Problemen met waarschuwingen voor zoeken in logboeken in Azure Monitor oplossen

In dit artikel wordt beschreven hoe u veelvoorkomende problemen met waarschuwingen voor zoeken in logboeken in Azure Monitor kunt oplossen. Het biedt ook oplossingen voor veelvoorkomende problemen met de functionaliteit en configuratie van logboekwaarschuwingen.

U kunt logboekwaarschuwingen gebruiken om resources elke ingestelde frequentie te evalueren met behulp van een Log Analytics-query en een waarschuwing te activeren die is gebaseerd op de resultaten. Regels kunnen een of meer acties activeren met behulp van actiegroepen. Zie Logboekwaarschuwingen in Azure Monitor voor meer informatie over functionaliteit en terminologie van waarschuwingen voor zoeken in logboeken.

Notitie

In dit artikel worden geen gevallen besproken waarin de waarschuwingsregel is geactiveerd. U kunt deze wel zien in Azure Portal, maar de melding is niet verzonden. Bekijk waarschuwingen voor het oplossen van problemen voor zaken zoals deze.

Een waarschuwing voor zoeken in logboeken is niet geactiveerd wanneer deze moet worden weergegeven

Controleer de volgende items als de waarschuwing voor zoeken in logboeken niet is geactiveerd wanneer dit het geval zou moeten zijn:

1. Heeft de waarschuwingsregel een gedegradeerde of niet-beschikbare status?

   Bekijk de status van de waarschuwingsregel voor zoeken in logboeken:

   1. Selecteer Bewaken in de portal en vervolgens Waarschuwingen.

   2. Selecteer waarschuwingsregels in de bovenste opdrachtbalk. Op de pagina worden alle waarschuwingsregels voor alle abonnementen weergegeven.

   3. Selecteer de waarschuwingsregel voor zoeken in logboeken die u wilt bewaken.

   4. Selecteer resourcestatus in het linkerdeelvenster onder Help.

      

   Zie De status van waarschuwingsregels voor zoeken in logboeken controleren voor meer informatie.

2. Controleer de latentie van logboekopname.

   Azure Monitor verwerkt terabytes aan logboeken van klanten van over de hele wereld, wat kan leiden tot latentie van logboekopname.

   Logboeken zijn semi-gestructureerde gegevens en zijn inherent meer latent dan metrische gegevens. Als u meer dan vier minuten vertraging ondervindt bij geactiveerde waarschuwingen, kunt u overwegen metrische waarschuwingen te gebruiken. U kunt gegevens verzenden naar het metrische archief vanuit logboeken met behulp van metrische waarschuwingen voor logboeken.

   Om de latentie te beperken, probeert het systeem de waarschuwingsevaluatie meerdere keren opnieuw uit te proberen. Nadat de gegevens zijn ontvangen, wordt de waarschuwing geactiveerd, die in de meeste gevallen niet gelijk is aan de tijd van de logboekrecord.

3. Zijn de acties gedempt of is de waarschuwingsregel zo geconfigureerd dat deze automatisch wordt opgelost?

   Een veelvoorkomend probleem is dat u denkt dat de waarschuwing niet is geactiveerd, maar dat de regel zo is geconfigureerd dat de waarschuwing niet wordt geactiveerd. Zie de geavanceerde opties van de waarschuwingsregel voor zoeken in logboeken om te controleren of beide van de volgende opties niet zijn geselecteerd:

   • Het selectievakje Acties dempen: hiermee kunt u geactiveerde waarschuwingsacties gedurende een bepaalde tijd dempen.
   • Waarschuwingen automatisch oplossen: hiermee wordt de waarschuwing zo geconfigureerd dat er slechts één keer per voorwaarde wordt geactiveerd.

   

4. Is de waarschuwingsregelresource verplaatst of verwijderd?

   Als een waarschuwingsregelresource wordt verplaatst, de naam ervan wordt gewijzigd of wordt verwijderd, worden alle waarschuwingsregels voor logboeken die naar die resource verwijzen, verbroken. Om dit probleem op te lossen, moeten waarschuwingsregels opnieuw worden gemaakt met behulp van een geldige doelresource voor het bereik.

5. Maakt de waarschuwingsregel gebruik van een door het systeem toegewezen beheerde identiteit?

   Wanneer u een waarschuwingsregel voor logboeken maakt met door het systeem toegewezen beheerde identiteit, wordt de identiteit zonder machtigingen gemaakt. Nadat u de regel hebt gemaakt, moet u de juiste rollen toewijzen aan de identiteit van de regel, zodat deze toegang heeft tot de gegevens die u wilt opvragen. U moet deze bijvoorbeeld een lezerrol geven voor de relevante Log Analytics-werkruimten, of een lezerrol en een databaseviewerrol voor het relevante ADX-cluster. Zie beheerde identiteiten voor meer informatie over het gebruik van beheerde identiteiten in logboekwaarschuwingen.

