Naplókeresési riasztási szabály létrehozása vagy szerkesztése
Ez a cikk bemutatja, hogyan hozhat létre új naplókeresési riasztási szabályt, vagy szerkeszthet egy meglévő naplókeresési riasztási szabályt. A riasztásokkal kapcsolatos további információkért tekintse meg a riasztások áttekintését.
Riasztási szabályt úgy hozhat létre, hogy egyesíti a figyelendő erőforrásokat, az erőforrás figyelési adatait és a riasztást aktiválni kívánt feltételeket. Ezután definiálhat műveleti csoportokat és riasztásfeldolgozási szabályokat annak meghatározásához, hogy mi történik egy riasztás aktiválásakor.
A riasztási szabályok által aktivált riasztások olyan hasznos adatokat tartalmaznak, amelyek a gyakori riasztási sémát használják.
A riasztási szabály varázsló elérése az Azure Portalon
Új riasztási szabályt többféleképpen is létrehozhat vagy szerkeszthet.
Riasztási szabály létrehozása vagy szerkesztése a portál kezdőlapjáról
A portálon válassza a Riasztások figyelése>lehetőséget.
Nyissa meg a + Létrehozás menüt, és válassza a Riasztási szabály lehetőséget.
Riasztási szabály létrehozása vagy szerkesztése egy adott erőforrásból
A portálon keresse meg az erőforrást.
Válassza a Riasztások lehetőséget a bal oldali panelen, majd válassza a + Riasztási szabály létrehozása>lehetőséget.
Meglévő riasztási szabály szerkesztése
A portálon a kezdőlapon vagy egy adott erőforrásban válassza a Riasztások lehetőséget a bal oldali panelen.
Válassza a Riasztási szabályok lehetőséget.
Jelölje ki a szerkeszteni kívánt riasztási szabályt, majd válassza a Szerkesztés lehetőséget.
A beállítások szerkesztéséhez válassza ki a riasztási szabály bármelyik lapját.
A riasztási szabály hatókörének konfigurálása
Az Erőforrás kiválasztása panelen állítsa be a riasztási szabály hatókörét. Szűrhet előfizetés, erőforrástípus vagy erőforrás helye szerint.
Válassza az Alkalmazás lehetőséget.
A riasztási szabály feltételeinek konfigurálása
A Feltétel lapon a Jelnév mező kiválasztásakor válassza az Egyéni naplókeresés lehetőséget, vagy válassza a Minden jel megjelenítése lehetőséget, ha másik jelet szeretne választani a feltételhez.
(Nem kötelező) Ha az előző lépésben az összes jel megjelenítése lehetőséget választotta, a Jel kiválasztása panelen keresse meg a jel nevét, vagy szűrje a jelek listáját. Szűrés:
- Jel típusa: Válassza a Naplókeresés lehetőséget.
- Jelforrás: Az "Egyéni naplókeresés" és a "Napló (mentett lekérdezés)" jeleket küldő szolgáltatás. Válassza ki a jel nevét , és alkalmazza.
A Naplók panelen írjon egy lekérdezést, amely visszaadja azokat a naplóeseményeket, amelyekhez riasztást szeretne létrehozni. Ha az egyik előre definiált riasztási szabály lekérdezését szeretné használni, bontsa ki a Séma és a Szűrő panelt a Naplók panel bal oldalán. Ezután válassza a Lekérdezések lapot, és válasszon ki egyet a lekérdezések közül.
A naplókeresési riasztási szabály lekérdezéseinek korlátozásai:
A naplókeresési riasztási szabály lekérdezései nem támogatják a "bag_unpack()", a "pivot()" és a "narrow()" beépülő modult.
Az "AggregatedValue" szó egy fenntartott szó, nem használható a naplókeresési riasztások szabályainak lekérdezésében.
A naplóriasztási szabály tulajdonságaiban szereplő összes adat együttes mérete nem haladhatja meg a 64 KB-ot.
(Nem kötelező) Ha ADX- vagy ARG-fürtöt kérdez le, a Log Analytics nem tudja automatikusan azonosítani az oszlopot az esemény időbélyegével. Javasoljuk, hogy adjon hozzá egy időtartomány-szűrőt a lekérdezéshez. Példa:
adx('https://help.kusto.windows.net/Samples').table | where MyTS >= ago(5m) and MyTS <= now()
arg("").Resources | where type =~ 'Microsoft.Compute/virtualMachines' | project _ResourceId=tolower(id), tags
Az ARG-t vagy ADX-et lekérdező naplókeresési riasztások mintáiért lásd a naplókeresési riasztás lekérdezési mintáit.
