Vytvoření pravidel upozornění protokolu služby Azure Monitor a správa instancí výstrah

V tomto článku se dozvíte, jak vytvořit pravidla upozornění protokolu a spravovat instance výstrah. Upozornění protokolu služby Azure Monitor umožňují uživatelům použít dotaz Log Analytics k vyhodnocení protokolů prostředků podle nastavené frekvence a vyvolání výstrahy na základě výsledků. Pravidla můžou aktivovat jednu nebo více akcí pomocí pravidel zpracování výstrah a skupin akcí. Tady se dozvíte o konceptech upozornění protokolu.

Pravidlo upozornění vytvoříte kombinací:

  • Prostředky, které se mají monitorovat.
  • Signál nebo telemetrie z prostředku
  • Podmínky

A pak definováním těchto prvků aktivované výstrahy:

  • Pravidla zpracování výstrah
  • Skupiny akcí

Můžete také vytvořit pravidla upozornění protokolu pomocí šablon Azure Resource Manager.

Vytvoření nového pravidla upozornění protokolu v Azure Portal

  1. Na portálu vyberte příslušný prostředek. Doporučujeme monitorování ve velkém měřítku pomocí předplatného nebo skupiny prostředků.

  2. V nabídce Prostředek vyberte Protokoly.

  3. Napište dotaz, který najde události protokolu, pro které chcete vytvořit výstrahu. Můžete použít článek s příklady dotazů upozornění , abyste pochopili, co můžete zjistit nebo začít psát vlastní dotaz. Naučíte se také, jak vytvářet optimalizované dotazy na upozornění.

  4. Na horním panelu příkazů vyberte + Nové pravidlo upozornění.

    Create new alert rule.

  5. Otevře se karta Podmínka naplněná dotazem protokolu.

    Ve výchozím nastavení pravidlo počítá počet výsledků za posledních 5 minut.

    Pokud systém zjistí souhrnné výsledky dotazu, pravidlo se automaticky aktualizuje s danými informacemi.

    Conditions Tab.

  6. V části Měření vyberte hodnoty pro tato pole:

    Pole Description
    Measure Upozornění protokolu můžou měřit dvě různé věci, které se dají použít pro různé scénáře monitorování:
    Řádky tabulky: Počet vrácených řádků lze použít k práci s událostmi, jako jsou Windows protokoly událostí, syslog, výjimky aplikace.
    Výpočet číselného sloupce: Výpočty založené na libovolném číselném sloupci lze použít k zahrnutí libovolného počtu prostředků. Například procento procesoru.
    Typ agregace Výpočet provedený u více záznamů, které je agregují na jednu číselnou hodnotu pomocí agregační členitosti. Příklad: Total, Average, Minimum nebo Maximum.
    Členitost agregace Interval agregace více záznamů na jednu číselnou hodnotu.

    Measurements.

  7. (Volitelné) V části Rozdělení podle dimenzí můžete vytvořit upozornění zaměřená na prostředky ve velkém měřítku pro předplatné nebo skupinu prostředků. Rozdělení podle dimenzí seskupuje kombinace číselných nebo řetězcových sloupců pro monitorování stejné podmínky u více prostředků Azure.

    Pokud vyberete více než jednu hodnotu dimenze, každá časová řada, která bude výsledkem kombinace, aktivuje vlastní výstrahu a účtuje se zvlášť. Datová část upozornění zahrnuje kombinaci, která výstrahu aktivovala.

    Pro libovolné typy čísel nebo textových sloupců můžete vybrat až šest dalších rozdělení.

    Můžete se také rozhodnout , že se nechcete rozdělit, pokud chcete použít podmínku pro více prostředků v oboru. Pokud například chcete aktivovat výstrahu, pokud má alespoň pět počítačů v oboru skupiny prostředků využití procesoru přes 80 %.

    Vyberte hodnoty pro tato pole:

    Pole Description
    Název dimenze Dimenze můžou být číselné nebo řetězcové sloupce. Dimenze slouží k monitorování konkrétních časových řad a poskytování kontextu aktivovanému upozornění.
    Rozdělení ve sloupci Azure Resource ID vytvoří zadaný prostředek do cíle upozornění. Pokud se zjistí sloupec ID prostředku, vybere se automaticky a změní kontext aktivovaného upozornění na prostředek záznamu.
    Operátor Operátor použitý pro název a hodnotu dimenze.
    Hodnoty dimenzí Hodnoty dimenzí jsou založené na datech z posledních 48 hodin. Pokud chcete přidat vlastní hodnoty dimenzí, vyberte Přidat vlastní hodnotu .

    Screenshot of the splitting by dimensions section of a new log alert rule.

  8. V části Logika upozornění vyberte hodnoty pro tato pole:

    Pole Description
    Operátor Výsledky dotazu se transformují na číslo. V tomto poli vyberte operátor, který chcete použít k porovnání čísla s prahovou hodnotou.
    Prahová hodnota Číselná hodnota prahové hodnoty.
    Frekvence hodnocení Interval, ve kterém se dotaz spouští. Můžete nastavit od minuty do dne.

