Membuat atau mengedit aturan pemberitahuan pencarian log

Artikel ini memperlihatkan kepada Anda cara membuat aturan pemberitahuan pencarian log baru atau mengedit aturan pemberitahuan pencarian log yang sudah ada. Untuk mempelajari selengkapnya tentang pemberitahuan, lihat gambaran umum pemberitahuan.

Anda membuat aturan pemberitahuan dengan menggabungkan sumber daya yang akan dipantau, data pemantauan dari sumber daya, dan kondisi yang ingin Anda picu pemberitahuannya. Anda kemudian dapat menentukan grup tindakan dan aturan pemrosesan pemberitahuan untuk menentukan apa yang terjadi saat pemberitahuan dipicu.

Pemberitahuan yang dipicu oleh aturan pemberitahuan ini berisi payload yang menggunakan skema pemberitahuan umum.

Mengakses wizard aturan pemberitahuan di portal Azure

Ada beberapa cara untuk membuat atau mengedit aturan pemberitahuan baru.

Membuat atau mengedit aturan pemberitahuan dari halaman beranda portal

1. Di portal, pilih Pantau>Pemberitahuan.

2. Buka menu + Buat, dan pilih Aturan pemberitahuan.

   

Membuat atau mengedit aturan pemberitahuan dari sumber daya tertentu

1. Di portal, navigasikan ke sumber daya.

2. Pilih Pemberitahuan dari panel kiri, lalu pilih + Buat>aturan Pemberitahuan.

   

Mengedit aturan pemberitahuan yang sudah ada

1. Di portal, baik dari halaman beranda atau dari sumber daya tertentu, pilih Pemberitahuan dari panel kiri.

2. Pilih Aturan Pemberitahuan.

3. Pilih aturan pemberitahuan yang ingin Anda edit, lalu pilih Edit.

   

4. Pilih salah satu tab untuk aturan pemberitahuan untuk mengedit pengaturan.

Mengonfigurasi cakupan aturan pemberitahuan

1. Pada panel Pilih sumber daya , atur cakupan untuk aturan pemberitahuan Anda. Anda dapat memfilter berdasarkan langganan, jenis sumber daya, atau lokasi sumber daya.

2. Pilih Terapkan.

   

Mengonfigurasi kondisi aturan pemberitahuan

1. Pada tab Kondisi , saat Anda memilih bidang Nama sinyal, pilih Pencarian log kustom, atau pilih Lihat semua sinyal jika Anda ingin memilih sinyal lain untuk kondisi tersebut.

2. (Opsional) Jika Anda memilih untuk Melihat semua sinyal di langkah sebelumnya, gunakan panel Pilih sinyal untuk mencari nama sinyal atau memfilter daftar sinyal. Filter menurut:

   • Jenis sinyal: Pilih Pencarian log.
   • Sumber sinyal: Layanan yang mengirim sinyal "Pencarian log kustom" dan "Log (kueri tersimpan)". Pilih Nama sinyal dan Terapkan.

3. Pada panel Log , tulis kueri yang mengembalikan peristiwa log yang ingin Anda buat pemberitahuannya. Untuk menggunakan salah satu kueri aturan pemberitahuan yang telah ditentukan sebelumnya, perluas panel Skema dan filter di sebelah kiri panel Log . Lalu pilih tab Kueri , dan pilih salah satu kueri.

Batasan untuk kueri aturan pemberitahuan pencarian log:

• Kueri aturan pemberitahuan pencarian log tidak mendukung plugin 'bag_unpack()', 'pivot()' dan 'narrow()'.

• Kata "AggregatedValue" adalah kata yang dipesan, kata tersebut tidak dapat digunakan dalam kueri pada aturan Pemberitahuan pencarian Log.

• Ukuran gabungan semua data dalam properti aturan pemberitahuan log tidak boleh melebihi 64KB.

  

1. (Opsional) Jika Anda mengkueri kluster ADX atau ARG, Analitik Log tidak dapat secara otomatis mengidentifikasi kolom dengan tanda waktu peristiwa. Kami menyarankan agar Anda menambahkan filter rentang waktu ke kueri. Contohnya:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Untuk kueri pemberitahuan pencarian log sampel yang mengkueri ARG atau ADX, lihat Sampel kueri pemberitahuan pencarian log.

   Ini adalah batasan untuk menggunakan kueri silang:

   • Batasan kueri lintas layanan
   • Menggabungkan tabel Azure Resource Graph dengan ruang kerja Analitik Log
   • Tidak didukung di cloud pemerintah

2. Pilih Jalankan untuk menjalankan peringatan.

3. Bagian Pratinjau memperlihatkan hasil kueri kepada Anda. Setelah selesai mengedit kueri, pilih Lanjutkan Mengedit Peringatan.

