Azure Monitor のアラートを使用してイベントに応答するRespond to events with Azure Monitor Alerts

Azure Monitor のアラートは、Log Analytics リポジトリ内の重要な情報を特定できます。Alerts in Azure Monitor can identify important information in your Log Analytics repository. アラートは定期的にログ検索を自動的に実行するアラート ルールによって作成され、ログ検索の結果が特定の条件と一致している場合はアラート レコードが作成され、自動化された応答を実行するように構成できます。They are created by alert rules that automatically run log searches at regular intervals, and if results of the log search match particular criteria, then an alert record is created and it can be configured to perform an automated response. このチュートリアルは、「Log Analytics データのダッシュボードを作成して共有する」チュートリアルの続きです。This tutorial is a continuation of the Create and share dashboards of Log Analytics data tutorial.

このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • アラート ルールを作成するCreate an alert rule
  • 電子メール通知を送信するアクション グループを構成するConfigure an Action Group to send an e-mail notification

このチュートリアルの例を完了するには、Log Analytics ワークスペースに接続された既存の仮想マシンが必要です。To complete the example in this tutorial, you must have an existing virtual machine connected to the Log Analytics workspace.

Azure Portal にサインインするSign in to Azure portal

Azure Portal (https://portal.azure.com) にサインインします。Sign in to the Azure portal at https://portal.azure.com.

アラートを作成するCreate alerts

アラートは Azure Monitor のアラート ルールによって作成され、保存済みのクエリまたはカスタム ログ検索を一定の間隔で自動的に実行できます。Alerts are created by alert rules in Azure Monitor and can automatically run saved queries or custom log searches at regular intervals. 特定のパフォーマンス メトリック、特定のイベントが作成されたとき、イベントが欠如しているとき、または特定の時間枠内に作成されたイベントの数に基づくアラートを作成できます。You can create alerts based on specific performance metrics or when certain events are created, absence of an event, or a number of events are created within a particular time window. たとえば、アラートを使用して、平均 CPU 使用率が特定のしきい値を超えた場合、不足している更新が検出された場合、または特定の Windows サービスまたは Linux デーモンが実行されていないときにイベントが生成された場合に通知を受信することができます。For example, alerts can be used to notify you when average CPU usage exceeds a certain threshold, when a missing update is detected, or when an event is generated upon detecting that a specific Windows service or Linux daemon is not running. ログ検索の結果が特定の条件に一致すると、アラートが作成されます。If the results of the log search match particular criteria, then an alert is created. さらに、アラートの通知や別のプロセスの呼び出しなど、1 つ以上のアクションを自動的に実行できます。The rule can then automatically run one or more actions, such as notify you of the alert or invoke another process.

次の例では、データの視覚化のチュートリアルで保存した "Azure VM - プロセッサ使用率" のクエリに基づいてメトリック測定アラート ルールを作成します。In the following example, you create a metric measurement alert rule based off of the Azure VMs - Processor Utilization query saved in the Visualize data tutorial. 90% のしきい値を超える仮想マシンごとにアラートが作成されます。An alert is created for each virtual machine that exceeds a threshold of 90%.

  1. Azure Portal で、 [すべてのサービス] をクリックします。In the Azure portal, click All services. リソースの一覧で、「Log Analytics」と入力します。In the list of resources, type Log Analytics. 入力を始めると、入力内容に基づいて、一覧がフィルター処理されます。As you begin typing, the list filters based on your input. [Log Analytics] を選択します。Select Log Analytics.

  2. 左側のウィンドウで、 [アラート] を選択し、ページの上部の [新しいアラート ルール] をクリックして新しいアラートを作成します。In the left-hand pane, select Alerts and then click New Alert Rule from the top of the page to create a new alert.

