Creación de reglas de alertas de registro de Azure Monitor y administración de instancias de alertas

  • Artículo
  • Tiempo de lectura: 9 minutos

En este artículo se muestra cómo crear reglas de alertas de registro y administrar las instancias de alertas. Las alertas de registro de Azure Monitor permiten a los usuarios usar una consulta de Log Analytics para evaluar los registros de recursos según una frecuencia establecida y activar una alerta en función de los resultados. Las reglas pueden desencadenar una o varias acciones mediante reglas de procesamiento de alertas y grupos de acciones. Obtenga información sobre los conceptos que hay detrás de las alertas de registro aquí.

Para crear una regla de alerta, combine lo siguiente:

  • Recursos que se van a supervisar
  • Señal o telemetría del recurso
  • Condiciones

Y luego defina estos elementos de la alerta desencadenada:

  • Reglas de procesamiento de alertas
  • Grupos de acciones

También puede crear reglas de alerta de registros con plantillas de Azure Resource Manager.

Creación de una regla de alerta de registro nueva en Azure Portal

  1. En el portal, seleccione el recurso pertinente. Se recomienda supervisar a escala mediante una suscripción o un grupo de recursos.

  2. En el menú Recursos, seleccione Registros.

  3. Escriba una consulta que busque los eventos de registro para los que desea crear una alerta. Puede usar el artículo de ejemplos de consultas de alertas para comprender qué puede detectar, o bien puede empezar a escribir su propia consulta. Además, aprenda a crear consultas de alertas optimizadas.

  4. En la barra de comandos superior, seleccione + Nueva regla de alertas.

    Creación de una nueva regla de alertas.

  5. Se abre la pestaña Condición, con la consulta de registro.

    De forma predeterminada, la regla cuenta el número de resultados de los últimos cinco minutos.

    Si el sistema detecta resultados resumidos de la consulta, la regla se actualiza automáticamente con esa información.

    Pestaña Condiciones.

  6. En la sección Medida, seleccione valores para estos campos:

    Campo Descripción
    Medida Las alertas de registro pueden medir dos cosas diferentes, que se pueden usar para distintos escenarios de supervisión:
    Filas de tabla: el número de filas devueltas se puede usar para trabajar con eventos, como registros de eventos de Windows, syslog y excepciones de aplicación.
    Cálculo de una columna numérica: se pueden usar cálculos a partir de cualquier columna numérica para incluir cualquier número de recursos. Por ejemplo, porcentaje de CPU.
    Tipo de agregación Cálculo que se realiza en varios registros para agregarlos a un valor numérico mediante la granularidad de agregación definida. Por ejemplo: Total, Promedio, Mínimo o Máximo.
    Granularidad de agregación Intervalo para agregar varios registros a un valor numérico.

    Medidas.

  7. (Opcional) En la sección Dividir por dimensiones, puede crear alertas centradas en recursos a escala para una suscripción o grupo de recursos. La división por dimensiones agrupa combinaciones de columnas numéricas o de cadena para supervisar la misma condición en varios recursos de Azure.

    Si selecciona más de un valor de dimensión, cada serie temporal que se obtiene de la combinación desencadena su propia alerta y se cobra por separado. La carga de la alerta incluye la combinación que desencadenó la alerta.

    Puede seleccionar hasta seis divisiones más para cualquier tipo de columnas de texto o número.

    También puede decidir no dividirlas cuando quiere una condición aplicada a varios recursos del ámbito. Por ejemplo, si quiere activar una alerta si al menos cinco máquinas del ámbito del grupo de recursos tienen un uso de CPU por encima del 80 %.

    Seleccione los valores de estos campos:

    Campo Descripción
    Nombre de dimensión Las dimensiones pueden ser columnas numéricas o de cadena. Las dimensiones se usan para supervisar series temporales específicas y proporcionan contexto a la alerta desencadenada.
    La división en la columna de id. de recurso de Azure convierte el recurso especificado en el destino de la alerta. Si se detecta una columna de id. de recurso, se selecciona automáticamente y cambia el contexto de la alerta activada al recurso del registro.
    Operador Operador utilizado en el nombre y el valor de la dimensión.
    Valores de dimensión Los valores de dimensión se basan en los datos de las últimas 48 horas. Seleccione Agregar valor personalizado para agregar valores de dimensión personalizados.

    Captura de pantalla de la sección de división por dimensiones de una nueva regla de alertas de registro.

