Waarschuwingen voor activiteitenlogboek maken, weergeven en beheren met behulp van Azure Monitor

  • Artikel
  • 9 minuten om te lezen

Waarschuwingen voor activiteitenlogboek zijn de waarschuwingen die worden geactiveerd wanneer een nieuwe gebeurtenis in het activiteitenlogboek plaatsvindt die overeenkomt met de voorwaarden die zijn opgegeven in de waarschuwing. U maakt deze waarschuwingen voor Azure-resources met behulp van een Azure Resource Manager sjabloon. U kunt deze waarschuwingen ook maken, bijwerken of verwijderen in de Azure Portal.

Normaal gesproken maakt u waarschuwingen voor activiteitenlogboek om meldingen te ontvangen wanneer er specifieke wijzigingen optreden in resources in uw Azure-abonnement. Waarschuwingen zijn vaak beperkt tot bepaalde resourcegroepen of resources. U wilt bijvoorbeeld een melding ontvangen wanneer een virtuele machine in de voorbeeldresourcegroep myProductionResourceGroup wordt verwijderd. Of u wilt een melding ontvangen als er nieuwe rollen zijn toegewezen aan een gebruiker in uw abonnement.

Belangrijk

U kunt geen waarschuwingen maken voor service health-meldingen met behulp van de interface voor het maken van waarschuwingen voor activiteitenlogboek. Zie Waarschuwingen voor activiteitenlogboek ontvangen bij service health-meldingen voor meer informatie over het maken en gebruiken van service health-meldingen.

Wanneer u waarschuwingsregels maakt, moet u ervoor zorgen dat:

  • Het abonnement in het bereik verschilt niet van het abonnement waarin de waarschuwing is gemaakt.
  • De criteria moeten het niveau, de status, de aanroeper, de resourcegroep, de resource-id of de gebeurteniscategorie van het resourcetype zijn waarop de waarschuwing is geconfigureerd.
  • Er zijn geen voorwaarden anyOf of geneste voorwaarden in de JSON van de waarschuwingsconfiguratie. Er is allOf slechts één voorwaarde toegestaan, zonder verdere allOf of anyOf voorwaarden.
  • Wanneer de categorie is, moet u ten minste één van de administrative voorgaande criteria in uw waarschuwing opgeven. U kunt geen waarschuwing maken die telkens wordt geactiveerd wanneer een gebeurtenis wordt gemaakt in de activiteitenlogboeken.
  • Er kunnen geen waarschuwingen worden gemaakt voor gebeurtenissen in de alert categorie van het activiteitenlogboek.

Azure Portal

U kunt de Azure Portal om waarschuwingsregels voor activiteitenlogboek te maken en te wijzigen. De ervaring is geïntegreerd met een Azure-activiteitenlogboek om ervoor te zorgen dat er naadloos waarschuwingen worden gemaakt voor specifieke gebeurtenissen die van belang zijn. Op de Azure Portal kunt u een nieuwe waarschuwingsregel voor activiteitenlogboek maken, vanuit het deelvenster Azure Monitor-waarschuwingen of vanuit het deelvenster Azure Monitor activiteitenlogboek.

Een waarschuwingsregel maken vanuit het Azure Monitor waarschuwingsvenster

U maakt als volgende een waarschuwingsregel voor activiteitenlogboek in de Azure Portal:

  1. Selecteer in Azure Portalde optie Controleren. In het deelvenster Monitor worden al uw bewakingsinstellingen en -gegevens in één weergave samengevoegd.

  2. Selecteer Waarschuwingen > + Nieuwe waarschuwingsregel.

    Schermopname van de knop voor de nieuwe waarschuwingsregel.

    Tip

    De meeste resourcedeelvensters hebben ook Waarschuwingen in het resourcemenu, onder Bewaking. U kunt hier ook waarschuwingen maken.

  3. Kies Doel selecteren en selecteer vervolgens een doelresource waarvoor u een waarschuwing wilt ontvangen. Gebruik de lijsten in Abonnement en Resourcetype om de resource te vinden die u wilt bewaken. U kunt ook de zoekbalk gebruiken om uw resource te vinden.