    新しいアラート ルールの作成Create new alert rule

  3. 最初の手順では、 [アラートの作成] セクションで、リソースとして Log Analytics ワークスペースを選択します。これがログ ベースのアラート シグナルであるためです。For the first step, under the Create Alert section, you are going to select your Log Analytics workspace as the resource, since this is a log based alert signal. 複数のサブスクリプションがある場合は、ドロップダウン リストから、先ほど作成した VM および Log Analytics ワークスペースが含まれている特定のサブスクリプションを選択して結果をフィルターします。Filter the results by choosing the specific Subscription from the drop-down list if you have more than one, which contains the VM and Log Analytics workspace created earlier. ドロップダウン リストから [Log Analytics] を選択して [リソースの種類] をフィルターします。Filter the Resource Type by selecting Log Analytics from the drop-down list. 最後に、 [リソース DefaultLAWorkspace] を選択し、 [完了] をクリックします。Finally, select the Resource DefaultLAWorkspace and then click Done.

    アラートの作成手順 1 のタスクCreate alert step 1 task

  4. [アラートの条件] セクションで、 [条件の追加] をクリックして保存済みのクエリを選択し、アラート ルールが従うロジックを指定します。Under the section Alert Criteria, click Add Criteria to select our saved query and then specify logic that the alert rule follows. [シグナル ロジックの構成] ウィンドウで、一覧から [Azure VM - プロセッサ使用率] を選択します。From the Configure signal logic pane, select Azure VMs - Processor Utilization from the list. ウィンドウが更新されてアラートの構成設定が表示されます。The pane updates to present the configuration settings for the alert. 一番上に、選択したシグナルの過去 30 分の結果と検索クエリ自体が表示されます。On the top, it shows the results for the last 30 minutes of the selected signal and the search query itself.

  5. 次の情報を指定して、アラートを構成します。Configure the alert with the following information:
    a.a. [基準] ドロップダウン リストで [メトリック測定] を選択します。From the Based on drop-down list, select Metric measurement. メトリック測定では、クエリの対象となったオブジェクトのうち、値が指定されたしきい値を上回っているオブジェクトについて、それぞれ別個にアラートが生成されます。A metric measurement will create an alert for each object in the query with a value that exceeds our specified threshold.
    b.b. [条件] では、 [より大きい] を選択し、 [しきい値] には「90」を入力します。For the Condition, select Greater than and enter 90 for Threshold.
    c.c. [アラートをトリガーする基準] セクションで、 [連続する違反] を選択し、ドロップダウン リストから [より大きい] を選択して値 3 を入力します。Under Trigger Alert Based On section, select Consecutive breaches and from the drop-down list select Greater than enter a value of 3.
    d.d. [Evaluation based on](評価基準) セクションで、 [Period](期間) の値を 30 分に変更します。Under Evaluation based on section, modify the Period value to 30 minutes. ルールは 5 分ごとに実行され、現在の時刻から直近の 30 分以内に作成されたレコードが返されます。The rule will run every five minutes and return records that were created within the last thirty minutes from the current time. この期間をより広い時間枠に設定すると、潜在的なデータの待機時間の原因となるため、クエリでは、アラートが決して発生しない検知漏れを回避するために確実にデータが返されるようにします。Setting the time period to a wider window accounts for the potential of data latency, and ensures the query returns data to avoid a false negative where the alert never fires.

  6. [完了] をクリックして、アラート ルールを完成させます。Click Done to complete the alert rule.

    アラート シグナルの構成Configure alert signal

  7. 2 番目の手順に進み、 [アラート ルール名] フィールドに「90% を超える CPU の割合」のようなアラートの名前を入力します。Now moving onto the second step, provide a name of your alert in the Alert rule name field, such as Percentage CPU greater than 90 percent. アラートの詳細を説明する [説明] を指定し、表示されたオプションから [重大度] 値として [重大 (重大度 0)] を選択します。Specify a Description detailing specifics for the alert, and select Critical(Sev 0) for the Severity value from the options provided.

    アラート詳細の構成Configure alert details

  8. 作成時にアラート ルールをすぐにアクティブ化するには、 [ルールの作成時に有効にする] の既定値を受け入れます。To immediately activate the alert rule on creation, accept the default value for Enable rule upon creation.