A kereszt-lekérdezések használatának korlátozásai:
- Szolgáltatásközi lekérdezési korlátozások
- Azure Resource Graph-táblák kombinálása Log Analytics-munkaterülettel
- Kormányzati felhőkben nem támogatott
Válassza a Futtatás lehetőséget a riasztás futtatásához.
Az Előzetes verzió szakaszban láthatja a lekérdezés eredményeit. Amikor befejezte a lekérdezés szerkesztését, válassza a További szerkesztési riasztás lehetőséget.
Megnyílik a Feltétel lap a napló lekérdezésével feltöltve. Alapértelmezés szerint a szabály megszámolja az eredmények számát az elmúlt öt percben. Ha a rendszer összegzett lekérdezési eredményeket észlel, a rendszer automatikusan frissíti a szabályt ezzel az információval.
A Mérés szakaszban válassza ki az alábbi mezők értékeit:
Mező Leírás Mérőszám A naplókeresési riasztások két különböző dolgot mérhetnek, amelyek különböző figyelési forgatókönyvekhez használhatók:
Táblázatsorok: A visszaadott sorok száma felhasználható olyan események kezelésére, mint a Windows-eseménynaplók, a Syslog és az alkalmazáskivüldők.
Numerikus oszlop kiszámítása: A numerikus oszlopokon alapuló számítások tetszőleges számú erőforrást tartalmazhatnak. Ilyen például a processzorhasználat százalékos aránya.Összesítés típusa A számítás több rekordon is végrehajtotta, hogy az összesítés részletességével összesítse őket egy numerikus értékre. Ilyen például az Összeg, az Átlag, a Minimum vagy a Maximum. Összesítés részletessége Több rekord egy numerikus értékre való összesítésének időköze. (Nem kötelező) A Dimenziók szerinti felosztás szakaszban dimenziókkal adhat kontextust az aktivált riasztáshoz.
A dimenziók olyan oszlopok a lekérdezés eredményeiből, amelyek további adatokat tartalmaznak. Dimenziók használatakor a riasztási szabály a lekérdezés eredményeit a dimenzióértékek alapján csoportosítja, és külön értékeli az egyes csoportok eredményeit. Ha a feltétel teljesül, a szabály riasztást küld az adott csoportnak. A riasztás hasznos adatai közé tartozik a riasztást aktiváló kombináció.
Riasztási szabályonként legfeljebb hat dimenziót alkalmazhat. A dimenziók csak sztringek vagy numerikus oszlopok lehetnek. Ha olyan oszlopot szeretne használni, amely nem szám vagy sztring típusú dimenzió, akkor a lekérdezésben sztring- vagy számértékké kell alakítania. Ha egynél több dimenzióértéket választ ki, a kombinációból származó idősorok saját riasztást aktiválnak, és külön kerülnek felszámításra.
Példa:
- Dimenziókkal monitorozhat processzorhasználatot a webhelyet vagy alkalmazást futtató több példányon. A rendszer minden példányt külön figyel, és értesítést küld minden olyan példányról, ahol a processzorhasználat meghaladja a konfigurált értéket.
- Dönthet úgy, hogy nem oszt fel dimenziók szerint, ha a hatókörben több erőforrásra is alkalmazni szeretne egy feltételt. Például nem használna dimenziókat, ha riasztást szeretne küldeni, ha az erőforráscsoport hatókörében legalább öt gép processzorhasználata meghaladja a konfigurált értéket.
Válasszon értékeket a következő mezőkhöz:
- Erőforrás-azonosító oszlop: Általában, ha a riasztási szabály hatóköre munkaterület, a rendszer aktiválja a riasztásokat a munkaterületen. Ha minden érintett Azure-erőforráshoz külön riasztást szeretne kapni, a következőkre van lehetőség:
- használja dimenzióként az ARM Azure Resource ID oszlopot (figyelje meg, hogy ezzel a beállítással a riasztás aktiválva lesz a munkaterületen az Azure Resource ID oszlop dimenziójaként.
- adja meg dimenzióként az Azure Resource ID tulajdonságban, amely a lekérdezés által visszaadott erőforrást a riasztás céljává teszi, így a rendszer riasztásokat aktivál a lekérdezés által visszaadott erőforrásra, például virtuális gépre vagy tárfiókra, szemben a munkaterületen. Ha ezt a lehetőséget használja, ha a munkaterület egynél több előfizetésben lévő erőforrásokból szerez be adatokat, riasztások aktiválhatók a riasztási szabály előfizetésétől eltérő előfizetésből származó erőforrásokra.
