Azure Log Analytics の Alert Management ソリューションAlert Management solution in Azure Log Analytics

Alert Management icon

Log Analytics リポジトリ内のアラートはすべて、アラート管理ソリューションを使用して分析できます。The Alert Management solution helps you analyze all of the alerts in your Log Analytics repository. アラートはさまざまなソースから取得されている可能性があり、Log Analytics によって作成されたものや、Nagios や Zabbix からインポートされたモノが含まれます。These alerts may have come from a variety of sources including those sources created by Log Analytics or imported from Nagios or Zabbix. アラートは、接続された System Center Operations Manager 管理グループからもインポートされます。The solution also imports alerts from any connected System Center Operations Manager management groups.

前提条件Prerequisites

このソリューションでは、Log Analytics リポジトリ内の Alert タイプのすべてのレコードが分析されます。そのため、これらのレコードを収集するために必要な構成をすべて行う必要があります。The solution works with any records in the Log Analytics repository with a type of Alert, so you must perform whatever configuration is required to collect these records.

構成Configuration

ソリューションの追加に関するページで説明されているプロセスを使用して、Log Analytics ワークスペースに Alert Management ソリューションを追加します。Add the Alert Management solution to your Log Analytics workspace using the process described in Add solutions. さらに手動で構成する必要はありません。There is no further configuration required.

管理パックManagement packs

System Center Operations Manager 管理グループが Log Analytics ワークスペースに接続されている場合は、このソリューションを追加したときに次の管理パックが System Center Operations Manager にインストールされます。If your System Center Operations Manager management group is connected to your Log Analytics workspace, then the following management packs are installed in System Center Operations Manager when you add this solution. これらの管理パックに伴う構成や保守は不要です。There is no configuration or maintenance of the management packs required.

  • Microsoft System Center Advisor Alert Management (Microsoft.IntelligencePacks.AlertManagement)Microsoft System Center Advisor Alert Management (Microsoft.IntelligencePacks.AlertManagement)

ソリューション管理パックの更新方法の詳細については、「 Operations Manager を Log Analytics に接続する」を参照してください。For more information on how solution management packs are updated, see Connect Operations Manager to Log Analytics.

データ コレクションData collection

エージェントAgents

次の表は、このソリューションの接続先としてサポートされているソースとその説明です。The following table describes the connected sources that are supported by this solution.

接続先ソースConnected Source サポートSupport 説明Description
Windows エージェントWindows agents いいえNo 直接の Windows エージェントでは、アラートは生成されません。Direct Windows agents do not generate alerts. Log Analytics のアラートは、Windows エージェントによって収集されたイベントやパフォーマンス データから生成されます。Log Analytics alerts can be created from events and performance data collected from Windows agents.
Linux エージェントLinux agents いいえNo 直接の Linux エージェントでは、アラートは生成されません。Direct Linux agents do not generate alerts. Log Analytics のアラートは、Linux エージェントによって収集されたイベントやパフォーマンス データから生成されます。Log Analytics alerts can be created from events and performance data collected from Linux agents. Nagios と Zabbix のアラートは、Linux エージェントを必要とするこれらのサーバーから収集されます。Nagios and Zabbix alerts are collected from those servers that require the Linux agent.
System Center Operations Manager 管理グループSystem Center Operations Manager management group はいYes Operations Manager エージェントで生成されたアラートは管理グループに配信された後、Log Analytics に転送されます。Alerts that are generated on Operations Manager agents are delivered to the management group and then forwarded to Log Analytics.

Operations Manager エージェントから Log Analytics への直接接続は必要ありません。A direct connection from Operations Manager agents to Log Analytics is not required. アラート データは管理グループから Log Analytics リポジトリに転送されます。Alert data is forwarded from the management group to the Log Analytics repository.

収集の頻度Collection frequency

  • アラート レコードは、リポジトリに格納されるとすぐにソリューションで利用可能になります。Alert records are available to the solution as soon as they are stored in the repository.
  • アラート データは 3 分おきに Operations Manager 管理グループから Log Analytics に送信されます。Alert data is sent from the Operations Manager management group to Log Analytics every three minutes.