4. Tab Kondisi terbuka, terisi dengan kueri log Anda. Secara default, aturan menghitung jumlah hasil dalam lima menit terakhir. Jika sistem mendeteksi hasil kueri yang dirangkum, aturan diperbarui secara otomatis dengan informasi tersebut.

5. Pada bagian Pengukuran, pilih nilai untuk bidang-bidang berikut:

   

   Bidang	Deskripsi
   Pengukuran	Pemberitahuan pencarian log dapat mengukur dua hal berbeda, yang dapat digunakan untuk skenario pemantauan yang berbeda: Baris tabel: Jumlah baris yang dikembalikan dapat digunakan untuk bekerja dengan peristiwa seperti log peristiwa Windows, Syslog, dan pengecualian aplikasi. Kalkulasi kolom numerik: Kalkulasi berdasarkan kolom numerik apa pun dapat digunakan untuk menyertakan sejumlah sumber daya. Contohnya adalah persentase CPU.
   Jenis agregasi	Perhitungan yang dilakukan pada beberapa rekaman untuk mengagregasinya ke satu nilai numerik dengan menggunakan granularitas agregasi. Contohnya adalah Total, Rata-Rata, Minimum, atau Maksimum.
   Granuralitas agregasi	Interval untuk menggabungkan beberapa rekaman ke satu nilai numerik.

6. (Opsional) Di bagian Pisahkan menurut dimensi, Anda dapat menggunakan dimensi untuk membantu memberikan konteks untuk pemberitahuan yang dipicu.

   

   Dimensi adalah kolom dari hasil kueri Anda yang berisi data tambahan. Saat Anda menggunakan dimensi, aturan pemberitahuan mengelompokkan hasil kueri berdasarkan nilai dimensi dan mengevaluasi hasil setiap grup secara terpisah. Jika kondisi terpenuhi, aturan akan mengaktifkan pemberitahuan untuk grup tersebut. Payload peringatan mencakup kombinasi yang memicu peringatan.

   Anda dapat menerapkan hingga enam dimensi per aturan pemberitahuan. Dimensi hanya dapat berupa kolom string atau numerik. Jika Anda ingin menggunakan kolom yang bukan tipe angka atau string sebagai dimensi, Anda harus mengonversinya menjadi string atau nilai numerik dalam kueri Anda. Jika Anda memilih lebih dari satu nilai dimensi, setiap deret waktu yang dihasilkan dari kombinasi akan memicu pemberitahuannya sendiri dan akan diisi secara terpisah.

   Contohnya:

   • Anda dapat menggunakan dimensi untuk memantau penggunaan CPU pada beberapa instans yang menjalankan situs web atau aplikasi Anda. Setiap instans dipantau satu per satu, dan pemberitahuan dikirim untuk setiap instans di mana penggunaan CPU melebihi nilai yang dikonfigurasi.
   • Anda dapat memutuskan untuk tidak memisahkan berdasarkan dimensi saat Anda ingin kondisi diterapkan ke beberapa sumber daya dalam cakupan. Misalnya, Anda tidak akan menggunakan dimensi jika Anda ingin mengaktifkan pemberitahuan jika setidaknya lima komputer dalam cakupan grup sumber daya memiliki penggunaan CPU di atas nilai yang dikonfigurasi.

   Pilih nilai untuk bidang-bidang berikut:

   • Kolom ID sumber daya: Secara umum, jika cakupan aturan pemberitahuan Anda adalah ruang kerja, pemberitahuan akan diaktifkan di ruang kerja. Jika Anda menginginkan pemberitahuan terpisah untuk setiap sumber daya Azure yang terpengaruh, Anda dapat:
     • gunakan kolom ARM Azure Resource ID sebagai dimensi (perhatikan bahwa dengan menggunakan opsi ini, pemberitahuan akan diaktifkan di ruang kerja dengan kolom ID Sumber Daya Azure sebagai dimensi.
     • tentukan sebagai dimensi di properti ID Sumber Daya Azure, yang membuat sumber daya yang dikembalikan oleh kueri Anda sebagai target pemberitahuan, sehingga pemberitahuan diaktifkan pada sumber daya yang dikembalikan oleh kueri Anda, seperti komputer virtual atau akun penyimpanan, dibandingkan di ruang kerja. Saat Anda menggunakan opsi ini, jika ruang kerja mendapatkan data dari sumber daya di lebih dari satu langganan, pemberitahuan dapat dipicu pada sumber daya dari langganan yang berbeda dari langganan aturan pemberitahuan.