    Screenshot of alert logic section of a new log alert rule.

  9. (Volitelné) V části Upřesnit možnosti můžete určit počet selhání a období vyhodnocení výstrahy potřebné k aktivaci výstrahy. Pokud například nastavíte členitost agregace na 5 minut, můžete určit, že chcete aktivovat výstrahu jenom v případě, že v poslední hodině došlo ke třem selháním (15 minut). Toto nastavení definuje vaše firemní zásady aplikace.

    Vyberte hodnoty pro tato pole v části Počet porušení, která výstrahu aktivují:

    Pole Description
    Počet porušení Počet porušení, ke kterým musí dojít k aktivaci výstrahy.
    Zkušební období Doba, po kterou k těmto porušením musí dojít.
    Přepsání časového rozsahu dotazů Do tohoto pole zadejte hodnotu, pokud se období vyhodnocení výstrahy liší od časového rozsahu dotazů.
    Časový rozsah upozornění je omezený na maximálně dva dny. I když dotaz obsahuje příkaz před s časovým rozsahem delším než 2 dny, použije se 2denní maximální časový rozsah. Například i když text dotazu obsahuje před(7d), dotaz prohledá pouze až 2 dny dat.
    Pokud dotaz vyžaduje více dat než vyhodnocení výstrahy a v dotazu neexistuje žádný příkaz před , můžete časový rozsah změnit ručně.

    Screenshot of the advanced options section of a new log alert rule.

  10. Graf Náhled zobrazuje výsledky vyhodnocení dotazů v průběhu času. Můžete změnit období grafu nebo vybrat různé časové řady, které byly výsledkem jedinečného rozdělení výstrah podle dimenzí.

    Screenshot of a preview of a new alert rule.

  11. Od tohoto okamžiku můžete kdykoli vybrat tlačítko Zkontrolovat a vytvořit .

  12. Na kartě Akce vyberte nebo vytvořte požadované skupiny akcí.

    Actions tab.

  13. Na kartě Podrobnosti definujte podrobnosti Project a podrobnosti pravidla upozornění.

  14. (Volitelné) V části Upřesnit možnosti můžete nastavit několik možností, včetně toho, jestli se má povolit při vytváření, nebo po aktivaci pravidla upozornění ztlumit akce po určitou dobu.

    Details tab.

    Poznámka

    Pokud jste vy nebo váš správce přiřadili Azure Policy upozornění služby Azure Log Search u pracovních prostorů Služby Log Analytics byste měli používat klíče spravované zákazníkem, musíte v rozšířených možnostech vybrat možnost Zkontrolovat propojené úložiště pracovního prostoru nebo vytvoření pravidla selže, protože nesplňuje požadavky zásad.

  15. Na kartě Značky nastavte všechny požadované značky v prostředku pravidla upozornění.

    Tags tab.

  16. Na kartě Revize a vytvoření se spustí ověření a informuje vás o všech problémech.

  17. Po ověření a zkontrolujte nastavení, vyberte tlačítko Vytvořit .

    Review and create tab.

Poznámka

Tato část výše popisuje vytvoření pravidel upozornění pomocí průvodce novým pravidlem upozornění. Nové prostředí pravidel upozornění je trochu jiné než to staré. Mějte prosím na paměti tyto změny:

  • Dříve se výsledky vyhledávání zahrnuly do datové části aktivovaného upozornění a souvisejících oznámení. Toto řešení bylo omezené, protože e-mail obsahoval pouze 10 řádků z nefiltrovaných výsledků, zatímco datová část webhooku obsahovala 1000 nefiltrovaných výsledků. Chcete-li získat podrobné kontextové informace o upozornění, abyste se mohli rozhodnout o příslušné akci:
    • Doporučujeme používat dimenze. Dimenze poskytují hodnotu sloupce, který upozornění vyvolal, a poskytují tak kontext, proč se upozornění vyvolalo a jak problém odstranit.
    • Pokud potřebujete prozkoumat protokoly, použijte v upozornění odkaz na výsledky hledání v části Protokoly.
    • Pokud potřebujete nezpracované výsledky vyhledávání nebo jiné pokročilé kustomizace, využijte Logic Apps.
  • Nový průvodce pravidly upozornění nepodporuje kustomizace datové části JSON.
    • Pomocí vlastních vlastností v novém rozhraní API můžete přidat statické parametry a související hodnoty do akcí webhooků aktivovaných tímto upozorněním.
    • Pro pokročilejší kustomizace využijte Logic Apps.
  • Nový průvodce pravidly upozornění nepodporuje kustomizace předmětu e-mailu.
    • Zákazníci často využívají vlastní předmět e-mailu k označení prostředku, pro který bylo upozornění aktivováno (namísto použití pracovního prostoru služby Log Analytics). Pomocí nového rozhraní API aktivujte upozornění na požadovaný prostředek pomocí sloupce ID prostředku.
    • Pro pokročilejší kustomizace využijte Logic Apps.