6. Is de query die wordt gebruikt in de waarschuwingsregel voor zoeken in logboeken geldig?

   Wanneer er een waarschuwingsregel voor logboeken wordt gemaakt, wordt de query gevalideerd voor de juiste syntaxis. Maar soms kan de query in de waarschuwingsregel voor logboeken mislukken. Enkele veelvoorkomende redenen zijn:

   • Regels zijn gemaakt via de API en de gebruiker heeft validatie overgeslagen.
   • De query wordt uitgevoerd op meerdere resources en een of meer van de resources zijn verwijderd of verplaatst.
   • De query mislukt omdat:
     • De logboekregistratieoplossing is niet geïmplementeerd in de werkruimte, zodat er geen tabellen worden gemaakt.
     • Gegevens zijn langer dan 30 dagen naar een tabel in de query gestroomd.
     • Aangepaste logboektabellen zijn niet gemaakt omdat de gegevensstroom niet is gestart.
   • Wijzigingen in de querytaal bevatten een herziene indeling voor opdrachten en functies, zodat de eerder opgegeven query niet meer geldig is.

   Azure Advisor waarschuwt u voor dit gedrag. Er wordt een aanbeveling toegevoegd over de betreffende waarschuwingsregel voor zoeken in logboeken. De gebruikte categorie is 'Hoge beschikbaarheid' met gemiddelde impact en een beschrijving van 'Herstel uw logboekwaarschuwingsregel om bewaking te garanderen'.

7. Is de waarschuwingsregel voor zoeken in logboeken uitgeschakeld?

   Als een waarschuwingsregelquery voor zoeken in logboeken gedurende een week niet continu kan worden geëvalueerd, wordt deze automatisch uitgeschakeld door Azure Monitor.

   In de volgende secties worden enkele redenen vermeld waarom Azure Monitor een waarschuwingsregel voor zoeken in logboeken kan uitschakelen. Daarnaast is er een voorbeeld van de gebeurtenis Activiteitenlogboek die wordt ingediend wanneer een regel is uitgeschakeld.

Voorbeeld van activiteitenlogboek wanneer regel is uitgeschakeld

{
    "caller": "Microsoft.Insights/ScheduledQueryRules",
    "channels": "Operation",
    "claims": {
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/ScheduledQueryRules"
    },
    "correlationId": "abcdefg-4d12-1234-4256-21233554aff",
    "description": "Alert: test-bad-alerts is disabled by the System due to : Alert has been failing consistently with the same exception for the past week",
    "eventDataId": "f123e07-bf45-1234-4565-123a123455b",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2019-03-22T04:18:22.8569543Z",
    "id": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Insights/ScheduledQueryRules/disable/action",
        "localizedValue": "Microsoft.Insights/ScheduledQueryRules/disable/action"
    },
    "resourceGroupName": "<Resource Group>",
    "resourceProviderName": {
        "value": "MICROSOFT.INSIGHTS",
        "localizedValue": "Microsoft Insights"
    },
    "resourceType": {
        "value": "MICROSOFT.INSIGHTS/scheduledqueryrules",
        "localizedValue": "MICROSOFT.INSIGHTS/scheduledqueryrules"
    },
    "resourceId": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-03-22T04:18:22.8569543Z",
    "subscriptionId": "<SubscriptionId>",
    "properties": {
        "resourceId": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
        "subscriptionId": "<SubscriptionId>",
        "resourceGroup": "<ResourceGroup>",
        "eventDataId": "12e12345-12dd-1234-8e3e-12345b7a1234",
        "eventTimeStamp": "03/22/2019 04:18:22",
        "issueStartTime": "03/22/2019 04:18:22",
        "operationName": "Microsoft.Insights/ScheduledQueryRules/disable/action",
        "status": "Succeeded",
        "reason": "Alert has been failing consistently with the same exception for the past week"
    },
    "relatedEvents": []
}

Er is een waarschuwing voor zoeken in logboeken geactiveerd wanneer deze niet had moeten zijn

Een geconfigureerde waarschuwingsregel voor logboeken in Azure Monitor kan onverwacht worden geactiveerd. In de volgende secties worden enkele veelvoorkomende redenen beschreven.

1. Is de waarschuwing geactiveerd vanwege latentieproblemen?

   Azure Monitor verwerkt terabytes aan klantlogboeken wereldwijd, wat kan leiden tot de opnamelatentie van logboeken. Er zijn ingebouwde mogelijkheden om valse waarschuwingen te voorkomen, maar ze kunnen nog steeds optreden op zeer latente gegevens (meer dan 30 minuten) en gegevens met latentiepieken.

