protokolu aktivit. V případě potřeby můžete upravit a upravit obor a podmínku v této fázi. Všimněte si, že ve výchozím nastavení se přesný rozsah a podmínka pro nové pravidlo zkopírují z původních atributů události. Například přesný prostředek, na kterém došlo k události, a konkrétní název uživatele nebo služby, který událost inicioval, jsou ve výchozím nastavení zahrnuty v novém pravidle výstrahy. Pokud chcete vytvořit pravidlo upozornění obecnější, upravte obor a podmínku odpovídajícím způsobem (viz kroky 3-9 v části Vytvoření pravidla výstrahy v podokně výstrahy Azure Monitor).

3. Pak postupujte podle kroků 10-12 v části Vytvoření pravidla výstrahy z podokna výstrahy Azure Monitor.

Zobrazení a správa v Azure Portal

1. V Azure Portal vyberte monitorovat > výstrahy. Pak vyberte Spravovat pravidla výstrah.

   

   Zobrazí se seznam dostupných pravidel.

2. Vyfiltrujte nebo vyhledejte pravidlo protokolu aktivit, které chcete upravit.

   

   K vyhledání pravidla aktivity, které chcete upravit, můžete použít dostupné filtry, předplatné, skupinu prostředků, prostředek, typ signálu nebo stav.

3. Vyberte pravidlo a dvakrát klikněte pro úpravu možností pravidla. Proveďte požadované změny a pak vyberte Uložit.

Šablona Azure Resource Manageru

Chcete-li vytvořit pravidlo upozornění protokolu aktivit pomocí šablony Azure Resource Manager, vytvořte prostředek typu microsoft.insights/activityLogAlerts . Pak vyplníte všechny související vlastnosti. Tady je šablona, která vytvoří pravidlo upozornění protokolu aktivit:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "activityLogAlertName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Activity log alert."
      }
    },
    "activityLogAlertEnabled": {
      "type": "bool",
      "defaultValue": true,
      "metadata": {
        "description": "Indicates whether or not the alert is enabled."
      }
    },
    "actionGroupResourceId": {
      "type": "string",
      "metadata": {
        "description": "Resource Id for the Action group."
      }
    }
  },
  "resources": [   
    {
      "type": "Microsoft.Insights/activityLogAlerts",
      "apiVersion": "2017-04-01",
      "name": "[parameters('activityLogAlertName')]",      
      "location": "Global",
      "properties": {
        "enabled": "[parameters('activityLogAlertEnabled')]",
        "scopes": [
            "[subscription().id]"
        ],        
        "condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "operationName",
              "equals": "Microsoft.Resources/deployments/write"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        },
        "actions": {
          "actionGroups":
          [
            {
              "actionGroupId": "[parameters('actionGroupResourceId')]"
            }
          ]
        }
      }
    }
  ]
}

Předchozí ukázkový JSON může být uložen jako například sampleActivityLogAlert. JSON. Ukázku můžete nasadit pomocí Azure Resource Manager v Azure Portal.

Následující pole jsou možnosti, které můžete použít v šabloně Azure Resource Manager pro pole podmínky. (Všimněte si, že Resource Health, Poradce a Service Health mají zvláštní pole vlastností pro jejich speciální pole.)