   Bidang	Deskripsi
   Nama dimensi	Dimensi dapat berupa kolom angka atau string. Dimensi digunakan untuk memantau deret waktu tertentu dan memberikan konteks pada pemberitahuan yang diaktifkan.
   Operator	Operator yang digunakan pada nama dan nilai dimensi.
   Nilai dimensi	Nilai dimensi yang ditampilkan didasarkan pada data dari 48 jam terakhir. Pilih Tambahkan nilai kustom untuk menambahkan nilai dimensi kustom.
   Sertakan semua nilai di masa mendatang	Pilih bidang ini untuk menyertakan nilai di masa mendatang yang ditambahkan ke dimensi yang dipilih.

7. Pada bagian Logika Pemberitahuan, pilih nilai untuk bidang-bidang berikut:

   

   Bidang	Deskripsi
   Operator	Hasil kueri diubah menjadi angka. Di bidang ini, pilih operator yang akan digunakan untuk membandingkan angka dengan ambang batas.
   Ambang nilai	Nilai angka untuk ambang batas.
   Frekuensi evaluasi	Seberapa sering kueri dijalankan. Dapat diatur dari satu menit hingga satu hari (24 jam).

   Catatan

   Ada beberapa batasan untuk menggunakan frekuensi aturan pemberitahuan satu menit . Saat Anda mengatur frekuensi aturan pemberitahuan menjadi satu menit, manipulasi internal dilakukan untuk mengoptimalkan kueri. Manipulasi ini dapat menyebabkan kueri gagal jika berisi operasi yang tidak didukung. Berikut ini adalah alasan paling umum kueri tidak didukung:

   • Kueri berisi operasi pencarian, union * atau take (limit)
   • Kueri berisi fungsi ingestion_time()
   • Kueri menggunakan pola adx
   • Kueri memanggil fungsi yang memanggil tabel lain

   Untuk contoh kueri pemberitahuan pencarian log yang mengkueri ARG atau ADX, lihat Sampel kueri pemberitahuan pencarian log

8. (Opsional) Di bagian Opsi tingkat lanjut, Anda dapat menentukan jumlah kegagalan dan periode evaluasi pemberitahuan yang diperlukan untuk memicu pemberitahuan. Misalnya, jika Anda mengatur granularitas Agregasi menjadi 5 menit, Anda dapat menentukan bahwa Anda hanya ingin memicu pemberitahuan jika ada tiga kegagalan (15 menit) dalam satu jam terakhir. Kebijakan bisnis aplikasi Anda menentukan pengaturan ini.

   

   Pilih nilai untuk bidang ini di bawah Jumlah pelanggaran untuk memicu pemberitahuan:

   Bidang	Deskripsi
   Jumlah pelanggaran	Jumlah pelanggaran untuk memicu peringatan.
   Periode evaluasi	Periode waktu di mana jumlah pelanggaran terjadi.
   Rentang waktu kueri pengambilan alih	Jika Anda ingin periode evaluasi peringatan berbeda dari rentang waktu kueri, masukkan rentang waktu di sini. Rentang waktu peringatan terbatas hingga maksimal dua hari. Bahkan jika kueri berisi perintah yang lalu dengan rentang waktu lebih dari dua hari, rentang waktu maksimum dua hari diterapkan. Misalnya, bahkan jika teks kueri berisi yang lalu(7d), kueri hanya memindai data hingga dua hari. Jika kueri memerlukan lebih banyak data daripada evaluasi pemberitahuan, Anda bisa mengubah rentang waktu secara manual. Jika kueri berisi perintah yang lalu , kueri akan diubah secara otomatis menjadi 2 hari (48 jam).

   Catatan

   Jika Anda atau administrator Anda menetapkan Pemberitahuan Pencarian Log Azure Azure Policy melalui ruang kerja Analitik Log harus menggunakan kunci yang dikelola pelanggan, Anda harus memilih Periksa penyimpanan tertaut ruang kerja. Jika tidak, pembuatan aturan akan gagal karena tidak akan memenuhi persyaratan kebijakan.

9. Bagan Pratinjau memperlihatkan hasil evaluasi kueri dari waktu ke waktu. Anda dapat mengubah periode bagan atau memilih rangkaian waktu berbeda yang dihasilkan dari pemisahan pemberitahuan unik berdasarkan dimensi.