   Logboeken zijn semi-gestructureerde gegevens en zijn inherent meer latent dan metrische gegevens. Als u veel fouten ondervindt in geactiveerde waarschuwingen, kunt u overwegen metrische waarschuwingen te gebruiken. U kunt gegevens verzenden naar het metrische archief vanuit logboeken met behulp van metrische waarschuwingen voor logboeken.

   Waarschuwingen voor zoeken in logboeken werken het beste wanneer u specifieke gegevens in de logboeken wilt detecteren. Ze zijn minder effectief wanneer u probeert het ontbreken van gegevens in de logboeken te detecteren, zoals waarschuwingen voor heartbeat van virtuele machines.

Foutberichten bij het configureren van waarschuwingsregels voor zoeken in logboeken

Zie de volgende secties voor specifieke foutberichten en hun oplossingen.

De query kan niet worden gevalideerd omdat u gemachtigd bent voor de logboeken

Als u dit foutbericht ontvangt bij het maken of bewerken van uw waarschuwingsregelquery, controleert u of u gemachtigd bent om de doelresourcelogboeken te lezen.

• Vereiste machtigingen voor het lezen van logboeken in de toegangsmodus voor werkruimtecontext: Microsoft.OperationalInsights/workspaces/query/read.
• Vereiste machtigingen voor het lezen van logboeken in de toegangsmodus voor resourcecontext (inclusief Application Insights-resource op basis van een werkruimte): Microsoft.Insights/logs/tableName/read.

Zie Toegang tot Log Analytics-werkruimten beheren voor meer informatie over machtigingen.

Frequentie van één minuut wordt niet ondersteund voor deze query

Er gelden enkele beperkingen voor het gebruik van de frequentie van één minuut voor waarschuwingsregels. Wanneer u de frequentie van de waarschuwingsregel op één minuut instelt, wordt er een interne wijziging uitgevoerd om de query te optimaliseren. Deze wijziging kan ervoor zorgen dat de query mislukt als deze niet-ondersteunde bewerkingen bevat.

Zie deze opmerking voor een lijst met niet-ondersteunde scenario's.

Kan scalaire expressie met de naam niet oplossen <>

Dit foutbericht kan worden geretourneerd bij het maken of bewerken van uw waarschuwingsregelquery als:

• U verwijst naar een kolom die niet in het tabelschema voorkomt.
• U verwijst naar een kolom die niet is gebruikt in een eerdere projectcomponent van de query.

U kunt dit verhelpen door de kolom toe te voegen aan de vorige projectcomponent of de operator columnifexists te gebruiken.

De API ScheduledQueryRules wordt niet ondersteund voor alleen-lezen OMS-waarschuwingen

Dit foutbericht wordt geretourneerd bij het bijwerken of verwijderen van regels die zijn gemaakt met de verouderde API-versie met behulp van Azure Portal.

1. Bewerk of verwijder de regel programmatisch met behulp van de Log Analytics REST API.
2. Aanbevolen: werk uw waarschuwingsregels bij om de API voor geplande queryregels te gebruiken (verouderde API bevindt zich op een afschaffingspad).

Servicelimiet voor waarschuwingsregel is bereikt

Zie Azure Monitor-servicelimieten voor meer informatie over het aantal waarschuwingsregels voor zoeken in logboeken per abonnement en de maximale limieten voor resources. Zie Het totale aantal logboekwaarschuwingsregels in gebruik controleren om te zien hoeveel metrische waarschuwingsregels momenteel in gebruik zijn. Als u de quotumlimiet hebt bereikt, kunnen de volgende stappen helpen het probleem op te lossen.

1. Verwijder waarschuwingsregels voor zoeken in logboeken die niet meer worden gebruikt, of schakel deze uit.

2. Gebruik splitsen op dimensies om het aantal regels te verminderen. Wanneer u splitsen op dimensies gebruikt, kan één regel veel resources bewaken.

3. Als u de quotumlimiet wilt verhogen, gaat u verder met het openen van een ondersteuningsaanvraag en geeft u de volgende informatie op:

   • De abonnements-id's en resource-id's waarvoor de quotumlimiet moet worden verhoogd
   • De reden voor quotumverhoging
   • Het resourcetype voor de quotumverhoging, zoals Log Analytics of Application Insights
   • De aangevraagde quotumlimiet

Volgende stappen

• Meer informatie over logboekwaarschuwingen in Azure.
• Meer informatie over het configureren van logboekwaarschuwingen.
• Meer informatie over logboekquery's.