アクション ルール (プレビュー)Action rules (preview)

アクション ルールを使用すると、Azure Resource Manager の任意のスコープ (Azure サブスクリプション、リソース グループ、ターゲット リソース) で、アクションを定義または抑制できます。Action rules help you define or suppress actions at any Azure Resource Manager scope (Azure subscription, resource group, or target resource). さまざまなフィルターを使用して、操作するアラート インスタンスの特定のサブセットを絞り込むことができます。They have various filters that help you narrow down the specific subset of alert instances that you want to act on.

アクション ルールを使用する理由とタイミングWhy and when should you use action rules?

アラートの抑制Suppression of alerts

アラートによって生成される通知を抑制すると便利なシナリオは多数あります。There are many scenarios where it's useful to suppress the notifications that alerts generate. これらのシナリオは、計画メンテナンス期間中の抑制から、業務時間外の抑制まで多岐にわたります。These scenarios range from suppression during a planned maintenance window to suppression during non-business hours. たとえば、ContosoVM が計画メンテナンス中のため、ContosoVM の担当チームは、次の週末はアラート通知を抑制したいと考えています。For example, the team responsible for ContosoVM wants to suppress alert notifications for the upcoming weekend, because ContosoVM is undergoing planned maintenance.

チームは ContosoVM 上で構成されている各警告ルールを手動で無効に (そしてメンテナンス後に再び有効に) できますが、これは単純なプロセスではありません。Although the team can disable each alert rule that's configured on ContosoVM manually (and enable it again after maintenance), it's not a simple process. アクション ルールを使用すると、抑制の期間を柔軟に構成できるため、アラートの抑制を大規模に定義できます。Action rules help you define alert suppression at scale with the ability to flexibly configure the period of suppression. 前の例では、週末のアラート通知をすべて抑制する 1 つのアクション ルールを、チームで ContosoVM に対して定義できるようになります。In the previous example, the team can define one action rule on ContosoVM that suppresses all alert notifications for the weekend.

大規模なアクションActions at scale

警告ルールを使用すると、アラート生成時にトリガーされるアクション グループを定義できますが、顧客は多くの場合、業務スコープ全体にわたる共通のアクション グループを持ちます。Although alert rules help you define the action group that triggers when the alert is generated, customers often have a common action group across their scope of operations. たとえば、リソース グループ ContosoRG の担当チームはおそらく、ContosoRG 内で定義されるすべての警告ルールに対して同じアクション グループを定義します。For example, a team responsible for the resource group ContosoRG will probably define the same action group for all alert rules defined within ContosoRG.

アクション ルールを使うと、このプロセスを簡略化できます。Action rules help you simplify this process. アクションをまとめて定義することで、構成されたスコープで生成されるすべてのアラートに対してアクション グループをトリガーできます。By defining actions at scale, an action group can be triggered for any alert that's generated on the configured scope. 前の例では、チームは ContosoRG に、その中で生成されたすべてのアラートに対して同じアクション グループをトリガーする 1 つのアクション ルールを定義できるようになります。In the previous example, the team can define one action rule on ContosoRG that will trigger the same action group for all alerts generated within it.

注意

アクション ルールは、現在、Azure Service Health アラートには適用されません。Action rules currently don't apply to Azure Service Health alerts.

アクション ルールの構成Configuring an action rule

Azure Monitor のアラート ランディング ページから [アクションの管理] を選択して、機能にアクセスできます。You can access the feature by selecting Manage actions from the Alerts landing page in Azure Monitor. 次に、 [アクション ルール (プレビュー)] を選択します。Then, select Action rules (preview). アラートのランディング ページのダッシュボードから [アクション ルール (プレビュー)] を選択して、ルールにアクセスできます。You can access the rules by selecting Action rules (preview) from the dashboard of the landing page for alerts.

Azure Monitor ランディング ページからのアクション ルール

[+ New Action Rule](+ 新しいアクション ルール) を選択します。Select + New Action Rule.

スクリーンショットには、[アクションの管理] ページが表示され、[New Action Rule](新しいアクション ルール) ボタンが強調表示されています。

または、警告ルールを構成するときにアクション ルールを作成できます。Alternatively, you can create an action rule while you're configuring an alert rule.