   

10. Pilih Selesai. Mulai saat ini, Anda dapat memilih tombol Tinjau + buat kapan saja.

Mengonfigurasi tindakan aturan pemberitahuan

1. Pada tab Tindakan, pilih atau buat grup tindakan yang diperlukan.

   

Mengonfigurasi detail aturan pemberitahuan

1. Pada tab Detail , tentukan detail Proyek.

   • Pilih Langganan.
   • Pilih Grup sumber daya.

2. Tentukan Detail aturan peringatan.

   

   1. Pilih Tingkat keparahan.

   2. Masukkan nilai untuk Nama aturan peringatan dan Deskripsi aturan peringatan.

      Catatan

      Perhatikan bahwa aturan yang menggunakan Identitas tidak boleh memiliki karakter ";" dalam nama aturan Pemberitahuan

   3. Pilih Wilayah.

   4. Di bagian Identitas , pilih identitas mana yang digunakan oleh aturan pemberitahuan pencarian log untuk mengirim kueri log. Identitas ini digunakan untuk autentikasi saat aturan pemberitahuan menjalankan kueri log.

      Ingatlah hal-hal ini saat memilih identitas:

      • Identitas terkelola diperlukan jika Anda mengirim kueri ke Azure Data Explorer.
      • Gunakan identitas terkelola jika Anda ingin dapat melihat atau mengedit izin yang terkait dengan aturan pemberitahuan.
      • Jika Anda tidak menggunakan identitas terkelola, izin aturan pemberitahuan didasarkan pada izin pengguna terakhir untuk mengedit aturan, pada saat aturan terakhir diedit.
      • Gunakan identitas terkelola untuk membantu Anda menghindari kasus di mana aturan tidak berfungsi seperti yang diharapkan karena pengguna yang terakhir mengedit aturan tidak memiliki izin untuk semua sumber daya yang ditambahkan ke cakupan aturan.

      Identitas yang terkait dengan aturan harus memiliki peran ini:

      • Jika kueri mengakses ruang kerja Analitik Log, identitas harus diberi peran Pembaca untuk semua ruang kerja yang diakses oleh kueri. Jika Anda membuat pemberitahuan pencarian log yang ber sentris sumber daya, aturan pemberitahuan dapat mengakses beberapa ruang kerja, dan identitas harus memiliki peran pembaca pada semuanya.
      • Jika Anda mengkueri kluster ADX atau ARG, Anda harus menambahkan peran Pembaca untuk semua sumber data yang diakses oleh kueri. Misalnya, jika kueri berfokus pada sumber daya, kueri memerlukan peran pembaca pada sumber daya tersebut.
      • Jika kueri mengakses kluster Azure Data Explorer jarak jauh, identitas harus ditetapkan:
        • Peran pembaca untuk semua sumber data yang diakses oleh kueri. Misalnya, jika kueri memanggil kluster Azure Data Explorer jarak jauh menggunakan fungsi adx(), kueri memerlukan peran pembaca pada kluster ADX tersebut.
        • Penampil database untuk semua database yang diakses kueri.

      Untuk informasi terperinci tentang identitas terkelola, lihat identitas terkelola untuk sumber daya Azure.

      Pilih salah satu opsi berikut untuk identitas yang digunakan oleh aturan pemberitahuan:

      Identitas	Deskripsi
      Tidak	Izin aturan pemberitahuan didasarkan pada izin pengguna terakhir yang mengedit aturan, pada saat aturan diedit.
      Sistem menetapkan identitas terkelola	Azure membuat identitas khusus baru untuk aturan pemberitahuan ini. Identitas ini tidak memiliki izin dan dihapus secara otomatis saat aturan dihapus. Setelah membuat aturan, Anda harus menetapkan izin ke identitas ini untuk mengakses ruang kerja dan sumber data yang diperlukan untuk kueri. Untuk informasi selengkapnya tentang menetapkan izin, lihat Menetapkan peran Azure menggunakan portal Azure.
      Identitas terkelola yang ditetapkan pengguna	Sebelum membuat aturan pemberitahuan, Anda membuat identitas dan menetapkan izin yang sesuai untuk kueri log. Ini adalah identitas Azure biasa. Anda dapat menggunakan satu identitas dalam beberapa aturan pemberitahuan. Identitas tidak dihapus saat aturan dihapus. Saat Anda memilih jenis identitas ini, panel terbuka bagi Anda untuk memilih identitas terkait untuk aturan tersebut.

