Créer ou modifier une règle d’alerte

Cet article montre comment créer une règle d’alerte ou modifier une règle d’alerte existante. Pour en savoir plus sur les alertes, consultez la vue d’ensemble des alertes.

Vous créez une règle d’alerte en combinant :

• Les ressources à superviser.
• Le signal ou les données de la ressource.
• Conditions.

Vous définissez ensuite ces éléments pour les actions d’alerte :

• Groupes d’actions
• Règles de traitement des alertes

Les alertes déclenchées par ces règles d’alerte contiennent une charge utile utilisant le schéma d’alerte courant.

Créer ou modifier une règle d’alerte dans le portail Azure

Il existe plusieurs façons de créer une règle d’alerte.

Pour créer une règle d’alerte à partir de la page d’accueil du portail :

1. Dans le portail, sélectionnez Surveiller>Alertes.

2. Ouvrez le menu + Créer et sélectionnez Règle d’alerte.

   

Pour créer une règle d’alerte à partir d’une ressource spécifique :

1. Dans le portail, accédez à la ressource.

2. Sélectionnez Alertes dans le volet gauche, puis + Créer une>règle d’alerte.

   

Pour modifier une règle d’alerte existante :

1. Dans le portail, à partir de la page d’accueil ou d’une ressource spécifique, sélectionnez Alertes dans le volet gauche.

2. Sélectionnez Règles d’alerte.

3. Sélectionnez la règle d’alerte que vous souhaitez modifier, puis sélectionnez Modifier.

   

4. Sélectionnez l’un des onglets de la règle d’alerte pour modifier les paramètres.

Définir l’étendue de la règle d’alerte

1. Sous le volet Sélectionner une ressource, définissez l’étendue de votre règle d’alerte. Vous pouvez filtrer par abonnement, type de ressource, emplacement de ressource.

2. Sélectionnez Apply.

3. Sélectionnez Suivant : Condition au bas de la page.

   

Définir les conditions de la règle d’alerte

1. Dans l’onglet Condition, lorsque vous sélectionnez le champ Nom du signal, les signaux les plus souvent utilisés s’affichent dans la liste déroulante. Sélectionnez l’un de ces signaux populaires ou l’option Afficher tous les signaux si vous souhaitez choisir un autre signal pour la condition.

   

2. (Facultatif) Si vous avez choisi Afficher tous les signaux lors de l’étape précédente, utilisez le volet Sélectionner un signal pour rechercher le nom du signal ou filtrer la liste des signaux. Filtrer par :

   • Type de signal : le type de règle d’alerte que vous créez.
   • Source du signal : le service envoyant le signal. La liste est préremplie en fonction du type de règle d’alerte que vous avez sélectionné.

   Ce tableau décrit les services disponibles pour chaque type de règle d’alerte :

   Type de signal	Source du signal	Description
   Mesures	Plateforme	Pour les signaux de métriques, le service de surveillance est l’espace de noms des métriques. « Plateforme » signifie que les métriques sont fournies par le fournisseur de ressources, c’est-à-dire Azure.
   	Azure.ApplicationInsights	Métriques remontées par le client, envoyées par le SDK Application Insights.
   	Azure.VM.Windows.GuestMetrics	Métriques d’invité de machine virtuelle, collectées par une extension s’exécutant sur la machine virtuelle. Peut inclure des compteurs de performances de intégrés du système d’exploitation et des compteurs de performances personnalisés.
   	<votre espace de noms personnalisé>	Un espace de noms de métriques personnalisées contenant des métriques personnalisées envoyées avec l’API Métriques d’Azure Monitor.
   Journal	Log Analytics	Le service qui fournit les signaux « Recherche de journaux personnalisés » et « Journal (requête enregistrée) ».
   Journal d’activité	Journal d’activité - Administration	Service qui fournit les événements du journal d’activité « Administration ».
   	Journal d’activité - Stratégie	Service qui fournit les événements du journal d’activité « Stratégie ».
   	Journal d’activité - Mise à l’échelle automatique	Service qui fournit les événements du journal d’activité « Mise à l’échelle automatique ».
   	Journal d’activité - Sécurité	Service qui fournit les événements du journal d’activité « Sécurité ».
   Intégrité des ressources	Intégrité des ressources	Service qui fournit l’état d’intégrité au niveau des ressources.
   État d’intégrité du service	État d’intégrité du service	Service qui fournit l’état d’intégrité au niveau de l’abonnement.

   Sélectionnez le Nom du signal et Appliquer.

3. Suivez les étapes de l’onglet qui correspond au type d’alerte que vous créez.

   Alerte de métrique

   1. Consultez un aperçu des résultats du signal de la métrique sélectionnée dans la section Aperçu. Sélectionnez des valeurs dans les champs suivants.

      Champ	Description
      Plage temporelle	L’intervalle de temps à inclure dans les résultats. Elle peut aller des six dernières heures à la semaine dernière.
      Série chronologique	La série chronologique à inclure dans les résultats.