    Notitie

    Als doel kunt u een volledig abonnement, een resourcegroep of een specifieke resource selecteren. Als u een abonnement of een resourcegroep als doel kiest en u ook een resourcetype selecteert, wordt de regel toegepast op alle resources van dat type binnen het geselecteerde abonnement of een resourcegroep. Als u een specifieke doelresource kiest, is de regel alleen van toepassing op die resource. U kunt niet expliciet meerdere abonnementen, resourcegroepen of resources selecteren met behulp van de doel selector.

  4. Als de geselecteerde resource activiteitenlogboekbewerkingen heeft die u kunt gebruiken om waarschuwingen op te maken, ziet u dat Bij Beschikbare signaaltypen activiteitenlogboek wordt vermeld. U kunt de volledige lijst met ondersteunde resourcetypen voor waarschuwingen voor activiteitenlogboek weergeven in Bewerkingen voor Azure-resourceproviders.

    Schermopname van het selectiedeelvenster van het doel.

  5. Nadat u een doelresource hebt geselecteerd, selecteert u Voorwaarde toevoegen.

  6. U ziet een lijst met signalen die worden ondersteund voor de resource, waaronder de signalen uit verschillende categorieën van activiteitenlogboek. Selecteer het signaal of de bewerking voor activiteitenlogboek waar u een waarschuwing op wilt maken.

  7. U ziet een grafiek voor de activiteitenlogboekbewerking van de afgelopen zes uur. Gebruik de vervolgkeuzelijst Grafiekperiode om een langere geschiedenis voor de bewerking weer te geven.

  8. Onder Waarschuwingslogica kunt u desgewenst meer filtercriteria definiëren:

    • Gebeurtenisniveau: het ernstniveau van de gebeurtenis: Uitgebreid, Informatief, Waarschuwing, Fout of Kritiek.
    • Status: de status van de gebeurtenis: Gestart, Mislukt of Geslaagd.
    • Gebeurtenis geïnitieerd door: Ook wel de aanroeper genoemd. Het e-mailadres of Azure Active Directory id van de gebruiker die de bewerking heeft uitgevoerd.

    Notitie

    Door ten minste één van deze criteria te definiëren, kunt u effectievere regels bereiken. Als het waarschuwingsbereik bijvoorbeeld een volledig abonnement is en het geselecteerde signaal is, is uw regel specifieker als u informatie over het gebeurtenisniveau, de status of het All Administrative Operations initiëren op geeft.

  9. Selecteer Gereed.

    Schermopname van het selectiedeelvenster voorwaarde.

  10. Vul waarschuwingsdetails in, zoals de naam van de waarschuwingsregel, Beschrijving en Ernst.

    Notitie

    De ernst van de waarschuwing voor waarschuwingen voor activiteitenlogboek kan momenteel niet door de gebruiker worden geconfigureerd. Het ernstniveau wordt altijd standaard ingesteld op Sev4.

  11. Voeg een actiegroep toe aan de waarschuwing door een bestaande actiegroep te selecteren of door een nieuwe actiegroep te maken.

  12. Selecteer Done om de waarschuwingsregel voor het activiteitenlogboek op te slaan.

Een waarschuwingsregel maken vanuit het deelvenster Azure Monitor activiteitenlogboek

Een alternatieve manier om een waarschuwing voor activiteitenlogboek te maken, is om te beginnen met een gebeurtenis in het activiteitenlogboek die al is opgetreden, via het activiteitenlogboek in Azure Portal.

  1. In het Azure Monitor - Activiteitenlogboek kunt u filteren of de gewenste gebeurtenis zoeken en vervolgens een waarschuwing maken voor toekomstige soortgelijke gebeurtenissen door Waarschuwing voor activiteitenlogboek toevoegen te selecteren.

    Schermopname van het maken van waarschuwingsregel vanuit een gebeurtenis in een activiteitenlogboek.