3. (Opsional) Di bagian Opsi tingkat lanjut, Anda dapat mengatur beberapa opsi:

   Bidang	Deskripsi
   Aktifkan saat pembuatan	Pilih agar aturan peringatan mulai berjalan segera setelah Anda selesai membuatnya.
   Mengatasi peringatan secara otomatis (pratinjau)	Pilih untuk menjadikan pemberitahuan berstatus. Saat pemberitahuan bersifat stateful, pemberitahuan diselesaikan ketika kondisi tidak lagi terpenuhi untuk rentang waktu tertentu. Rentang waktu berbeda-beda berdasarkan frekuensi dari peringatan: 1 menit: Kondisi peringatan tidak terpenuhi selama 10 menit. 5-15 menit: Kondisi peringatan tidak terpenuhi selama tiga periode frekuensi. 15 menit - 11 jam: Kondisi peringatan tidak terpenuhi selama dua periode frekuensi. 11 hingga 12 jam: Kondisi peringatan tidak terpenuhi untuk satu periode frekuensi. Perhatikan bahwa pemberitahuan pencarian log stateful memiliki batasan ini: - mereka dapat memicu hingga 300 pemberitahuan per evaluasi. - Anda dapat memiliki maksimum 5000 pemberitahuan dengan fired kondisi pemberitahuan.
   Bisukan tindakan	Pilih untuk menyetel jangka waktu tunggu sebelum tindakan peringatan dipicu lagi. Jika Anda memilih kotak centang ini, bidang Tindakan matikan suara untuk muncul untuk memilih jumlah waktu menunggu setelah peringatan diaktifkan sebelum memicu tindakan lagi.
   Periksa penyimpanan tertaut ruang kerja	Pilih apakah penyimpanan tertaut ruang kerja log untuk peringatan dikonfigurasi. Jika tidak ada penyimpanan tertaut yang dikonfigurasi, aturan tidak dibuat.

4. (Opsional) Di bagian Properti kustom, jika aturan pemberitahuan ini berisi grup tindakan, Anda dapat menambahkan properti Anda sendiri untuk disertakan dalam payload pemberitahuan pemberitahuan. Anda dapat menggunakan properti ini dalam tindakan yang disebut oleh grup tindakan, seperti oleh tindakan webhook, fungsi Azure, atau aplikasi logika.

   Properti kustom ditentukan sebagai pasangan kunci:nilai, menggunakan teks statis, nilai dinamis yang diekstrak dari payload pemberitahuan, atau kombinasi keduanya.

   Format untuk mengekstrak nilai dinamis dari payload pemberitahuan adalah: ${<path to schema field>}. Misalnya: ${data.essentials.monitorCondition}.

   Gunakan format skema pemberitahuan umum untuk menentukan bidang dalam payload, apakah grup tindakan yang dikonfigurasi untuk aturan pemberitahuan menggunakan skema umum atau tidak.

   Catatan

   • Skema umum menimpa konfigurasi kustom. Anda tidak dapat menggunakan properti kustom dan skema umum.
   • Properti kustom ditambahkan ke payload pemberitahuan, tetapi tidak muncul di templat email atau di detail pemberitahuan di portal Azure.
   • Pemberitahuan Service Health tidak mendukung properti kustom.

   

   Dalam contoh berikut, nilai dalam properti kustom digunakan untuk menggunakan data dari payload yang menggunakan skema pemberitahuan umum:

   Contoh 1

   Contoh ini membuat tag "Detail Tambahan" dengan data mengenai "waktu mulai jendela" dan "waktu akhir jendela".

   • Nama: "Detail Tambahan"
   • Nilai: "Evaluasi windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
   • Hasil: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

   Contoh 2 Contoh ini menambahkan data mengenai alasan menyelesaikan atau mengaktifkan pemberitahuan.

   • Nama: "Pemberitahuan ${data.essentials.monitorCondition} alasan"
   • Nilai: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Nilainya adalah ${data.alertContext.condition.allOf[0].metricValue}"
   • Hasil: Contoh hasilnya bisa seperti:
     • "Alasan Diselesaikan Pemberitahuan: Persentase CPU GreaterThan5 Diselesaikan. Nilainya adalah 3,585"
     • "Peringatan Alasan diaktifkan": "Persentase CPU GreaterThan5 Diaktifkan. Nilainya adalah 10,585"

Mengonfigurasi tag aturan pemberitahuan

1. Pada tab Tag , atur tag yang diperlukan pada sumber daya aturan pemberitahuan.

   

Meninjau dan membuat aturan pemberitahuan

1. Pada tab Tinjau + buat , aturan divalidasi, dan memberi tahu Anda tentang masalah apa pun.

2. Saat validasi lolos dan Anda telah meninjau pengaturan, pilih tombol Buat.

   

Langkah berikutnya

• Sampel kueri pemberitahuan pencarian log
• Melihat dan mengelola instans pemberitahuan Anda