   2. Dans la section Logique d’alerte :

      Champ	Description
      Seuil	Spécifiez si le seuil doit être évalué sur la base d’une valeur statique ou d’une valeur dynamique. Un seuil statique évalue la règle à l’aide de la valeur de seuil que vous configurez. Les seuils dynamiques utilisent des algorithmes de machine learning pour apprendre en continu les schémas comportementaux des métriques et calculer les seuils appropriés pour les comportements inattendus. Des informations supplémentaires sont disponibles sur l’utilisation de seuils dynamiques pour les alertes de métriques.
      Opérateur	Sélectionnez l’opérateur pour comparer la valeur de métrique au seuil. Si vous utilisez des seuils dynamiques, les règles d’alerte peuvent utiliser des seuils adaptés au comportement des métriques pour les limites supérieures et inférieures dans la même règle d’alerte. Sélectionnez l’un de ces opérateurs : - Supérieur au seuil supérieur ou inférieur au seuil inférieur (par défaut) - Supérieur au seuil supérieur - Inférieur au seuil inférieur
      Type d’agrégation	Sélectionnez la fonction d’agrégation à appliquer sur les points de données : Somme, Nombre, Moyenne, Min ou Max.
      Valeur du seuil	Si vous avez sélectionné un seuil statique, entrez sa valeur pour la logique de condition.
      Unité	Si le signal de métrique sélectionné prend en charge différentes unités (par exemple, octets, Ko, Mo et Go) et si vous avez sélectionné un seuil statique, entrez l’unité pour la logique de condition.
      Sensibilité du seuil	Si vous avez sélectionné un seuil dynamique, entrez le niveau de sensibilité. Le niveau de sensibilité affecte la marge de dérive par rapport au modèle de série métrique nécessaire pour déclencher une alerte. - Élevé : Les seuils sont stricts et proches du schéma de la série de métriques. Une règle d’alerte est déclenchée dès le plus petit écart, ce qui génère davantage d’alertes. - Moyen : Les seuils sont moins stricts et plus équilibrés. Il y a moins d’alertes qu’avec une sensibilité élevée (valeur par défaut). - Faible : Les seuils sont lâches, ce qui permet un écart plus important par rapport au schéma de la série de métriques. Les règles d’alerte sont uniquement déclenchées lors de grands écarts, ce qui génère moins d’alertes.
      Précision d'agrégation	Sélectionnez l’intervalle utilisé pour regrouper les points de données à l’aide de la fonction de type d’agrégation. Choisissez une granularité d’agrégation (période) supérieure à la fréquence d’évaluation afin de réduire la probabilité de manquer la première période d’évaluation d’une série chronologique ajoutée.
      Fréquence d’évaluation	Sélectionnez la fréquence à laquelle la règle d’alerte doit être exécutée. Sélectionnez une fréquence inférieure à la granularité d’agrégation afin de générer une fenêtre glissante pour l’évaluation.

   3. (Facultatif) Selon le type de signal, il se peut que la section Fractionner par dimensions s’affiche.

      Les dimensions sont des paires nom-valeur qui contiennent des données supplémentaires sur la valeur de métrique. L’utilisation de dimensions vous permet de filtrer les métriques et de superviser des séries chronologiques spécifiques, au lieu de superviser l’agrégation de toutes les valeurs dimensionnelles.

      Si vous sélectionnez plusieurs valeurs de dimension, chaque série chronologique qui résulte de la combinaison déclenche sa propre alerte et est facturée séparément. Par exemple, la métrique Transactions d’un compte de stockage peut avoir une dimension Nom de l’API qui contient le nom de l’API appelée par chaque transaction (par exemple, GetBlob, DeleteBlob, et PutPage). Vous pouvez choisir de déclencher une alerte lorsqu’il existe un grand nombre de transactions dans un API spécifique (les données agrégées). Vous pouvez également utiliser des dimensions pour alerter uniquement lorsque le nombre de transactions est élevé pour des API spécifiques.

      Champ	Description
      Nom de la dimension	Les dimensions peuvent être des colonnes numériques ou de type chaîne. Les dimensions servent à superviser des séries chronologiques spécifiques, et fournissent un contexte à une alerte déclenchée. Le fractionnement sur la colonne ID de ressource Azure fait de la ressource spécifiée la cible d’alerte. Si elle est détectée, la colonne ResourceID est sélectionnée automatiquement et remplace le contexte de l’alerte déclenchée par la ressource de l’enregistrement.
      Opérateur	Opérateur utilisé sur le nom et la valeur de la dimension.
      Valeurs de dimension	Les valeurs de dimension sont basées sur les données des dernières 48 heures. Sélectionnez Ajouter une valeur personnalisée pour ajouter des valeurs de dimension personnalisées.
      Inclure toutes les valeurs futures	Sélectionnez ce champ pour inclure toutes les valeurs futures ajoutées à la dimension sélectionnée.

   4. (Facultatif) Dans la section Quand évaluer :

      Champ	Description
      Vérifier chaque	Sélectionnez la fréquence à laquelle la règle d’alerte vérifie si la condition est remplie.
      Période de recherche arrière	Sélectionnez jusqu’où rechercher chaque fois que les données sont vérifiées. Par exemple, toutes les minutes, recherchez 5 minutes en arrière.

   5. (Facultatif) Dans la section Options avancées, vous pouvez spécifier combien d’échecs dans une période donnée déclenchent une alerte. Par exemple, vous pouvez spécifier que vous souhaitez uniquement déclencher une alerte si trois échecs ont eu lieu au cours de la dernière heure. La stratégie métier de votre application doit déterminer ce paramètre.