Mező Leírás Dimenzió neve A dimenziók lehetnek szám- vagy sztringoszlopok. A dimenziók adott idősorok figyelésére és egy aktivált riasztás kontextusának megadására szolgálnak. Operátor A dimenziónévben és az értékben használt operátor. Dimenzióértékek A dimenzióértékek az elmúlt 48 óra adatain alapulnak. Egyéni dimenzióértékek hozzáadásához válassza az Egyéni érték hozzáadása lehetőséget. Az összes jövőbeli érték belefoglalása Jelölje ki ezt a mezőt a kijelölt dimenzióhoz hozzáadott jövőbeli értékek belefoglalásához. A Riasztás logikai szakaszban válassza ki az alábbi mezők értékeit:
Mező Leírás Operátor A lekérdezés eredményei számmá alakulnak. Ebben a mezőben válassza ki azt az operátort, amely a számot a küszöbértékhez hasonlítja. Küszöbérték A küszöbérték számértéke. Értékelés gyakorisága Milyen gyakran fut a lekérdezés. Egy perctől egy napig (24 óra) bárhol beállítható. Feljegyzés
Az egyperces riasztási szabály gyakoriságának használatára bizonyos korlátozások vonatkoznak. Amikor a riasztási szabály gyakoriságát egy percre állítja be, a rendszer belső manipulációt hajt végre a lekérdezés optimalizálásához. Ez a manipuláció a lekérdezés sikertelenségét okozhatja, ha az nem támogatott műveleteket tartalmaz. A lekérdezések nem támogatott leggyakoribb okai a következők:
- A lekérdezés tartalmazza a keresési, egyesítő* vagy take (limit) műveleteket
- A lekérdezés tartalmazza a ingestion_time() függvényt
- A lekérdezés az adx mintát használja
- A lekérdezés meghív egy függvényt, amely más táblákat hív meg
Az ARG-t vagy ADX-et lekérdező naplókeresési riasztások mintáit lásd : Naplókeresési riasztások lekérdezési mintái
(Nem kötelező) A Speciális beállítások szakaszban megadhatja a hibák számát és a riasztás indításához szükséges riasztás-kiértékelési időszakot. Ha például az aggregáció részletességét 5 percre állítja be, megadhatja, hogy csak akkor szeretne riasztást aktiválni, ha az elmúlt órában három hiba történt (15 perc). Ezt a beállítást az alkalmazás üzleti szabályzata határozza meg.
A riasztás aktiválásához válassza ki az alábbi mezők értékeit a Szabálysértések száma csoportban:
Mező Leírás Szabálysértések száma A riasztást kiváltó szabálysértések száma. Értékelési időszak Az az időszak, amelyen belül a szabálysértések száma bekövetkezik. Lekérdezési időtartomány felülbírálása Ha azt szeretné, hogy a riasztás kiértékelési időszaka eltérjen a lekérdezési időtartománytól, itt adjon meg egy időtartományt.
A riasztási időtartomány legfeljebb két napra korlátozódik. Még ha a lekérdezés tartalmaz is egy két napnál hosszabb időtartományú korábbi parancsot, a kétnapos maximális időtartomány lesz alkalmazva. Ha például a lekérdezés szövege ago(7d) értéket tartalmaz, a lekérdezés legfeljebb két napnyi adatot vizsgál. Ha a lekérdezés több adatot igényel, mint a riasztás kiértékelése, manuálisan módosíthatja az időtartományt. Ha a lekérdezés tartalmaz egy korábbi parancsot, az automatikusan 2 napra (48 órára) változik.Feljegyzés
Ha Ön vagy a rendszergazda hozzárendelte az Azure Policy Azure Log Search-riasztásait a Log Analytics-munkaterületeken, ügyfél által felügyelt kulcsokat kell használnia, akkor a munkaterülethez társított tároló ellenőrzése lehetőséget kell választania. Ha nem, a szabály létrehozása meghiúsul, mert nem felel meg a szabályzat követelményeinek.
Az előnézeti diagram a lekérdezések kiértékelési eredményeit jeleníti meg az idő függvényében. Módosíthatja a diagramidőszakot, vagy kiválaszthatja a dimenziók szerinti egyedi riasztások által eredményezett különböző idősorokat.
Válassza a Kész lehetőséget. Ettől a ponttól kezdve bármikor kiválaszthatja a Véleményezés + létrehozás gombot.
A riasztási szabály műveleteinek konfigurálása
A Műveletek lapon válassza ki vagy hozza létre a szükséges műveletcsoportokat.