ソリューションの使用Using the solution

Log Analytics ワークスペースに Alert Management ソリューションを追加すると、ダッシュボードに [Alert Management] タイルが追加されます。When you add the Alert Management solution to your Log Analytics workspace, the Alert Management tile is added to your dashboard. このタイルには、過去 24 時間に生成された現在アクティブなアラートの数とグラフが表示されます。This tile displays a count and graphical representation of the number of currently active alerts that were generated within the last 24 hours. この時間範囲を変更することはできません。You cannot change this time range.

Alert Management tile

[Alert Management] (アラート管理) タイルをクリックすると、 [Alert Management] (アラート管理) ダッシュボードが表示されます。Click on the Alert Management tile to open the Alert Management dashboard. ダッシュボードには、次の表に示した列が存在します。The dashboard includes the columns in the following table. それぞれの列には、特定のスコープと時間範囲について、その列の基準に該当するアラート数の上位 10 件が表示されます。Each column lists the top 10 alerts by count matching that column's criteria for the specified scope and time range. ログ検索を実行してアラート全件を取得するには、列の一番下にある [See all] (すべて表示) をクリックするか、列ヘッダーをクリックします。You can run a log search that provides the entire list by clicking See all at the bottom of the column or by clicking the column header.

Column 説明Description
重大なアラートCritical Alerts 重大度が "重大" であるすべてのアラートがその名前別に表示されます。All alerts with a severity of Critical grouped by alert name. アラート名をクリックするとログの検索が実行され、そのアラートに該当するすべてのレコードが返されます。Click on an alert name to run a log search returning all records for that alert.
警告アラートWarning Alerts 重大度が "警告" であるすべてのアラートがその名前別に表示されます。All alerts with a severity of Warning grouped by alert name. アラート名をクリックするとログの検索が実行され、そのアラートに該当するすべてのレコードが返されます。Click on an alert name to run a log search returning all records for that alert.
アクティブな System Center Operations Manager アラートActive System Center Operations Manager Alerts Operations Manager によって収集された [Closed](終了) 状態を除くすべてのアラートが、その生成元ごとにグループ化されて表示されます。All alerts collected from Operations Manager with any state other than Closed grouped by source that generated the alert.
すべてのアクティブなアラートAll Active Alerts 重大度に関係なくすべてのアラートがその名前別に表示されます。All alerts with any severity grouped by alert name. 対象となるのは [Closed](終了) 状態以外の Operations Manager アラートだけです。Only includes Operations Manager alerts with any state other than Closed.

右へスクロールすると、使用頻度の高いいくつかのクエリがダッシュボードに一覧表示されます。そのクエリをクリックすると、アラート データを探すためのログ検索が実行されます。If you scroll to the right, the dashboard lists several common queries that you can click on to perform a log search for alert data.

Alert Management dashboard

Log Analytics のレコードLog Analytics records

アラート管理ソリューションでは、 Alert タイプのすべてのレコードが分析されます。The Alert Management solution analyzes any record with a type of Alert. Log Analytics によって生成されたアラートや、Nagios または Zabbix から収集されたアラートが直接収集されるわけではありません。Alerts created by Log Analytics or collected from Nagios or Zabbix are not directly collected by the solution.

アラートは System Center Operations Manager からインポートされ、タイプを Alert、SourceSystem を OpsManager として、それぞれ対応するレコードが作成されます。The solution does import alerts from System Center Operations Manager and creates a corresponding record for each with a type of Alert and a SourceSystem of OpsManager. これらのレコードは、次の表に示したプロパティを持ちます。These records have the properties in the following table:

プロパティProperty 説明Description
Type AlertAlert
SourceSystem OpsManagerOpsManager
AlertContext アラートが生成されるきっかけとなったデータ項目の詳細 (XML 形式)。Details of the data item that caused the alert to be generated in XML format.
AlertDescription アラートの詳しい説明。Detailed description of the alert.
AlertId アラートの GUID。GUID of the alert.
AlertName アラートの名前。Name of the alert.
AlertPriority アラートの優先度。Priority level of the alert.
AlertSeverity アラートの重大度。Severity level of the alert.
AlertState アラートの最新の解決状態。Latest resolution state of the alert.
LastModifiedBy アラートを最後に変更したユーザーの名前。Name of the user who last modified the alert.
ManagementGroupName アラートが生成された管理グループの名前。Name of the management group where the alert was generated.
RepeatCount 同じ監視対象オブジェクトについて、同じアラートが前回の解決以降に生成された回数。Number of times the same alert was generated for the same monitored object since being resolved.
ResolvedBy アラートを解決したユーザーの名前。Name of the user who resolved the alert. アラートが未解決の場合は空になります。Empty if the alert has not yet been resolved.
SourceDisplayName アラートの生成元となった監視オブジェクトの表示名。Display name of the monitoring object that generated the alert.
SourceFullName アラートの生成元となった監視オブジェクトの完全名。Full name of the monitoring object that generated the alert.
TicketId アラートのチケット ID (System Center Operations Manager 環境がアラートのチケット割り当てプロセスに統合されている場合)。Ticket ID for the alert if the System Center Operations Manager environment is integrated with a process for assigning tickets for alerts. チケット ID が割り当てられていない場合は空になります。Empty of no ticket ID is assigned.
TimeGenerated アラートが作成された日付と時刻。Date and time that the alert was created.
TimeLastModified アラートが最後に変更された日付と時刻。Date and time that the alert was last changed.
TimeRaised アラートが生成された日付と時刻。Date and time that the alert was generated.
TimeResolved アラートが解決された日付と時刻。Date and time that the alert was resolved. アラートが未解決の場合は空になります。Empty if the alert has not yet been resolved.

サンプル ログ検索Sample log searches

以下の表は、このソリューションによって収集されたアラート レコードを探すログ検索の例です。The following table provides sample log searches for alert records collected by this solution:

クエリQuery 説明Description
Alert | where SourceSystem == "OpsManager" and AlertSeverity == "error" and TimeRaised > ago(24h)Alert | where SourceSystem == "OpsManager" and AlertSeverity == "error" and TimeRaised > ago(24h) 過去 24 時間以内に発生した重大なアラートCritical alerts raised during the past 24 hours
Alert | where AlertSeverity == "warning" and TimeRaised > ago(24h)Alert | where AlertSeverity == "warning" and TimeRaised > ago(24h) 過去 24 時間以内に発生した警告アラートWarning alerts raised during the past 24 hours
Alert | where SourceSystem == "OpsManager" and AlertState != "Closed" and TimeRaised > ago(24h) | summarize Count = count() by SourceDisplayNameAlert | where SourceSystem == "OpsManager" and AlertState != "Closed" and TimeRaised > ago(24h) | summarize Count = count() by SourceDisplayName 過去 24 時間以内に発生したアクティブなアラートが存在するソースSources with active alerts raised during the past 24 hours
Alert | where SourceSystem == "OpsManager" and AlertSeverity == "error" and TimeRaised > ago(24h) and AlertState != "Closed"Alert | where SourceSystem == "OpsManager" and AlertSeverity == "error" and TimeRaised > ago(24h) and AlertState != "Closed" 過去 24 時間以内に発生し、まだ解決されていない重大なアラートCritical alerts raised during the past 24 hours that are still active
Alert | where SourceSystem == "OpsManager" and TimeRaised > ago(24h) and AlertState == "Closed"Alert | where SourceSystem == "OpsManager" and TimeRaised > ago(24h) and AlertState == "Closed" 過去 24 時間以内に発生したものの、既に解決されている重大なアラートAlerts raised during the past 24 hours that are now closed
Alert | where SourceSystem == "OpsManager" and TimeRaised > ago(1d) | summarize Count = count() by AlertSeverityAlert | where SourceSystem == "OpsManager" and TimeRaised > ago(1d) | summarize Count = count() by AlertSeverity 過去 1 日以内に発生したアラートを重大度に基づいてグループ化Alerts raised during the past 1 day grouped by their severity
Alert | where SourceSystem == "OpsManager" and TimeRaised > ago(1d) | sort by RepeatCount descAlert | where SourceSystem == "OpsManager" and TimeRaised > ago(1d) | sort by RepeatCount desc 過去 1 日以内に発生したアラートを RepeatCount の値で並べ替えAlerts raised during the past 1 day sorted by their repeat count value

次のステップNext steps