      Sélectionnez des valeurs pour ces champs :

      Champ	Description
      Nombre de violations	Nombre de violations dans le délai configuré qui déclenchent l’alerte.
      Période d’évaluation	Période pendant laquelle les violations dénombrées se produisent.
      Ignorer les données avant	Utilisez ce paramètre pour sélectionner la date à partir de laquelle commencer à utiliser les données historiques des métriques pour calculer les seuils dynamiques. Par exemple, si une ressource s’exécutait en mode test et qu’elle passe en production, vous pouvez ignorer le comportement des métriques pendant qu’elle était testée.

   6. Cliquez sur Terminé.

   Alerte de journal

   1. Dans le volet Journaux, écrivez une requête qui retourne les événements de journal pour lesquels vous souhaitez créer une alerte.

      

      Pour utiliser une des requêtes de règle d’alerte prédéfinies, développez le volet Schéma et filtre à gauche du volet Journaux. Sélectionnez ensuite l’onglet Requêtes , puis sélectionnez l’une des requêtes.

   2. (Facultatif) Si vous interrogez un cluster ADX ou ARG, Log Analytics ne peut pas identifier automatiquement la colonne avec l’horodatage d’événement : nous vous recommandons donc d’ajouter un filtre de plage de temps à la requête. Par exemple :

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
      

      arg("").Resources
      | where type =~ 'Microsoft.Compute/virtualMachines'
      | project _ResourceId=tolower(id), tags
      

      

   3. Sélectionnez Exécuter pour exécuter l’alerte.

   4. La section Aperçu affiche les résultats de la requête. Lorsque vous avez terminé de modifier votre requête, sélectionnez Poursuivre la modification de l’alerte.

   5. L’onglet Condition s’ouvre, affichant votre requête de journal. Par défaut, la règle compte le nombre de résultats au cours des cinq dernières minutes. Si le système détecte des résultats de requête résumés, la règle est automatiquement mise à jour avec ces informations.

   6. Dans la section Mesure, sélectionnez les valeurs pour ces champs :

      

      Champ	Description
      Mesure	Les alertes de journal peuvent mesurer deux choses différentes, qui peuvent être utilisées pour différents scénarios de monitoring : Lignes de table : le nombre de lignes retournées peut être utilisé pour travailler avec des événements comme des exceptions d’application, des journaux des événements Windows et Syslog. Calcul d’une colonne numérique : des calculs basés sur une colonne numérique peuvent être utilisés pour inclure un nombre quelconque de ressources. Par exemple, le pourcentage d’UC.
      Type d’agrégation	Calcul effectué sur plusieurs enregistrements pour les agréger à une valeur numérique à l’aide de la précision d’agrégation. Par exemple, Total, Average, Minimum ou Maximum.
      Précision d'agrégation	Intervalle d’agrégation de plusieurs enregistrements à une valeur numérique.

   7. (Facultatif) Dans la section Diviser par dimensions, vous pouvez utiliser des dimensions afin de fournir un contexte pour l’alerte déclenchée.

      

      Les dimensions sont des colonnes de vos résultats de requête qui contiennent des données supplémentaires. Lorsque vous utilisez des dimensions, la règle d’alerte regroupe les résultats de la requête en fonction des valeurs de dimension, et elle évalue les résultats de chaque groupe séparément. Si la condition est remplie, la règle déclenche une alerte pour ce groupe. La charge utile d’alerte comprend la combinaison qui a déclenché l’alerte.

      Vous pouvez appliquer jusqu’à six dimensions par règle d’alerte. Les dimensions ne peuvent être que des colonnes de chaînes ou des colonnes numériques. Si vous souhaitez utiliser comme dimension une colonne qui n’est pas un type de chaîne ou un type numérique, vous devez la convertir en valeur chaîne ou numérique dans votre requête. Si vous sélectionnez plusieurs valeurs de dimension, chaque série chronologique qui résulte de la combinaison déclenche sa propre alerte et est facturée séparément.

      Par exemple :

      • Vous pourriez par exemple utiliser des dimensions pour superviser l’utilisation du processeur sur plusieurs instances exécutant votre site web ou votre application. Chaque instance est supervisée individuellement, et des notifications sont envoyées pour chaque instance où l’utilisation du processeur dépasse la valeur configurée.
      • Vous pourriez décider de ne pas diviser par dimensions quand vous voulez qu’une condition s’applique à plusieurs ressources dans l’étendue. Par exemple, vous n’utiliserez pas de dimension si vous souhaitez déclencher une alerte si au moins cinq machines dans l’étendue du groupe de ressources ont une utilisation du processeur supérieure à la valeur configurée.

      Sélectionnez des valeurs pour ces champs :

      • Colonne ID de ressource : en général, si l’étendue de votre règle d’alerte est un espace de travail, les alertes sont déclenchées sur l’espace de travail. Si vous voulez une alerte distincte pour chaque ressource Azure affectée, vous pouvez :
        • Utiliser la colonne ARM ID de ressource Azure comme dimension.
        • La spécifier en tant que dimension dans la propriété ID de ressource Azure, ce qui fait de la ressource retournée par votre requête la cible de l’alerte. Les alertes sont donc déclenchées sur la ressource retournée par votre requête, par exemple une machine virtuelle ou un compte de stockage, plutôt que dans l’espace de travail. Lorsque vous utilisez cette option, si l’espace de travail obtient des données à partir de ressources de plusieurs abonnements, des alertes peuvent être déclenchées sur les ressources d’un abonnement différent de l’abonnement de la règle d’alerte.