スクリーンショットには、[ルールの作成] ページが表示され、[アクション ルールを作成] ボタンが強調表示されています。

アクション ルールを作成するためのフロー ページは次のとおりです。You should now see the flow page for creating action rules. 次の要素を構成します。Configure the following elements:

新しいアクション ルールの作成フロー

ScopeScope

最初にスコープ (Azure サブスクリプション、リソース グループ、またはターゲット リソース) を選択します。First choose the scope (Azure subscription, resource group, or target resource). また、1 つのサブスクリプション内のスコープの組み合わせを複数選択することもできます。You can also multiple-select a combination of scopes within a single subscription.

アクション ルールのスコープ

フィルター条件Filter criteria

さらに、フィルターを定義して、アラートの特定のサブセットに絞り込むことができます。You can additionally define filters to narrow them down to a specific subset of the alerts.

使用可能なフィルターは次のとおりです。The available filters are:

  • [重大度] :1 つ以上のアラートの重大度を選択するオプション。Severity: The option to select one or more alert severities. 重大度 = Sev1 は、Sev1 に設定されたすべてのアラートにアクション ルールが適用されることを意味します。Severity = Sev1 means that the action rule is applicable for all alerts set to Sev1.
  • [サービスの監視] : 生成元の監視サービスに基づいたフィルター。Monitor Service: A filter based on the originating monitoring service. このフィルターも複数選択に対応しています。This filter is also multiple-select. たとえば、サービスの監視 = "Application Insights" は、Application Insights ベース のすべてのアラートにアクション ルールが適用されることを意味します。For example, Monitor Service = “Application Insights” means that the action rule is applicable for all Application Insights-based alerts.
  • [リソースの種類] : 特定のリソースの種類に基づいたフィルター。Resource Type: A filter based on a specific resource type. このフィルターも複数選択に対応しています。This filter is also multiple-select. たとえば、リソースの種類 = "仮想マシン" は、すべての仮想マシンにアクション ルールが適用されることを意味します。For example, Resource Type = “Virtual Machines” means that the action rule is applicable for all virtual machines.
  • [Alert Rule ID](アラート ルール ID) : 警告ルールの Resource Manager ID を使用して、特定の警告ルールをフィルター処理するためのオプション。Alert Rule ID: An option to filter for specific alert rules by using the Resource Manager ID of the alert rule.
  • [Monitor Condition](監視条件) : 監視状態が発生済みまたは解決済みのいずれかのアラート インスタンス用のフィルター。Monitor Condition: A filter for alert instances with either Fired or Resolved as the monitor condition.
  • 説明:説明に照らした文字列の一致を定義する、警告ルールの一部として定義される regex (正規表現) の一致。Description: A regex (regular expression) match that defines a string match against the description, defined as part of the alert rule. たとえば、 'prod' を含む説明は、その説明に "prod" という文字列を含むすべてのアラートと一致します。For example, Description contains 'prod' will match all alerts that contain the string "prod" in their descriptions.
  • [アラートのコンテキスト (ペイロード)] : アラートのペイロードのアラート コンテキスト フィールドに照らした文字列の一致を定義する regex 一致。Alert Context (payload): A regex match that defines a string match against the alert context fields of an alert's payload. たとえば、 'Computer-01' を含むアラート コンテキスト (ペイロード) は、ペイロードに文字列 "Computer-01" を含むすべてのアラートに一致します。For example, Alert context (payload) contains 'Computer-01' will match all alerts whose payloads contain the string "Computer-01."

これらのフィルターは、相互に組み合わせて適用されます。These filters are applied in conjunction with one another. たとえば、リソースの種類 = 仮想マシンおよび重大度 = Sev0 と設定すると、VM 上のみのすべての Sev0 アラートが抽出されます。For example, if you set Resource type' = Virtual Machines and Severity' = Sev0, then you've filtered for all Sev0 alerts on only your VMs.

アクション ルール フィルター

抑制またはアクション グループの構成Suppression or action group configuration

次に、アラートの抑制またはアクション グループのサポートに対するアクション ルールを構成します。Next, configure the action rule for either alert suppression or action group support. 両方を選択することはできません。You can't choose both. 構成は、前に定義したスコープとフィルターに一致するすべてのアラートのインスタンスに対して機能します。The configuration acts on all alert instances that match the previously defined scope and filters.