  2. Het deelvenster Waarschuwingsregel maken wordt geopend, met het bereik van de waarschuwingsregel en de voorwaarde die al zijn opgegeven volgens de eerder geselecteerde gebeurtenis in het activiteitenlogboek. Indien nodig kunt u het bereik en de voorwaarde in deze fase bewerken en wijzigen. Houd er rekening mee dat standaard het exacte bereik en de voorwaarde voor de nieuwe regel worden gekopieerd uit de oorspronkelijke gebeurteniskenmerken. De exacte resource waarop de gebeurtenis heeft plaatsgevonden en de specifieke gebruiker of servicenaam die de gebeurtenis heeft gestart, zijn bijvoorbeeld standaard beide opgenomen in de nieuwe waarschuwingsregel. Als u de waarschuwingsregel algemener wilt maken, wijzigt u het bereik en de voorwaarde dienovereenkomstig (zie stap 3-9 in de sectie Een waarschuwingsregel maken vanuit het deelvenster Azure Monitor-waarschuwingen).

  3. Volg vervolgens de stappen 10-12 in de sectie 'Een waarschuwingsregel maken vanuit het deelvenster Azure Monitor waarschuwingsvenster'.

Weergeven en beheren in de Azure Portal

  1. Selecteer in Azure Portal Waarschuwing bewaken. > Selecteer vervolgens Waarschuwingsregels beheren.

    Schermopname van de knop Waarschuwingsregels beheren.

    De lijst met beschikbare regels wordt weergegeven.

  2. Filter of zoek naar de regel voor activiteitenlogboek die u wilt wijzigen.

    Schermopname van het deelvenster Beheer van waarschuwingsregels.

    U kunt de beschikbare filters, Abonnement, Resourcegroep, Resource, Signaaltype of Status gebruiken om de activiteitsregel te vinden die u wilt bewerken.

  3. Selecteer de regel en dubbelklik om de regelopties te bewerken. Maak de vereiste wijzigingen en selecteer vervolgens Opslaan.

Azure Resource Manager-sjabloon

Als u een waarschuwingsregel voor een activiteitenlogboek wilt maken met behulp van Azure Resource Manager sjabloon, maakt u een resource van het type microsoft.insights/activityLogAlerts . Vervolgens vult u alle gerelateerde eigenschappen in. Hier is een sjabloon die een waarschuwingsregel voor activiteitenlogboek maakt:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "activityLogAlertName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Activity log alert."
      }
    },
    "activityLogAlertEnabled": {
      "type": "bool",
      "defaultValue": true,
      "metadata": {
        "description": "Indicates whether or not the alert is enabled."
      }
    },
    "actionGroupResourceId": {
      "type": "string",
      "metadata": {
        "description": "Resource Id for the Action group."
      }
    }
  },
  "resources": [   
    {
      "type": "Microsoft.Insights/activityLogAlerts",
      "apiVersion": "2017-04-01",
      "name": "[parameters('activityLogAlertName')]",      
      "location": "Global",
      "properties": {
        "enabled": "[parameters('activityLogAlertEnabled')]",
        "scopes": [
            "[subscription().id]"
        ],        
        "condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "operationName",
              "equals": "Microsoft.Resources/deployments/write"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        },
        "actions": {
          "actionGroups":
          [
            {
              "actionGroupId": "[parameters('actionGroupResourceId')]"
            }
          ]
        }
      }
    }
  ]
}

De vorige voorbeeld-JSON kan worden opgeslagen als bijvoorbeeld sampleActivityLogAlert.json. U kunt het voorbeeld implementeren met behulp van Azure Resource Manager in de Azure Portal.

Notitie

U ziet dat het hoogste niveau dat waarschuwingen voor activiteitenlogboek kunnen worden gedefinieerd, het abonnementsniveau is. Er is geen optie om een waarschuwing voor twee abonnementen te definiëren. De definitie moet zijn om per abonnement te waarschuwen.

De volgende velden zijn de opties die u kunt gebruiken in de Azure Resource Manager sjabloon voor de voorwaardenvelden. (U ziet dat Resource Health, Advisor en Service Health extra eigenschappenvelden hebben voor hun speciale velden.)