      Champ	Description
      Nom de la dimension	Les dimensions peuvent être des colonnes numériques ou de type chaîne. Les dimensions servent à superviser des séries chronologiques spécifiques, et fournissent un contexte à une alerte déclenchée.
      Opérateur	Opérateur utilisé sur le nom et la valeur de la dimension.
      Valeurs de dimension	Les valeurs de dimension sont basées sur les données des dernières 48 heures. Sélectionnez Ajouter une valeur personnalisée pour ajouter des valeurs de dimension personnalisées.
      Inclure toutes les valeurs futures	Sélectionnez ce champ pour inclure toutes les valeurs futures ajoutées à la dimension sélectionnée.

   8. Dans la section Logique d’alerte, sélectionnez des valeurs pour ces champs :

      

      Champ	Description
      Opérateur	Les résultats de requête sont transformés en nombre. Dans ce champ, sélectionnez l’opérateur à utiliser pour comparer le nombre au seuil.
      Valeur du seuil	Valeur numérique pour le seuil.
      Fréquence d’évaluation	Fréquence d’exécution de la requête. Peut être défini n’importe où d’une minute à un jour (24 heures).

      Remarque

      Il existe certaines limitations relatives à l’utilisation d’une fréquence de règle d’alerte d’une minute . Lorsque vous définissez la fréquence de la règle d’alerte sur une minute, une manipulation interne est effectuée pour optimiser la requête. Cette manipulation peut entraîner l’échec de la requête s’il contient des opérations non prises en charge. Voici les raisons les plus courantes pour lesquelles une requête n’est pas prise en charge :

      • La requête contient les opérations (limites) search, union ou take
      • La requête contient la fonction ingestion_time()
      • La requête utilise le modèle adx
      • La requête appelle une fonction qui appelle d’autres tables

   9. (Facultatif) Dans la section Options avancées, vous pouvez spécifier le nombre d’échecs et la période d’évaluation de l’alerte requise pour déclencher une alerte. Par exemple, si vous définissez la précision d’agrégation sur 5 minutes, vous pouvez spécifier que vous souhaitez uniquement déclencher une alerte si trois échecs ont eu lieu (15 minutes) au cours de la dernière heure. La stratégie métier de votre application détermine ce paramètre.

      

      Sélectionnez des valeurs pour ces champs sous Nombre de violations pour déclencher l’alerte :

      Champ	Description
      Nombre de violations	Nombre de violations à partir duquel déclencher l’alerte.
      Période d’évaluation	Période pendant laquelle les violations dénombrées se produisent.
      Remplacer l’intervalle de temps de requête	Si vous souhaitez que la période d’évaluation de l’alerte diffère de l’intervalle de temps de la requête, entrez un intervalle de temps ici. L’intervalle de temps d’alerte est limité à un maximum de deux jours. Même si la requête contient une commande ago avec un intervalle de temps supérieur à deux jours, l’intervalle de temps maximal de deux jours est appliqué. Par exemple, même si le texte de la requête contient ago(7d), la requête analyse uniquement jusqu’à deux jours de données. Si la requête nécessite plus de données que l’évaluation de l’alerte, vous pouvez changer l’intervalle de temps manuellement. Si la requête contient la commande ago, il est automatiquement défini sur 2 jours (48 heures).

      Remarque

      Si vous, ou votre administrateur, avez attribué la Azure Policy aux espaces de travail Azure Log Search Alerts sur Log Analytics qui doivent utiliser des clés gérées par le client, vous devez sélectionner l’option Vérifier le stockage lié à l’espace de travail. Si ce n’est pas le cas, la création de la règle échoue, car elle ne répond pas aux exigences de la stratégie.

   10. Le graphique Aperçu affiche les résultats des évaluations de requête dans le temps. Vous pouvez modifier la période du graphique ou sélectionner différentes séries chronologiques résultant du fractionnement des alertes par dimensions.

       

   Alerte du journal d’activité

   1. Dans le volet Conditions, sélectionnez la Période de graphique.

   2. Le graphique Aperçu affiche les résultats de votre sélection.

   3. Dans la section Logique d’alerte, sélectionnez des valeurs pour chacun de ces champs :

      Champ	Description
      Niveau d’événement	Sélectionnez le niveau des événements pour cette règle d’alerte. Les valeurs sont : Critique, Erreur, Avertissement, Information,Détail et Tout.
      Statut	Sélectionnez les niveaux d’état pour l’alerte.
      Événement lancé par	Sélectionnez l’utilisateur ou le principal de service à l’origine de l’événement.

   Alerte Resource Health

   Dans le volet Conditions, sélectionnez des valeurs pour chacun de ces champs :

   Champ	Description
   État des événements	Sélectionnez les états des événements Resource Health. Les valeurs sont : Actif, En cours, Résolu et Mis à jour.
   État actuel des ressources	Sélectionnez l’état actuel des ressources. Les valeurs sont : Disponible, Dégradé et Indisponible.
   État précédent des ressources	Sélectionnez l’état précédent des ressources. Les valeurs sont : Disponible, Dégradé, Indisponible et Inconnu.
   Type de motif	Sélectionnez les causes des événements Resource Health. Les valeurs sont : Initié par la plateforme, Inconnu et Initié par l’utilisateur.