A riasztási szabály részleteinek konfigurálása
A Részletek lapon adja meg a Projekt részleteit.
- Válassza ki az előfizetést.
- Válassza ki az erőforráscsoportot.
Adja meg a riasztási szabály részleteit.
Válassza ki a súlyosságot.
Adja meg a riasztási szabály nevének és a riasztási szabály leírásának értékeit.
Feljegyzés
Figyelje meg, hogy az identitást használó szabálynak nem lehet ";" karaktere a riasztási szabály nevében
Válassza ki a régiót.
Az Identitás szakaszban válassza ki, hogy a naplókeresési riasztási szabály melyik identitást használja a naplókeresési lekérdezés küldéséhez. A rendszer ezt az identitást használja a hitelesítéshez, amikor a riasztási szabály végrehajtja a napló lekérdezését.
Az identitás kiválasztásakor tartsa szem előtt ezeket a dolgokat:
- Felügyelt identitásra van szükség, ha lekérdezést küld az Azure Data Explorerbe (ADX) vagy az Azure Resource Graphba (ARG).
- Használjon felügyelt identitást, ha látni vagy szerkeszteni szeretné a riasztási szabályhoz társított engedélyeket.
- Ha nem használ felügyelt identitást, a riasztási szabály engedélyei az utolsó felhasználó engedélyén alapulnak a szabály utolsó szerkesztésének időpontjában.
- Felügyelt identitással elkerülheti azokat az eseteket, amikor a szabály nem a várt módon működik, mert a szabályt legutóbb szerkesztő felhasználó nem rendelkezik a szabály hatóköréhez hozzáadott összes erőforrás engedélyével.
A szabályhoz társított identitásnak a következő szerepkörökkel kell rendelkeznie:
- Ha a lekérdezés egy Log Analytics-munkaterülethez fér hozzá, az identitáshoz olvasói szerepkört kell hozzárendelni a lekérdezés által elért összes munkaterülethez. Ha erőforrás-központú naplókeresési riasztásokat hoz létre, a riasztási szabály több munkaterülethez is hozzáférhet, és az identitásnak mindegyiken olvasói szerepkörrel kell rendelkeznie.
- Ha ADX- vagy ARG-fürtöt kérdez le, hozzá kell adnia olvasói szerepkört a lekérdezés által elért összes adatforráshoz. Ha például a lekérdezés erőforrás-központú, akkor olvasói szerepkörre van szüksége az adott erőforrásokon.
- Ha a lekérdezés egy távoli Azure Data Explorer-fürthöz fér hozzá, az identitást hozzá kell rendelni:
- Olvasói szerepkör a lekérdezés által elért összes adatforráshoz. Ha például a lekérdezés egy távoli Azure Data Explorer-fürtöt hív meg az adx() függvény használatával, akkor olvasói szerepkörre van szüksége az adott ADX-fürtön.
- Adatbázis-megjelenítő az összes olyan adatbázishoz, amelyhez a lekérdezés hozzáfér.
A felügyelt identitásokkal kapcsolatos részletes információkért tekintse meg az Azure-erőforrások felügyelt identitását.
Válassza ki a következő lehetőségek egyikét a riasztási szabály által használt identitáshoz:
Identitás Leírás Egyik sem A riasztási szabály engedélyei a szabály szerkesztésekor utoljára szerkesztett felhasználó engedélyén alapulnak. Rendszer által hozzárendelt felügyelt identitás Az Azure létrehoz egy új, dedikált identitást ehhez a riasztási szabályhoz. Ez az identitás nem rendelkezik engedélyekkel, és a szabály törlésekor automatikusan törlődik. A szabály létrehozása után engedélyeket kell hozzárendelnie ehhez az identitáshoz, hogy hozzáférjen a lekérdezéshez szükséges munkaterülethez és adatforrásokhoz. Az engedélyek hozzárendelésével kapcsolatos további információkért lásd : Azure-szerepkörök hozzárendelése az Azure Portal használatával. Felhasználó által hozzárendelt felügyelt identitás A riasztási szabály létrehozása előtt hozzon létre egy identitást, és rendelje hozzá a napló lekérdezéséhez szükséges engedélyeket. Ez egy normál Azure-identitás. Egy identitást több riasztási szabályban is használhat. Az identitás nem törlődik a szabály törlésekor. Ha ezt az identitástípust választja ki, megnyílik egy ablaktábla, amely kijelöli a szabályhoz társított identitást.