  1. resourceId: de resource-id van de beïnvloede resource in de gebeurtenis in het activiteitenlogboek waarin de waarschuwing moet worden gegenereerd.
  2. category: De categorie van de gebeurtenis in het activiteitenlogboek. Bijvoorbeeld: Administrative , ServiceHealth , , , , of ResourceHealth Autoscale Security Recommendation Policy .
  3. caller: Het e-mailadres of Azure Active Directory id van de gebruiker die de bewerking van de gebeurtenis in het activiteitenlogboek heeft uitgevoerd.
  4. level: Het niveau van de activiteit in de gebeurtenis in het activiteitenlogboek waarin de waarschuwing moet worden gegenereerd. Bijvoorbeeld: Critical , Error , , of Warning Informational Verbose .
  5. operationName: de naam van de bewerking in de gebeurtenis in het activiteitenlogboek. Bijvoorbeeld: Microsoft.Resources/deployments/write.
  6. resourceGroup: Naam van de resourcegroep voor de beïnvloede resource in de gebeurtenis in het activiteitenlogboek.
  7. resourceProvider: Zie Azure-resourceproviders en -typen voor meer informatie. Zie Resourceproviders voor Azure-services voor een lijst met resourceproviders aan Azure-services.
  8. status: Tekenreeks die de status van de bewerking in de activiteitsgebeurtenis beschrijft. Bijvoorbeeld: Started , In Progress , , , Succeeded of Failed Active Resolved .
  9. subStatus: Meestal is dit veld de HTTP-statuscode van de bijbehorende REST-aanroep. Maar het kan ook andere tekenreeksen bevatten die een substatus beschrijven. Voorbeelden van HTTP-statuscodes zijn onder andere OK (HTTP-statuscode: 200), No Content (HTTP-statuscode: 204) en Service Unavailable (HTTP-statuscode: 503).
  10. resourceType: Het type resource dat is beïnvloed door de gebeurtenis. Bijvoorbeeld: Microsoft.Resources/deployments.

Bijvoorbeeld:

"condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        }

Zie Gebeurtenisschema voor Azure-activiteitenlogboek voor meer informatie over de velden voor activiteitenlogboek.

Notitie

Het kan vijf minuten duren voordat de nieuwe waarschuwingsregel voor activiteitenlogboek actief is.

REST-API

De api Azure Monitor waarschuwingen voor activiteitenlogboek is een REST API. Het is volledig compatibel met de Azure Resource Manager REST API. U kunt deze gebruiken met PowerShell met behulp van de Resource Manager cmdlet of de Azure CLI.

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

De sjabloon Resource Manager powershell implementeren

Als u PowerShell wilt gebruiken voor het implementeren van Resource Manager voorbeeldsjabloon die wordt weergegeven in de vorige sectie Azure Resource Manager sjabloon, gebruikt u de volgende opdracht:

New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile sampleActivityLogAlert.json -TemplateParameterFile sampleActivityLogAlert.parameters.json

Het bestand sampleActivityLogAlert.parameters.json bevat de waarden die zijn opgegeven voor de parameters die nodig zijn voor het maken van waarschuwingsregel.

PowerShell-cmdlets voor activiteitenlogboek gebruiken

Er zijn speciale PowerShell-cmdlets beschikbaar voor waarschuwingen voor activiteitenlogboek:

Azure CLI

U kunt waarschuwingsregels voor activiteitenlogboek beheren met behulp van toegewezen Azure CLI-opdrachten onder de set az monitor activity-log alert.

Gebruik de volgende opdrachten om een nieuwe waarschuwingsregel voor activiteitenlogboek te maken:

  1. az monitor activity-log alert create: Maak een nieuwe resource voor waarschuwingsregel voor activiteitenlogboek.
  2. az monitor activity-log alert scope: Bereik toevoegen voor de gemaakte waarschuwingsregel voor activiteitenlogboek.
  3. az monitor activity-log alert action-group:Voeg een actiegroep toe aan de waarschuwingsregel voor activiteitenlogboek.

Gebruik de Azure CLI-opdracht az monitor activity-log alert showom één resource voor waarschuwingsregel voor activiteitenlogboek op te halen. Als u alle resources voor waarschuwingsregel voor activiteitenlogboek in een resourcegroep wilt weergeven, gebruikt u az monitor activity-log alert list. U kunt waarschuwingsregelbronnen voor activiteitenlogboek verwijderen met behulp van de Azure CLI-opdracht az monitor activity-log alert delete.

Volgende stappen