   Alerte Service Health

   Dans le volet Conditions, sélectionnez des valeurs pour chacun de ces champs :

   Champ	Description
   Services	Sélectionnez les services Azure.
   Régions	Sélectionnez les régions Azure.
   Types d’événements	Sélectionnez les types d’événements Service Health. Les valeurs sont : Problème de service, Maintenance planifiée, Avis d’intégrité et Avis de sécurité.

   À partir de là, vous pouvez sélectionner le bouton Vérifier + Créer à tout moment.

Définir les actions de règle d’alerte

1. Sous l’onglet Actions, sélectionnez ou créez les groupes d’actions requis.

Définir les détails de la règle d’alerte

1. Sous l’onglet Détails, définissez les Détails du projet.

   • Sélectionnez l’abonnement.
   • Sélectionnez le groupe de ressources.

2. Définissez les Détails de la règle d’alerte.

   Alerte de métrique

   

   1. Sélectionnez la Gravité.

   2. Entrez des valeurs pour le Nom de la règle d’alerte et la Description de la règle d’alerte.

   3. (Facultatif) Si vous créez une règle d’alerte métrique qui analyse une métrique personnalisée dont la portée est définie comme une des régions suivantes et que vous voulez vous assurer que le traitement de données de la règle d'alerte a lieu dans cette région, vous pouvez choisir de traiter la règle d’alerte dans une de ces régions :

      • Europe Nord
      • Europe Ouest
      • Suède Centre
      • Allemagne Centre-Ouest

      Nous ajoutons continuellement d’autres régions pour le traitement des données régionales.

   4. (Facultatif) Dans la section Options avancées, vous pouvez définir plusieurs options.

      Champ	Description
      Activer à la création	Choisissez de lancer l’exécution de la règle d’alerte dès que vous avez fini de la créer.
      Résoudre automatiquement les alertes (préversion)	Sélectionnez pour changer l’alerte en alerte avec état. Quand une alerte est avec état, l’alerte est résolue si la condition n’est plus remplie. Si vous ne cochez pas cette case, les alertes de métrique sont sans état. Les alertes sans état se déclenchent chaque fois que la condition est remplie, même si elles sont déjà déclenchées. La fréquence des notifications pour les alertes de métriques sans état varie en fonction de la fréquence configurée de la règle d’alerte : Fréquence d’alerte inférieure à 5 minutes : tant que la condition continue d’être remplie, une notification est envoyée à une fréquence comprise entre une et six minutes. Fréquence d’alerte supérieure à cinq minutes : tant que la condition continue d’être remplie, une notification est envoyée à une fréquence comprise entre la valeur configurée et le double de la valeur. Par exemple, pour une règle d’alerte avec une fréquence de 15 minutes, une notification est envoyée à une fréquence comprise entre 15 et 30 minutes.

   Alerte de journal

   

   1. Sélectionnez la Gravité.

   2. Entrez des valeurs pour le Nom de la règle d’alerte et la Description de la règle d’alerte.

   3. Sélectionnez la Région.

   4. Dans la section Identité, sélectionnez l’identité utilisée par la règle d’alerte de journal pour envoyer la requête de journal. Cette identité est utilisée pour l’authentification quand la règle d’alerte exécute la requête de journal.

      Gardez ces éléments à l’esprit lors de la sélection d’une identité :

      • Une identité managée est nécessaire si vous envoyez une requête à Azure Data Explorer.
      • Utilisez une identité managée si vous voulez être en mesure de voir ou de modifier les autorisations associées à la règle d’alerte.
      • Si vous n’utilisez pas d’identité managée, les autorisations de la règle d’alerte sont basées sur les autorisations du dernier utilisateur qui modifie la règle, au moment de la dernière modification de la règle.
      • Utilisez une identité managée pour éviter un cas où la règle ne fonctionne pas comme prévu, car l’utilisateur qui a modifié la règle pour la dernière fois n’avait pas d’autorisations pour toutes les ressources ajoutées à l’étendue de la règle.

      L’identité associée à la règle doit avoir ces rôles :

      • Si la requête accède à un espace de travail Log Analytics, un rôle de lecteur doit être attribué à l’identité pour tous les espaces de travail auxquels la requête accède. Si vous créez des alertes de journal centrées sur les ressources, la règle d’alerte peut accéder à plusieurs espaces de travail et l’identité doit avoir un rôle de lecteur sur chacun d’eux.
      • Si vous interrogez un cluster ADX ou ARG, vous devez ajouter le rôle Lecteur à toutes les sources de données accessibles par la requête. Par exemple, si la requête est centrée sur les ressources, elle a besoin d’un rôle de lecteur sur ces ressources.
      • Si la requête accède à un cluster Azure Data Explorer distant, les rôles suivants doivent être attribués à l’identité :
        • Rôle de lecteur pour toutes les sources de données auxquelles la requête accède. Par exemple, si la requête appelle un cluster Azure Data Explorer distant en utilisant la fonction adx(), elle a besoin d’un rôle de lecteur sur ce cluster ADX.
        • Observateur de base de données pour toutes les bases de données auxquelles la requête accède.

      Pour plus d’informations sur les identités managées, consultez Identités managées pour les ressources Azure.