Poznámka

Funkce doporučení k pravidlům upozornění je aktuálně ve verzi Preview a je povolená jenom pro virtuální počítače.

Pokud nemáte pro vybraný prostředek definovaná pravidla upozornění, a to buď jednotlivě, nebo jako součást skupiny prostředků nebo předplatného, můžete povolit naše doporučená předem připravená pravidla upozornění.

Screenshot of alerts page with link to recommended alert rules.

Systém zkompiluje seznam doporučených pravidel upozornění na základě:

  • Znalosti poskytovatele prostředků o důležitých signálech a prahových hodnotách pro monitorování prostředku
  • Telemetrie, která nám říká, na co zákazníci běžně upozorňují na tento prostředek.

Povolení doporučených pravidel upozornění:

  1. Na stránce Upozornění vyberte Povolit doporučená pravidla upozornění. Otevře se podokno Povolit doporučená pravidla upozornění se seznamem doporučených pravidel upozornění na základě typu prostředku.
  2. V části Výstraha pro mě vyberte všechna pravidla, která chcete povolit. Pravidla jsou naplněna výchozími hodnotami podmínky pravidla, jako je procento využití procesoru, které chcete aktivovat výstrahu. Pokud chcete, můžete změnit výchozí hodnoty.
  3. V části Oznámit mi vyberte způsob, jakým chcete být upozorněni, pokud se aktivuje upozornění.
  4. Vyberte Povolit.

Screenshot of recommended alert rules pane.

Správa pravidel upozornění na portálu Upozornění

Poznámka

Tato část popisuje, jak spravovat pravidla upozornění vytvořená v nejnovějším uživatelském rozhraní nebo pomocí verze rozhraní API novější než 2018-04-16. Informace o zobrazení a správě pravidel upozornění vytvořených v předchozích verzích najdete v tématu Zobrazení a správa pravidel upozornění vytvořených v předchozím uživatelském rozhraní.

  1. Na portálu vyberte příslušný prostředek.
  2. V části Monitorování vyberte Výstrahy.
  3. Na horním panelu příkazů vyberte Pravidla upozornění.
  4. Vyberte pravidlo upozornění, které chcete upravit.
  5. Upravte všechna potřebná pole a pak vyberte Uložit na horním panelu příkazů.

Správa upozornění protokolu pomocí rozhraní příkazového řádku

Tato část popisuje, jak spravovat upozornění protokolu pomocí azure CLI pro různé platformy. Nejrychlejší způsob, jak začít používat Azure CLI, je prostřednictvím Azure Cloud Shell. V tomto článku použijeme Cloud Shell.

Poznámka

Podpora Rozhraní příkazového řádku Azure je dostupná jenom pro plánovanou verzi 2021-08-01 rozhraní APIQueryRules a novější. Předchozí verze rozhraní API můžou používat Azure Resource Manager CLI se šablonami, jak je popsáno níže. Pokud používáte starší rozhraní API upozornění Log Analytics, budete muset přepnout na používání rozhraní příkazového řádku. Přečtěte si další informace o přepínání.

  1. Na portálu vyberte Cloud Shell.
  2. Na příkazovém řádku můžete pomocí příkazů s --help možností získat další informace o příkazu a o tom, jak ho používat. Například následující příkaz ukazuje seznam příkazů dostupných pro vytváření, prohlížení a správu upozornění protokolu:
    az monitor scheduled-query --help
    
  3. Můžete vytvořit pravidlo upozornění protokolu, které monitoruje počet chyb událostí systému:
    az monitor scheduled-query create -g {ResourceGroup} -n {nameofthealert} --scopes {vm_id} --condition "count \'union Event, Syslog | where TimeGenerated > ago(1h) | where EventLevelName == \"Error\" or SeverityLevel== \"err\"\' > 2" --description {descriptionofthealert}
    
  4. Všechna upozornění protokolu ve skupině prostředků můžete zobrazit pomocí následujícího příkazu:
    az monitor scheduled-query list -g {ResourceGroup}
    
  5. Podrobnosti o konkrétním pravidlu upozornění protokolu můžete zobrazit pomocí názvu nebo ID prostředku pravidla:
    az monitor scheduled-query show -g {ResourceGroup} -n {AlertRuleName}
    
    az monitor scheduled-query show --ids {RuleResourceId}
    
  6. Pravidlo upozornění protokolu můžete zakázat pomocí následujícího příkazu:
    az monitor scheduled-query update -g {ResourceGroup} -n {AlertRuleName} --disabled false
    
  7. Pravidlo upozornění protokolu můžete odstranit pomocí následujícího příkazu:
    az monitor scheduled-query delete -g {ResourceGroup} -n {AlertRuleName}
    

Azure Resource Manager CLI můžete použít také se soubory šablon:

az login
az deployment group create \
    --name AlertDeployment \
    --resource-group ResourceGroupofTargetResource \
    --template-file mylogalerttemplate.json \
    --parameters @mylogalerttemplate.parameters.json

Při úspěšném vytvoření se vrátí verze 201. Při úspěchu aktualizace se vrátí verze 200.

Další kroky