  9. 3 番目および最後の手順では、 [アクション グループ] を指定します。これにより、アラートがトリガーされるたびに同じアクションが実行され、定義する各ルールに同じアクションを使用できます。For the third and final step, you specify an Action Group, which ensures that the same actions are taken each time an alert is triggered and can be used for each rule you define. 次の情報を指定して、新しいアクション グループを構成します。Configure a new action group with the following information:
    a.a. [新しいアクション グループ] を選択すると、 [アクション グループの追加] ウィンドウが表示されます。Select New action group and the Add action group pane appears.
    b.b. [アクション グループ名] で、「IT 操作 - 通知」のような名前と itops-n などの [短い名前] を指定します。For Action group name, specify a name such as IT Operations - Notify and a Short name such as itops-n.
    c.c. [サブスクリプション][リソース グループ] の既定値が正しいことを確認します。Verify the default values for Subscription and Resource group are correct. 正しくない場合は、ドロップダウン リストから正しいものを 1 つ選択します。If not, select the correct one from the drop-down list.
    d.d. [アクション] セクションで、「電子メールの送信」などのアクション名を指定し、 [アクションの種類] でドロップダウン リストから [電子メール/SMS/プッシュ/音声] を選択します。Under the Actions section, specify a name for the action, such as Send Email and under Action Type select Email/SMS/Push/Voice from the drop-down list. 追加情報を指定するために [電子メール/SMS/プッシュ/音声] プロパティ ウィンドウが右側に開きます。The Email/SMS/Push/Voice properties pane will open to the right in order to provide additional information.
    e.e. [電子メール/SMS/プッシュ/音声] ウィンドウで、 [電子メール] を有効にし、メッセージを配信するための有効な電子メール SMTP アドレスを指定します。On the Email/SMS/Push/Voice pane, enable Email and provide a valid email SMTP address to deliver the message to.
    f.f. [OK] をクリックして変更を保存します。Click OK to save your changes.

    新しいアクション グループの作成

  10. [OK] をクリックしてアクション グループを完成させます。Click OK to complete the action group.

  11. [アラート ルールの作成] をクリックしてアラート ルールを完成させます。Click Create alert rule to complete the alert rule. すぐに実行が開始されます。It starts running immediately.

    新しいアラート ルールの作成の完了Complete creating new alert rule

ご利用のアラートを Azure Portal で表示するView your alerts in Azure portal

アラートを作成し終わりました。Azure のアラートは 1 つのウィンドウで表示でき、Azure サブスクリプション全体のすべてのアラート ルールを管理できます。Now that you have created an alert, you can view Azure alerts in a single pane and manage all alert rules across your Azure subscriptions. このページには、(有効または無効になっている) すべてのアラート ルールが一覧表示され、ターゲット リソース、リソース グループ、ルール名、または状態に基づいて並べ替えることができます。It lists all the alert rules (enabled or disabled) and can be sorted based on target resources, resource groups, rule name, or status. 発生したすべてのアラートの集計サマリーと、構成済みおよび有効なアラート ルールの合計が含まれます。Included is an aggregated summary of all the fired alerts, and total configured/enabled alert rules.

Azure アラートの状態ページ

アラートがトリガーされると、条件、および選択した時間範囲 (既定値は最後の 6 時間) 内に発生した回数がテーブルに反映されます。When the alert triggers, the table reflects the condition and how many times it occurred within the time range selected (the default is last six hours). 受信トレイに、次の例のような対応する電子メールが表示されます。この場合は、問題が発生している仮想マシンと、検索クエリに一致した最上位の結果が表示されています。There should be a corresponding email in your inbox similar to the following example showing the offending virtual machine and the top results that matched the search query in this case.

アラート電子メール アクションの例

次のステップNext steps

このチュートリアルでは、ログ検索をスケジュールした間隔で実行しているときに、特定の条件に一致した場合は、アラート ルールを使用して、問題を事前に識別して対応する方法を学習しました。In this tutorial, you learned how alert rules can proactively identify and respond to an issue when they run log searches at scheduled intervals and match a particular criteria.

あらかじめ用意されている Log Analytics のサンプル スクリプトを確認するには、次のリンクをクリックしてください。Follow this link to see pre-built Log Analytics script samples.