      Sélectionnez une des options suivantes pour l’identité utilisée par la règle d’alerte :

      Identité	Description
      None	Les autorisations de règle d’alerte sont basées sur les autorisations du dernier utilisateur qui a modifié la règle, au moment où la règle a été modifiée.
      Identité gérée attribuée par le système	Azure crée une identité dédiée pour cette règle d’alerte. Cette identité ne dispose d’aucune autorisation et est supprimée automatiquement quand la règle est supprimée. Après avoir créé la règle, vous devez attribuer des autorisations à cette identité pour accéder à l’espace de travail et aux sources de données nécessaires pour la requête. Pour plus d’informations sur l’attribution de rôle, consultez Attribuer des rôles Azure en utilisant le portail Azure.
      Identité managée affectée par l’utilisateur	Avant de créer la règle d’alerte, vous créez une identité et vous lui attribuez les autorisations appropriées pour la requête de journal. C’est une identité Azure standard. Vous pouvez utiliser une même identité dans plusieurs règles d’alerte. L’identité n’est pas supprimée quand la règle est supprimée. Quand vous sélectionnez ce type d’identité, un volet s’ouvre pour vous permettre de sélectionner l’identité associée pour la règle.

   5. (Facultatif) Dans la section Options avancées, vous pouvez définir plusieurs options :

      Champ	Description
      Activer à la création	Choisissez de lancer l’exécution de la règle d’alerte dès que vous avez fini de la créer.
      Résoudre automatiquement les alertes (préversion)	Sélectionnez pour changer l’alerte en alerte avec état. Quand une alerte est avec état, l’alerte est résolue si la condition n’est plus remplie pendant un intervalle de temps spécifique. L’intervalle de temps diffère en fonction de la fréquence de l’alerte : 1 minute : la condition d’alerte n’est pas remplie pendant 10 minutes. 5 à 15 minutes : la condition d’alerte n’est pas remplie pendant trois périodes de fréquence. 15 minutes à 11 heures : la condition d’alerte n’est pas remplie pendant trois périodes de fréquence. 11 à 12 heures : la condition d’alerte n’est pas remplie pendant trois périodes de fréquence.
      Désactiver les actions	Sélectionnez cette option pour définir un délai d’attente avant le redéclenchement des actions d’alerte. Si vous activez cette case à cocher, le champ Désactiver les actions pendant dans lequel sélectionner le délai d’attente, après le déclenchement d’une alerte, avant de déclencher à nouveau des actions.
      Vérifier le stockage lié à l’espace de travail	Sélectionnez cette option pour si le stockage lié à l’espace de travail des journaux pour les alertes est configuré. Si aucun stockage lié n’est configuré, la règle n’est pas créée.

   Alerte du journal d’activité

   

   1. Entrez des valeurs pour le Nom de la règle d’alerte et la Description de la règle d’alerte.
   2. Sélectionnez Activer à la création pour lancer l’exécution de la règle d’alerte dès que vous avez fini de la créer.

   Alerte Resource Health

   

   1. Entrez des valeurs pour le Nom de la règle d’alerte et la Description de la règle d’alerte.
   2. Sélectionnez Activer à la création pour lancer l’exécution de la règle d’alerte dès que vous avez fini de la créer.

   Alerte Service Health

   

   1. Entrez des valeurs pour le Nom de la règle d’alerte et la Description de la règle d’alerte.
   2. Sélectionnez Activer à la création pour lancer l’exécution de la règle d’alerte dès que vous avez fini de la créer.

3. (Facultatif) : dans Propriétés personnalisées, si vous avez configuré des groupes d’actions pour cette règle d’alerte, vous pouvez ajouter vos propres propriétés à inclure dans la charge utile de notification d’alerte. Vous pouvez utiliser ces propriétés dans les actions appelées par le groupe d’actions, telles qu’un webhook, une fonction Azure ou des actions d’application logique.

   Les propriétés personnalisées sont spécifiées sous forme de paires clé:valeur, à l’aide de texte statique, d’une valeur dynamique extraite de la charge utile d’alerte, ou d’une combinaison des deux.

   Le format pour l’extraction d’une valeur dynamique à partir de la charge utile d’alerte est le suivant : ${<path to schema field>}. Par exemple : ${data.essentials.monitorCondition}.

   Utilisez le format de schéma d’alerte commun pour spécifier le champ dans la charge utile, que les groupes d’actions configurés pour la règle d’alerte utilisent ou non le schéma commun.

   

   Dans les exemples suivants, les valeurs des propriétés personnalisées sont utilisées pour utiliser des données d’une charge utile qui utilise le schéma d’alerte commun :

   Exemple 1 :

   Cet exemple montre comment créer une étiquette « Détails supplémentaires » avec des données concernant l’« heure de début de la fenêtre » et l’« heure de fin de la fenêtre ».

   • Nom : "Détails supplémentaires"
   • Valeur : "Évaluation windowStartTime : ${data.alertContext.condition.windowStartTime}. windowEndTime : ${data.alertContext.condition.windowEndTime}"
   • Résultat : "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

   Exemple 2 Cet exemple ajoute les données relatives à la raison de la résolution ou du déclenchement de l’alerte.

   • Nom : "Raison de l’alerte ${data.essentials.monitorCondition}"
   • Valeur : "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}"
   • Résultat : Les exemples de résultats peuvent ressembler à ceci :
     • "Raison de l’alerte résolue : Pourcentage processeur supérieur à 5 résolu. La valeur est 3,585"
     • "Raison de l’alerte résolue" : "Pourcentage processeur supérieur à 5 résolu. La valeur est 10,585"

   Remarque

   Le schéma commun remplace les configurations personnalisées. Par conséquent, vous ne pouvez pas utiliser à la fois des propriétés personnalisées et le schéma commun pour les alertes de journal.