  8. En la sección Lógica de alerta, seleccione valores para estos campos:

    Campo Descripción
    Operador Los resultados de la consulta se transforman en un número. En este campo, seleccione el operador que se va a usar para comparar el número con respecto al umbral.
    Valor del umbral Valor numérico para el umbral.
    Frecuencia de evaluación El intervalo en el que se ejecuta la consulta. Se puede establecer entre un minuto y un día.

    Captura de pantalla de la sección de lógica de alerta de una nueva regla de alertas de registro.

  9. (Opcional) En la sección Opciones avanzadas, puede especificar el número de errores y el período de evaluación de alerta necesario para desencadenar una alerta. Por ejemplo, si establece Granularidad de agregación en 5 minutos, puede especificar que solo desea desencadenar una alerta si se produjeron tres errores (15 minutos) en la última hora. Esta configuración se define mediante la directiva empresarial de la aplicación.

    Seleccione los valores de estos campos en Número de infracciones que desencadenarán la alerta:

    Campo Descripción
    Número de infracciones Número de infracciones que deben producirse para desencadenar la alerta.
    Período de evaluación Cantidad de tiempo dentro del cual deben producirse esas infracciones.
    Reemplazar intervalo de tiempo de consulta Escriba un valor para este campo si el período de evaluación de la alerta es diferente del intervalo de tiempo de la consulta.
    Un intervalo de tiempo de alerta está limitado a un máximo de dos días. Incluso si la consulta contiene un comando ago con un intervalo de tiempo de más de dos días, se aplica el intervalo de tiempo máximo de dos días. Por ejemplo, incluso si el texto de la consulta contiene ago(7d), la consulta solo examina hasta dos días de datos.
    También puede cambiar el intervalo de tiempo manualmente en los casos en los que la consulta requiera más datos que la evaluación de alertas, incluso si en la consulta no se incluye ningún comando ago.

    Captura de pantalla de la sección de opciones avanzadas de una nueva regla de alertas de registro.

  10. En el gráfico de Vista previa se muestran los resultados de las evaluaciones de consulta a lo largo del tiempo. Puede cambiar el período del gráfico o seleccionar series temporales diferentes resultado de la división de alertas únicas por dimensiones.

    Captura de pantalla de una vista previa de una nueva regla de alertas de registro.

  11. Desde este punto en adelante, puede seleccionar el botón Revisar y crear en cualquier momento.

  12. En la pestaña Acciones, seleccione o cree los grupos de acciones necesarios.

    Pestaña Acciones.

  13. En la pestaña Detalles, defina los valores de Detalles de proyecto y Detalles de la regla de alertas.

  14. (Opcional) En la sección Opciones avanzadas, puede establecer varias opciones, como Habilitar tras la creación o Silenciar las acciones durante un período después de que se desencadene la regla de alerta.

    Pestaña Detalles.

    Nota

    Si usted o el administrador ha asignado la Azure Policy Las alertas de búsqueda de registros de Azure sobre las áreas de trabajo de Log Analytics deben usar claves administradas por el cliente, debe seleccionar la opción Comprobación del almacenamiento vinculado al área de trabajo en Opciones avanzadas o se producirá un error en la creación de la regla, ya que no cumplirá los requisitos de la directiva.

  15. En la pestaña Etiquetas, configure las etiquetas necesarias en el recurso de la regla de alertas.

    Pestaña Etiquetas.

  16. En la pestaña Revisar y crear, se ejecutará una validación y se informará de cualquier problema.

  17. Cuando se supere la validación y se haya revisado la configuración, seleccione el botón Crear.

    Pestaña Revisar y crear.

Nota

En esta sección anterior se describe la creación de reglas de alerta mediante el asistente para nueva regla de alerta. La nueva experiencia de reglas de alerta es un poco diferente de la experiencia anterior. Tenga en cuenta estos cambios:

  • Anteriormente, los resultados de la búsqueda se incluían en las cargas de la alerta desencadenada y sus notificaciones asociadas. Se trata de una solución limitada, ya que el correo electrónico solo incluía 10 filas de los resultados sin filtrar mientras que la carga del webhook contenía 1000 resultados sin filtrar. Para obtener información de contexto detallada sobre la alerta para que pueda decidir sobre la acción adecuada:
    • Se recomienda usar Dimensiones. Las dimensiones proporcionan el valor de columna que ha desencadenado la alerta, lo que proporciona contexto para saber por qué se ha desencadenado la alerta y cómo corregir el problema.
    • Cuando necesite investigar en los registros, use el vínculo de la alerta a los resultados de la búsqueda en Registros.
    • Si necesita los resultados de la búsqueda sin procesar o para cualquier otra personalización avanzada, use Logic Apps.
  • El asistente para crear una regla de alertas no admite la personalización de la carga JSON.
    • Use propiedades personalizadas en la nueva API para agregar parámetros estáticos y valores asociados a las acciones de webhook desencadenadas por la alerta.
    • Para personalizaciones más avanzadas, use Logic Apps.
  • El asistente para crear una regla de alertas no admite la personalización del asunto de correo electrónico.
    • A menudo, los clientes usan el asunto de correo electrónico personalizado para indicar el recurso en el que se ha desencadenado la alerta, en lugar de usar el área de trabajo de Log Analytics. Use la nueva API para desencadenar una alerta del recurso deseado mediante la columna de identificador de recurso.
    • Para personalizaciones más avanzadas, use Logic Apps.

Administración de reglas de alerta en el portal de alertas

Nota

En esta sección se describe cómo administrar las reglas de alerta creadas en la interfaz de usuario más reciente o mediante una versión de API posterior a 2018-04-16. Consulte Visualización y administración de reglas de alerta creadas en versiones anteriores para obtener información sobre cómo ver y administrar las reglas de alerta creadas en la interfaz de usuario anterior.

  1. En el portal, seleccione el recurso pertinente.
  2. En Supervisión, seleccione Alertas.
  3. En la barra de comandos superior, seleccione Regla de alertas.
  4. Seleccione la regla de alerta que quiere editar.
  5. Edite los campos necesarios y seleccione Guardar en la barra de comandos superior.

Administración de alertas de registro mediante la CLI

En esta sección se describe cómo administrar las alertas de registro mediante la CLI de Azure multiplataforma. La forma más rápida de comenzar a utilizar la CLI de Azure es a través de Azure Cloud Shell. En este artículo, usaremos Cloud Shell.

Nota

La compatibilidad con la CLI de Azure solo está disponible para la versión 2021-08-01 y versiones posteriores de la API scheduledQueryRules. Las versiones anteriores de API pueden usar la CLI Azure Resource Manager con plantillas, como se describe a continuación. Si usa la versión Alert API de Log Analytics heredada, deberá cambiar a usar la CLI. Más información sobre cómo cambiar.

  1. En el portal, seleccione Cloud Shell.
  2. En el símbolo del sistema, puede usar los comandos con la opción --help para obtener más información sobre el comando y cómo usarlo. Por ejemplo, el comando siguiente muestra la lista de comandos disponibles para crear, ver y administrar alertas de registro:
    az monitor scheduled-query --help
  3. Puede crear una regla de alertas de registro que supervise el número de errores de eventos del sistema:
    az monitor scheduled-query create -g {ResourceGroup} -n {nameofthealert} --scopes {vm_id} --condition "count \'union Event, Syslog | where TimeGenerated > ago(1h) | where EventLevelName == \"Error\" or SeverityLevel== \"err\"\' > 2" --description {descriptionofthealert}
  4. Puede ver todas las alertas de registro de un grupo de recursos con el siguiente comando:
    az monitor scheduled-query list -g {ResourceGroup}
  5. Puede ver los detalles de una regla de alertas de registro determinada usando el nombre o el identificador del recurso de la regla:
    az monitor scheduled-query show -g {ResourceGroup} -n {AlertRuleName}

    az monitor scheduled-query show --ids {RuleResourceId}
  6. Puede deshabilitar una regla de alertas de registro con el comando siguiente:
    az monitor scheduled-query update -g {ResourceGroup} -n {AlertRuleName} --disabled false
  7. Puede eliminar una regla de alertas de registro con el comando siguiente:
    az monitor scheduled-query delete -g {ResourceGroup} -n {AlertRuleName}

También puede usar la CLI de Azure Resource Manager con archivos de plantillas:

az login
az deployment group create \
    --name AlertDeployment \
    --resource-group ResourceGroupofTargetResource \
    --template-file mylogalerttemplate.json \
    --parameters @mylogalerttemplate.parameters.json

Si se crea correctamente, se devuelve 201. Si se actualiza correctamente, se devuelve 200.

Pasos siguientes