(Nem kötelező) A Speciális beállítások szakaszban több beállítást is megadhat:
Mező Leírás Engedélyezés létrehozáskor Válassza ki, hogy a riasztási szabály a létrehozás után azonnal elinduljon. Riasztások automatikus feloldása (előzetes verzió) Válassza ki a riasztás állapotalapúvá alakításához. Ha egy riasztás állapotalapú, a riasztás akkor lesz feloldva, ha a feltétel már nem teljesül egy adott időtartományban. Az időtartomány a riasztás gyakoriságától függően eltérő:
1 perc: A riasztási feltétel 10 percig nem teljesül.
5–15 perc: A riasztási feltétel három gyakorisági időszakban nem teljesül.
15 perc – 11 óra: A riasztási feltétel két gyakorisági időszakban nem teljesül.
11–12 óra: A riasztási feltétel egy gyakorisági időszakban nem teljesül.
Vegye figyelembe, hogy az állapotalapú naplókeresési riasztások a következő korlátozásokkal rendelkeznek:
- kiértékelésenként legfeljebb 300 riasztást aktiválhatnak.
- legfeljebb 5000 riasztással rendelkezhet afired
riasztási feltétellel.Műveletek elnémítása Itt adhatja meg, hogy mennyi ideig várjon, mielőtt a riasztási műveletek újra aktiválódnak. Ha bejelöli ezt a jelölőnégyzetet, a mező elnémítási műveletei jelzik, hogy mennyi ideig kell várni a riasztás aktiválása után, mielőtt újra aktiválja a műveleteket. Munkaterület társított tárterületének ellenőrzése Válassza ki, hogy a naplók munkaterülethez társított tárolója konfigurálva van-e a riasztásokhoz. Ha nincs konfigurálva csatolt tárterület, a szabály nem jön létre. -
(Nem kötelező) Az Egyéni tulajdonságok szakaszban, ha ez a riasztási szabály műveletcsoportokat tartalmaz, saját tulajdonságokat is hozzáadhat a riasztási értesítés hasznos adataihoz. Ezeket a tulajdonságokat a műveletcsoport által meghívott műveletekben használhatja, például webhookok, Azure-függvények vagy logikai alkalmazásműveletek segítségével.
Az egyéni tulajdonságok kulcs:érték párként vannak megadva statikus szöveg, a riasztás hasznos adataiból kinyert dinamikus érték vagy a kettő kombinációja használatával.
A dinamikus értéknek a riasztás hasznos adataiból való kinyerési formátuma a következő:
${<path to schema field>}
. Például: ${data.essentials.monitorCondition}.A közös riasztási séma formátumával adja meg a hasznos adat mezőjét, függetlenül attól, hogy a riasztási szabályhoz konfigurált műveletcsoportok használják-e a közös sémát.
Feljegyzés
- A gyakori séma felülírja az egyéni konfigurációkat. Nem használhatja az egyéni tulajdonságokat és a közös sémát.
- A rendszer hozzáadja az egyéni tulajdonságokat a riasztás hasznos adataihoz, de nem jelennek meg az e-mail-sablonban vagy a riasztás részleteiben az Azure Portalon.
- A Service Health-riasztások nem támogatják az egyéni tulajdonságokat.
Az alábbi példákban az egyéni tulajdonságok értékei a gyakori riasztási sémát használó hasznos adatokból származó adatok felhasználására szolgálnak:
1\. példa
Ez a példa létrehoz egy "További részletek" címkét az "ablak kezdési időpontjára" és az "ablak befejezési időpontjára" vonatkozó adatokkal.
- Név: "További részletek"
- Érték: "Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
- Eredmény: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"
2 . példa: Ez a példa a riasztás feloldásának vagy kilövésének okával kapcsolatos adatokat adja hozzá.
- Név: "Alert ${data.essentials.monitorCondition} ok"
- Érték: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Az érték ${data.alertContext.condition.allOf[0].metricValue}"
- Eredmény: A példaeredmények a következőhöz hasonlóak lehetnek:
- "A riasztás feloldott oka: A cpu nagyobbThan5-ének százalékos feloldása. Az érték 3,585"
- "Riasztás aktivált oka": "Százalékos CPU GreaterThan5 Aktiválva. Az érték 10,585"
Riasztási szabálycímkék konfigurálása
A Címkék lapon állítsa be a szükséges címkéket a riasztási szabály erőforrásán.
A riasztási szabály áttekintése és létrehozása
A Véleményezés + létrehozás lapon érvényesíti a szabályt, és tájékoztatja a problémákról.
Ha az ellenőrzés nem talál problémákat, és áttekintette a beállításokat, kattintson a Létrehozás gombra.