Terminer la création de la règle d’alerte

1. Sous l’onglet Balises, définissez les balises requises sur la ressource de règle d’alerte.

   

2. Sous l’onglet Vérifier + créer, la règle est validée et vous informe des éventuels problèmes.

3. Lorsque la validation réussit et que vous avez examiné les paramètres, sélectionnez le bouton Créer.

   

Créer une règle d’alerte en utilisant l’interface CLI

Vous pouvez créer une règle d’alerte à l’aide d’Azure CLI. Les exemples de code suivants utilisent Azure Cloud Shell. Vous pouvez voir la liste complète des Commandes Azure CLI pour Azure Monitor.

1. Dans le portail Azure, sélectionnez Cloud Shell. À l’invite, utilisez les commandes suivantes.

   Alerte de métrique

   Pour créer une règle d’alerte de métrique, utilisez la commande az monitor metrics alert create. Pour accéder à une documentation détaillée sur la commande de création de règle d’alerte de métrique, consultez la section az monitor metrics alert create de la Documentation de référence CLI pour les alertes de métriques.

   Pour créer une règle d’alerte de métrique qui surveille si le pourcentage d’UC moyen sur une machine virtuelle est supérieur à 90 :

    az monitor metrics alert create -n {nameofthealert} -g {ResourceGroup} --scopes {VirtualMachineResourceID} --condition "avg Percentage CPU > 90" --description {descriptionofthealert}
   

   Alerte de journal

   La prise en charge d’Azure CLI n’est disponible que pour l’API scheduledQueryRules, versions 2021-08-01 et ultérieures. Les versions précédentes de l’API peuvent utiliser l’interface CLI Azure Resource Manager avec des modèles. Si vous utilisez l’API d’alerte Log Analytics héritée, opérez un basculement vers l’utilisation de l’interface de ligne de commande. En savoir plus sur le basculement.

   Pour créer une règle d’alerte de journal qui surveille le nombre d’erreurs d’événement système :

   az monitor scheduled-query create -g {ResourceGroup} -n {nameofthealert} --scopes {vm_id} --condition "count \'union Event, Syslog | where TimeGenerated > a(1h) | where EventLevelName == \"Error\" or SeverityLevel== \"err\"\' > 2" --description {descriptionofthealert}
   

   Alerte du journal d’activité

   Pour créer une règle d’alerte de journal d’activité, utilisez les commandes suivantes :

   • az monitor activity-log alert create : permet de créer une ressource de règle d'alerte de journal d'activité.
   • az monitor activity-log alert scope : permet d'ajouter une étendue pour la règle d'alerte de journal d'activité créée.
   • az monitor activity-log alert action-group : permet d'ajouter un groupe d'actions à la règle d'alerte de journal d'activité.

   Vous trouverez une documentation détaillée sur la commande de création de règles d'alerte de journal d’activité dans la section az monitor activity-log alert createde la documentation de référence CLI pour les alertes de journal d’activité.

   Alerte Resource Health

   Pour créer une règle d’alerte de journal d’activité, utilisez les commandes suivantes avec la catégorie Resource Health :

   • az monitor activity-log alert create : permet de créer une ressource de règle d'alerte de journal d'activité.
   • az monitor activity-log alert scope : permet d'ajouter une étendue pour la règle d'alerte de journal d'activité créée.
   • az monitor activity-log alert action-group : permet d'ajouter un groupe d'actions à la règle d'alerte de journal d'activité.

   Vous trouverez une documentation détaillée sur la commande de création de règles d'alerte dans la section az monitor activity-log alert createde la documentation de référence CLI pour les alertes de journal d’activité.

   Alerte Service Health

   Pour créer une règle d’alerte de journal d’activité, utilisez les commandes suivantes avec la catégorie Service Health :

   • az monitor activity-log alert create : permet de créer une ressource de règle d'alerte de journal d'activité.
   • az monitor activity-log alert scope : permet d'ajouter une étendue pour la règle d'alerte de journal d'activité créée.
   • az monitor activity-log alert action-group : permet d'ajouter un groupe d'actions à la règle d'alerte de journal d'activité.

   Vous trouverez une documentation détaillée sur la commande de création de règles d'alerte dans la section az monitor activity-log alert createde la documentation de référence CLI pour les alertes de journal d’activité.

---

Créer une règle d’alerte en utilisant PowerShell

• Pour créer une règle d’alerte de métrique en utilisant PowerShell, utilisez l’applet de commande Add-AzMetricAlertRuleV2.
• Pour créer une règle d’alerte de journal en utilisant PowerShell, utilisez l’applet de commande New-AzScheduledQueryRule.
• Pour créer une règle d’alerte de journal d’activité en utilisant PowerShell, utilisez l’applet de commande Set-AzActivityLogAlert.

Créer une règle d’alerte en utilisant un modèle ARM

Vous pouvez utiliser un modèle Azure Resource Manager (modèle ARM) pour configurer des règles d’alerte de manière cohérente dans tous vos environnements.