1. resourceId: ID prostředku ovlivněného prostředku v události protokolu aktivit, na které má být výstraha vygenerována.
2. category: Kategorie události protokolu aktivit. Například: Administrative , ServiceHealth , ResourceHealth , Autoscale , Security , Recommendation nebo Policy .
3. caller: e-mailová adresa nebo Azure Active Directory identifikátor uživatele, který provedl operaci události protokolu aktivit.
4. level: Úroveň aktivity v události protokolu aktivit, pro kterou má být výstraha vygenerována. Například: Critical , Error , Warning , Informational nebo Verbose .
5. operationName: Název operace v události protokolu aktivit. Příklad: Microsoft.Resources/deployments/write.
6. resourceGroup: Název skupiny prostředků pro ovlivněný prostředek v události protokolu aktivit.
7. resourceProvider: Další informace najdete v tématu Poskytovatelé a typyprostředků Azure. Seznam, který mapuje poskytovatele prostředků na služby Azure, najdete v tématu Poskytovatelé prostředků pro služby Azure.
8. status: Řetězec popisující stav operace v události aktivity. Například: Started , In Progress , , , Succeeded nebo Failed Active Resolved .
9. subStatus: Toto pole je obvykle stavový kód HTTP odpovídajícího volání REST. Může ale obsahovat také další řetězce popisující dílčí stav. Mezi příklady stavových kódů HTTP patří OK (stavový kód HTTP: 200), No Content (stavový kód HTTP: 204) a (stavový kód Service Unavailable HTTP: 503) a mnoho dalších.
10. resourceType: Typ prostředku, který byl ovlivněn událostí. Příklad: Microsoft.Resources/deployments.

Například:

"condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        }

Další informace o polích protokolu aktivit najdete v tématu Schéma událostí protokolu aktivit Azure.

Rozhraní REST API

Rozhraní API Azure Monitor upozornění protokolu aktivit je REST API. Je plně kompatibilní s Azure Resource Manager REST API. Můžete ho použít s PowerShellem pomocí rutiny Resource Manager nebo Azure CLI.

Nasazení šablony Resource Manager pomocí PowerShellu

Pokud chcete k nasazení ukázkové šablony Resource Manager v předchozí části Azure Resource Manager šablony použít PowerShell, použijte následující příkaz:

New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile sampleActivityLogAlert.json -TemplateParameterFile sampleActivityLogAlert.parameters.json

Soubor sampleActivityLogAlert.parameters.json obsahuje hodnoty zadané pro parametry potřebné pro vytvoření pravidla upozornění.

Použití rutin PowerShellu pro protokol aktivit

Upozornění protokolu aktivit mají k dispozici vyhrazené rutiny PowerShellu:

• Set-AzActivityLogAlert:Vytvoří nové upozornění protokolu aktivit nebo aktualizuje existující upozornění protokolu aktivit.
• Get-AzActivityLogAlert:Získá jeden nebo více prostředků upozornění protokolu aktivit.
• Enable-AzActivityLogAlert:Povolí existující upozornění protokolu aktivit a nastaví jeho značky.
• Disable-AzActivityLogAlert:Zakáže existující upozornění protokolu aktivit a nastaví jeho značky.
• Remove-AzActivityLogAlert:Odebere upozornění protokolu aktivit.

Azure CLI

Pravidla upozornění protokolu aktivit můžete spravovat pomocí vyhrazených příkazů Azure CLI v části set az monitor activity-log alert.

Pokud chcete vytvořit nové pravidlo upozornění protokolu aktivit, použijte následující příkazy:

1. az monitor activity-log alert create:Vytvořte nový prostředek pravidla upozornění protokolu aktivit.
2. az monitor activity-log alert scope:Přidejte obor pro vytvořené pravidlo upozornění protokolu aktivit.
3. az monitor activity-log alert action-group:Přidejte skupinu akcí do pravidla upozornění protokolu aktivit.

Pokud chcete načíst jeden prostředek pravidla upozornění protokolu aktivit, použijte příkaz Azure CLI az monitor activity-log alert show. Pokud chcete zobrazit všechny prostředky pravidel upozornění protokolu aktivit ve skupině prostředků, použijte příkaz az monitor activity-log alert list. Prostředky pravidel upozornění protokolu aktivit můžete odebrat pomocí příkazu Azure CLI az monitor activity-log alert delete.

Další kroky

• Přečtěte si o schématu webhooku pro protokoly aktivit.
• Přečtěte si přehled protokolů aktivit.
• Přečtěte si další informace o skupinách akcí.
• Přečtěte si o oznámeních služby Service Health.