抑制Suppression

抑制を選択した場合、アクションと通知の抑制の期間を構成します。If you select suppression, configure the duration for the suppression of actions and notifications. 次のいずれかのオプションを選択します。Choose one of the following options:

  • [今すぐ (常に)] : すべての通知を無期限に抑制します。From now (Always): Suppresses all notifications indefinitely.
  • [At a scheduled time](スケジュールされた時間) : 指定された期間だけ、通知を抑制します。At a scheduled time: Suppresses notifications within a bounded duration.
  • [With a recurrence](繰り返し) : 日単位、週単位、または月単位の定期的なスケジュールで通知を抑制します。With a recurrence: Suppresses notifications on a recurring daily, weekly, or monthly schedule.

アクション ルールの抑制

アクション グループAction group

トグルで [Action group](アクション グループ) を選択した場合、既存のアクション グループを追加するか、新しいアクション グループを作成します。If you select Action group in the toggle, either add an existing action group or create a new one.

注意

アクション ルールと関連付けることができるアクション グループは 1 つだけです。You can associate only one action group with an action rule.

アクション グループを選択して新しいアクション ルールを追加または作成

アクション ルールの詳細Action rule details

最後に、アクション ルールに対して次の詳細を構成します。Last, configure the following details for the action rule:

  • 名前Name
  • 保存先のリソース グループResource group in which it's saved
  • 説明Description

シナリオ例Example scenarios

シナリオ 1:重大度に基づくアラートの抑制Scenario 1: Suppression of alerts based on severity

Contoso では、毎週末、サブスクリプション ContosoSub 内のすべての VM で、すべての Sev4 アラートの通知を抑制します。Contoso wants to suppress notifications for all Sev4 alerts on all VMs within the subscription ContosoSub every weekend.

解決方法: 次のアクション ルールを作成します。Solution: Create an action rule with:

  • スコープ = ContosoSubScope = ContosoSub
  • フィルターFilters
    • 重大度 = Sev4Severity = Sev4
    • リソースの種類 = 仮想マシンResource Type = Virtual Machines
  • 繰り返しの抑制、毎週、土曜日日曜日 をオンSuppression with recurrence set to weekly, and Saturday and Sunday checked

シナリオ 2: アラート コンテキスト (ペイロード) に基づくアラートの抑制Scenario 2: Suppression of alerts based on alert context (payload)

Contoso では、メンテナンスのため、ContosoSub 内の Computer-01 に対して生成されるすべてのログ アラートに対する通知を無期限に抑制します。Contoso wants to suppress notifications for all log alerts generated for Computer-01 in ContosoSub indefinitely as it's going through maintenance.

解決方法: 次のアクション ルールを作成します。Solution: Create an action rule with:

  • スコープ = ContosoSubScope = ContosoSub
  • フィルターFilters
    • サービスの監視 = Log AnalyticsMonitor Service = Log Analytics
    • アラート コンテキスト (ペイロード) に Computer-01 が含まれるAlert Context (payload) contains Computer-01
  • 抑制を [今すぐ (常に)] に設定Suppression set to From now (Always)

シナリオ 3: リソース グループで定義されているアクション グループScenario 3: Action group defined at a resource group

Contoso は、1 つのサブスクリプション レベルで 1 つのメトリック アラートを定義しました。Contoso has defined a metric alert at a subscription level. ただし、リソース グループ ContosoRG から生成されるアラート専用にトリガーするアクションを定義したいと考えています。But it wants to define the actions that trigger specifically for alerts generated from the resource group ContosoRG.

解決方法: 次のアクション ルールを作成します。Solution: Create an action rule with:

  • スコープ = ContosoRGScope = ContosoRG
  • フィルターなしNo filters
  • アクション グループを ContosoActionGroup に設定Action group set to ContosoActionGroup

注意

"アクション ルールと警告ルールで定義されるアクション グループは独立して動作し、重複は除去されません。 "Action groups defined within action rules and alert rules operate independently, with no deduplication. 上記のシナリオでは、警告ルールに定義されたアクション グループがある場合、これはアクション ルールに定義されたアクション グループと連動してトリガーされます。In the scenario described earlier, if an action group is defined for the alert rule, it triggers in conjunction with the action group defined in the action rule.

アクション ルールの管理Managing your action rules

リスト ビューから、アクション ルールを表示および管理できます。You can view and manage your action rules from the list view:

アクション ルールのリスト ビュー

ここでは、横にあるチェック ボックスをオンにすることで、アクション ルールをまとめて有効化/無効化/削除できます。From here, you can enable, disable, or delete action rules at scale by selecting the check box next to them. アクション ルールを選択すると、その構成ページが開きます。When you select an action rule, its configuration page opens. このページを使用して、アクション ルールの定義を更新し、それを有効または無効にすることができます。The page helps you update the action rule's definition and enable or disable it.