1. Créez une ressource avec les types de ressource suivants :
   • Pour les alertes de métrique : Microsoft.Insights/metricAlerts
   • Pour les alertes de journal : Microsoft.Insights/scheduledQueryRules
   • Pour les alertes de journal d’activité, d’intégrité de service et d’intégrité de ressource : microsoft.Insights/activityLogAlerts

   Notes

   • Les alertes de métrique pour un type de ressource d’espace de travail Azure Log Analytics (Microsoft.OperationalInsights/workspaces) sont configurées différemment des autres alertes de métrique. Pour plus d’informations, consultez Modèle de ressource pour les alertes de métrique des journaux.
   • Nous vous recommandons de créer l’alerte de métrique avec le même groupe de ressources que votre ressource cible.
2. Copiez un des modèles ARM de ces exemples.
   • Pour les alertes de métrique : Exemples de modèle Resource Manager pour les règles d’alerte de métrique
   • Pour les alertes de journal : Exemples de modèle Resource Manager pour les règles d’alerte de journal
   • Pour les alertes de journal d’activité : Exemples de modèle Resource Manager pour les règles d’alerte de journal d’activité
   • Pour les alertes d’intégrité de ressource : Exemples de modèle Resource Manager pour les règles d’alerte d’intégrité de ressource
3. Modifiez le fichier de modèle pour qu’il contienne les informations appropriées de votre alerte, puis enregistrez-le sous <your-alert-template-file>.json.
4. Modifiez le fichier de paramètres correspondant pour personnaliser l’alerte et enregistrez-le sous <your-alert-template-file>.parameters.json.
5. Définissez le paramètre metricName en utilisant une des valeurs des métriques prises en charge par Azure Monitor.
6. Déployez le modèle avec PowerShell ou l’interface CLI.

Propriétés supplémentaires pour les modèles ARM d’alerte de journal d’activité

Notes

• Les alertes de journal d’activité sont définies au niveau de l’abonnement. Vous ne pouvez pas définir une seule règle d’alerte sur plusieurs abonnements.
• Une nouvelle règle d’alerte de journal d’activité peut devenir active au bout de 5 minutes.

Les modèles ARM des alertes de journal d’activité contiennent des propriétés supplémentaires pour les champs des conditions. (notez que les champs Resource Health, Advisor et Service Health ont des champs de propriétés supplémentaires).

Champ	Description
resourceId	ID de la ressource concernée dans l’événement de journal d’activité sur lequel l’alerte est générée.
catégorie	Catégorie de l’événement de journal d’activité. Les valeurs possibles sont Administrative, ServiceHealth, ResourceHealth, Autoscale, Security, Recommendation, ou Policy.
caller	Adresse e-mail ou identificateur Microsoft Entra de l’utilisateur qui a effectué l’opération de l’événement du journal d’activité.
level	Niveau de l’activité dans l’événement de journal d’activité pour l’alerte. Les valeurs possibles sont Critical, Error, Warning, Informationalou Verbose.
operationName	Nom de l’opération dans l’événement du journal d’activité. Les valeurs possibles sont les suivantes Microsoft.Resources/deployments/write.
resourceGroup	Nom du groupe de ressources pour la ressource concernée dans l’événement du journal d’activité.
resourceProvider	Pour plus d’informations, consultez Fournisseurs et types de ressources Azure. Pour obtenir la liste qui mappe les fournisseurs de ressources aux services Azure, consultez Fournisseurs de ressources pour les services Azure.
status	Chaîne décrivant l’état de l’opération dans l’événement d’activité. Les valeurs possibles sont Started, In Progress, Succeeded, Failed, Active ou Resolved.
subStatus	Généralement, ce champ désigne le code d’état HTTP de l’appel REST correspondant. Ce champ peut également inclure d’autres chaînes décrivant un sous-état. Parmi les exemples de codes d’état HTTP, citons OK (code d’état HTTP : 200), No Content (code d’état HTTP : 204) et Service Unavailable (code d’état HTTP : 503), entre autres.
resourceType	Le type de la ressource affectée par l’événement. par exemple Microsoft.Resources/deployments.

Pour plus d’informations sur les champs du journal d’activité, consultez Schéma d’événements du journal d’activité Azure.

Créer une règle d’alerte de journal d’activité à partir du volet Journal d’activité

Vous pouvez également créer une alerte de journal d’activité sur des événements futurs similaires à un événement de journal d’activité qui s’est déjà produit.

1. Dans le portail, accédez au volet Journal d’activité.

2. Filtrez ou recherchez l’événement souhaité. Créez ensuite une alerte en sélectionnant Ajouter une alerte de journal d’activité.

   

3. L’Assistant Création de règle d’alerte s’ouvre avec l’étendue et la condition déjà fournies d’après l’événement du journal d’activité sélectionné précédemment. Le cas échéant, vous pouvez modifier l’étendue et la condition. Par défaut, l’étendue et la condition exactes de la nouvelle règle sont copiées à partir des attributs de l’événement d’origine. Par exemple, la ressource exacte sur laquelle l’événement s’est produit, ainsi que le nom de l’utilisateur ou du service spécifique ce qui a initié l’événement, sont tous deux inclus par défaut dans la nouvelle règle d’alerte.

   Si vous souhaitez rendre la règle d’alerte plus générale, modifiez la portée et la condition en conséquence. Consultez les étapes 3 à 9 de la section « Créer une règle d’alerte dans le Portail Azure ».

4. Suivez le reste des étapes décrites dans Créer une règle d’alerte dans le portail Azure.

Étapes suivantes

Afficher et gérer les instances d’alerte