ベスト プラクティスBest practices

結果の数オプションで作成したログ アラートでは、検索結果全体を使用して 1 つのアラート インスタンスが生成されます (たとえば、複数のコンピューターが含まれる可能性があります)。Log alerts that you create with the number of results option generate a single alert instance by using the whole search result (which might span across multiple computers). このシナリオでは、アクション ルールでアラート コンテキスト (ペイロード) フィルターが使用される場合、一致する限りアラート インスタンスに対して作用します。In this scenario, if an action rule uses the Alert Context (payload) filter, it acts on the alert instance as long as there's a match. 前に説明したシナリオ 2 では、生成されたログ アラートの検索結果に、Computer-01Computer-02 の両方が含まれる場合は、通知全体が抑制されます。In Scenario 2, described previously, if the search results for the generated log alert contain both Computer-01 and Computer-02, the entire notification is suppressed. つまり、Computer-02 に対しても通知はまったく生成されません。There's no notification generated for Computer-02 at all.

アクション ルールとログ アラートの図。アラート インスタンスが 1 つ強調表示されています。

アクション ルールでログ アラートを最適に利用するには、メトリック測定オプションを使ってログ アラートを作成します。To best use log alerts with action rules, create log alerts with the metric measurement option. このオプションを使用すると、その定義されたグループ フィールドに基づいて個別のアラート インスタンスが生成されます。Separate alert instances are generated by this option, based on its defined group field. シナリオ 2 では、Computer-01Computer-02 に対して個別のアラート インスタンスが生成されます。Then, in Scenario 2, separate alert instances are generated for Computer-01 and Computer-02. シナリオで説明されているアクション ルールに従って、Computer-01 の通知のみが抑制されます。Due to the action rule described in the scenario, only the notification for Computer-01 is suppressed. Computer-02 の通知は、引き続き通常どおり起動されます。The notification for Computer-02 continues to fire as normal.

アクション ルールとログ アラート (結果の数)

よく寄せられる質問FAQ

アクション ルールを構成するとき、通知の重複を回避するため、重複する可能性のあるすべてのアクション ルールを確認したいのですが、While I'm configuring an action rule, I'd like to see all the possible overlapping action rules, so that I avoid duplicate notifications. これを行うことはできますか?Is it possible to do that?

アクション ルールを構成するときにスコープを定義した後、同じスコープで重複するアクション ルール (ある場合) の一覧を確認できます。After you define a scope as you configure an action rule, you can see a list of action rules that overlap on the same scope (if any). この重複は、次のいずれかのオプションの可能性があります。This overlap can be one of the following options:

  • 完全一致: たとえば、定義しているアクション ルールと重複するアクション ルールが、同じサブスクリプションに対するものです。An exact match: For example, the action rule you're defining and the overlapping action rule are on the same subscription.
  • サブセット: たとえば、定義しているアクション ルールはサブスクリプションに対するもので、重複するアクション ルールはそのサブスクリプション内のリソース グループに対するものです。A subset: For example, the action rule you're defining is on a subscription, and the overlapping action rule is on a resource group within the subscription.
  • スーパーセット: たとえば、定義しているアクション ルールはリソース グループに対するもので、重複するアクション ルールはそのリソース グループを含むサブスクリプションに対するものです。A superset: For example, the action rule you're defining is on a resource group, and the overlapping action rule is on the subscription that contains the resource group.
  • 交差: たとえば、定義しているアクション ルールは VM1VM2 に対するもので、重複するアクション ルールは VM2VM3 に対するものです。An intersection: For example, the action rule you're defining is on VM1 and VM2, and the overlapping action rule is on VM2 and VM3.

[新しいアクション ルール] ページのスクリーンショット。同じスコープ ウィンドウで定義されているアクション ルールに重複するアクション ルールが表示されています。

警告ルールを構成するとき、定義している警告ルールに作用する可能性のあるアクション ルールが既に定義されているかどうかを確認することはできますか?While I'm configuring an alert rule, is it possible to know if there are already action rules defined that might act on the alert rule I'm defining?

警告ルールのターゲット リソースを定義した後、 [アクション] セクションの [構成されたアクションを表示する] をクリックすることで、同じスコープで作用するアクション ルールの一覧を確認できます (ある場合)。After you define the target resource for your alert rule, you can see the list of action rules that act on the same scope (if any) by selecting View configured actions under the Actions section. この一覧は、スコープの次のシナリオに基づいて設定されます。This list is populated based on the following scenarios for the scope:

  • 完全一致: たとえば、定義しているアラート ルールとアクション ルールが、同じサブスクリプションに対するものです。An exact match: For example, the alert rule you're defining and the action rule are on the same subscription.
  • サブセット: たとえば、定義しているアラート ルールはサブスクリプションに対するもので、アクション ルールはそのサブスクリプション内のリソース グループに対するものです。A subset: For example, the alert rule you're defining is on a subscription, and the action rule is on a resource group within the subscription.
  • スーパーセット: たとえば、定義しているアラート ルールはリソース グループに対するもので、アクション ルールはそのリソース グループを含むサブスクリプションに対するものです。A superset: For example, the alert rule you're defining is on a resource group, and the action rule is on the subscription that contains the resource group.
  • 交差: たとえば、定義しているアラート ルールは VM1VM2 に対するもので、アクション ルールは VM2VM3 に対するものです。An intersection: For example, the alert rule you're defining is on VM1 and VM2, and the action rule is on VM2 and VM3.

アクション ルールの重複

アクション ルールによって抑制されているアラートを表示できますか?Can I see the alerts that have been suppressed by an action rule?

アラート一覧ページで、 [抑制の状態] という名前の追加列を選択できます。In the alerts list page, you can choose an additional column called Suppression Status. アラート インスタンスの通知が抑制されている場合、一覧にその状態が表示されます。If the notification for an alert instance was suppressed, it would show that status in the list.

抑制されたアラート インスタンス

アクション グループを含むアクション ルールと、同じスコープに対する抑制がアクティブな別のアクション ルールがある場合は、どうなりますか?If there's an action rule with an action group and another with suppression active on the same scope, what happens?

同じスコープに対しては抑制が常に優先されます。Suppression always takes precedence on the same scope.

2 つの個別のアクション ルールで 1 つのリソースが監視されていると、どうなりますか?What happens if I have a resource that's monitored in two separate action rules? 受け取る通知は 1 つですか、2 つですか?Do I get one or two notifications? ここでは、次のシナリオの VM2 を例に説明します。For example, VM2 in the following scenario:

action rule AR1 defined for VM1 and VM2 with action group AG1

action rule AR2 defined for VM2 and VM3 with action group AG1

VM1 と VM3 のすべてのアラートについては、アクション グループ AG1 が 1 回トリガーされます。For every alert on VM1 and VM3, action group AG1 would be triggered once. VM2 のすべてのアラートについては、アクション グループ AG1 が 2 回トリガーされます。これは、アクション ルールではアクションは重複除去されないためです。For every alert on VM2, action group AG1 would be triggered twice, because action rules don't deduplicate actions.

2 つの個別のアクション ルールで監視されているリソースがあり、一方でアクションを呼び出し、もう一方で抑制すると、どうなりますか?What happens if I have a resource monitored in two separate action rules and one calls for action while another for suppression? ここでは、次のシナリオの VM2 を例に説明します。For example, VM2 in the following scenario:

action rule AR1 defined for VM1 and VM2 with action group AG1

action rule AR2 defined for VM2 and VM3 with suppression

VM1 のすべてのアラートについては、アクション グループ AG1 が 1 回トリガーされます。For every alert on VM1, action group AG1 would be triggered once. VM2 と VM3 に対するすべてのアラートのアクションと通知は抑制されます。Actions and notifications for every alert on VM2 and VM3 will be suppressed.

同じリソースに対して、異なるアクション グループを呼び出すアラート ルールとアクション ルールが定義されていると、どうなりますか?What happens if I have an alert rule and an action rule defined for the same resource calling different action groups? ここでは、次のシナリオの VM1 を例に説明します。For example, VM1 in the following scenario:

alert rule rule1 on VM1 with action group AG2

action rule AR1 defined for VM1 with action group AG1

VM1 のすべてのアラートについては、アクション グループ AG1 が 1 回トリガーされます。For every alert on VM1, action group AG1 would be triggered once. 警告ルール "rule1" がトリガーされるときは常に、AG2 もさらにトリガーされます。Whenever alert rule "rule1" is triggered, it will also trigger AG2 additionally. アクション ルールと警告ルール内で定義されるアクション グループは独立して動作し、重複は除去されません。Action groups defined within action rules and alert rules operate independently, with no deduplication.

次のステップNext steps