Zarządzanie regułami alertów utworzonymi w poprzednich wersjach

W tym artykule opisano proces zarządzania regułami alertów utworzonymi w poprzednim interfejsie użytkownika lub przy użyciu wersji 2018-04-16 interfejsu API lub starszej wersji. Reguły alertów utworzone w najnowszym interfejsie użytkownika są wyświetlane i zarządzane w nowym interfejsie użytkownika, zgodnie z opisem w temacie Tworzenie, wyświetlanie i zarządzanie alertami przeszukiwania dzienników przy użyciu usługi Azure Monitor.

Zmiany w środowisku tworzenia reguły alertu przeszukiwania dzienników

Bieżący kreator reguł alertów różni się od wcześniejszego środowiska:

• Wcześniej wyniki wyszukiwania zostały uwzględnione w ładunku wyzwolonego alertu i skojarzonych z nim powiadomień. Wiadomość e-mail zawierała tylko 10 wierszy z niefiltrowanych wyników, podczas gdy ładunek elementu webhook zawierał 1000 niefiltrowanych wyników. Aby uzyskać szczegółowe informacje kontekstowe dotyczące alertu, aby móc zdecydować o odpowiedniej akcji:
  • Zalecamy używanie wymiarów. Wymiary zawierają wartość kolumny, która wyzwolła alert, co daje kontekst, dlaczego alert został wyzwolony i jak rozwiązać problem.
  • Jeśli chcesz zbadać dzienniki, użyj linku w alercie do wyników wyszukiwania w dziennikach.
  • Jeśli potrzebujesz nieprzetworzonych wyników wyszukiwania lub innych zaawansowanych dostosowań, użyj usługi Azure Logic Apps.
• Nowy kreator reguły alertu nie obsługuje dostosowywania ładunku JSON.
  • Użyj właściwości niestandardowych w nowym interfejsie API, aby dodać parametry statyczne i skojarzone wartości do akcji elementu webhook wyzwalanych przez alert.
  • Aby uzyskać bardziej zaawansowane dostosowania, użyj usługi Azure Logic Apps.
• Nowy kreator reguły alertu nie obsługuje dostosowywania tematu wiadomości e-mail.
  • Klienci często używają niestandardowego tematu wiadomości e-mail, aby wskazać zasób, z którego został wyzwolony alert, zamiast korzystać z obszaru roboczego usługi Log Analytics. Użyj nowego interfejsu API , aby wyzwolić alert żądanego zasobu przy użyciu kolumny identyfikatora zasobu.
  • Aby uzyskać bardziej zaawansowane dostosowania, użyj usługi Azure Logic Apps.

Zarządzanie regułami alertów utworzonymi w poprzednich wersjach w witrynie Azure Portal

1. W witrynie Azure Portal wybierz odpowiedni zasób.

2. W obszarze Monitorowanie wybierz pozycję Alerty.

3. Na górnym pasku wybierz pozycję Reguły alertów.

4. Wybierz regułę alertu, którą chcesz edytować.

5. W sekcji Warunek wybierz warunek.

6. Zostanie otwarte okienko Konfigurowanie logiki sygnału z danymi historycznymi dla zapytania, które jest wyświetlane jako graf. Możesz zmienić zakres czasu wykresu, aby wyświetlić dane z ostatnich sześciu godzin do ostatniego tygodnia. Jeśli wyniki zapytania zawierają podsumowane dane lub określone kolumny bez kolumny czasu, na wykresie jest wyświetlana pojedyncza wartość.

   

7. Edytuj warunki reguły alertu, korzystając z następujących sekcji:

   • Zapytanie wyszukiwania: w tej sekcji możesz zmodyfikować zapytanie.

   • Logika alertu: Alerty przeszukiwania dzienników mogą być oparte na dwóch typach miar:

     1. Liczba wyników: liczba rekordów zwracanych przez zapytanie.
     2. Pomiar metryki: Wartość agregowana jest obliczana przy użyciu grupowania summarize według wybranych wyrażeń i zaznaczenia bin(). Na przykład: .

        // Reported errors
        union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records
        | where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records
        or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records
        | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
        

     W przypadku logiki alertów pomiarów metryk można określić sposób dzielenia alertów według wymiarów przy użyciu opcji Agreguj według . Wyrażenie grupowania wierszy musi być unikatowe i posortowane.

     Funkcja bin() może powodować nierówne interwały czasu, więc usługa alertów automatycznie konwertuje funkcję bin() na funkcję binat() z odpowiednim czasem w czasie wykonywania, aby zapewnić wyniki ze stałym punktem.

     Uwaga

     Opcja Podziel według wymiarów alertu jest dostępna tylko dla bieżącego interfejsu API scheduledQueryRules. Jeśli używasz starszego interfejsu API alertów usługi Log Analytics, musisz przełączyć się. Dowiedz się więcej o przełączaniu. Alerty skoncentrowane na zasobach na dużą skalę są obsługiwane tylko w wersji 2021-08-01 interfejsu API i nowszych wersjach.

     

   • Okres: wybierz zakres czasu, dla którego chcesz ocenić określony warunek przy użyciu opcji Okres .

8. Po zakończeniu edytowania warunków wybierz pozycję Gotowe.

9. Użyj danych podglądu, aby ustawić operator, wartość progową i częstotliwość.

10. Ustaw liczbę naruszeń, aby wyzwolić alert przy użyciu opcji Łączne lub Kolejne naruszenia.

11. Wybierz pozycję Gotowe.

12. Możesz edytować opisi ważność reguły. Te szczegóły są używane we wszystkich akcjach alertów. Możesz również nie aktywować reguły alertu podczas tworzenia, wybierając pozycję Włącz regułę podczas tworzenia.

13. Użyj opcji Pomiń alerty, jeśli chcesz pominąć akcje reguły dla określonego czasu po wyzwoleniu alertu. Reguła będzie nadal uruchamiana i tworzy alerty, ale akcje nie zostaną wyzwolone, aby zapobiec szumowi. Wartość akcji wyciszenia musi być większa niż częstotliwość działania alertu.

    

14. Aby ustawić alerty jako stanowe, wybierz pozycję Automatycznie rozwiąż alerty (wersja zapoznawcza).

15. Określ, czy reguła alertu powinna wyzwalać co najmniej jedną grupę akcji po spełnieniu warunku alertu. Aby uzyskać informacje o limitach akcji, które można wykonać, zobacz Limity usługi Azure Monitor.

16. (Opcjonalnie) Dostosowywanie akcji w regułach alertów przeszukiwania dzienników:

    • Niestandardowy temat wiadomości e-mail: zastępuje temat wiadomości e-mail akcji wiadomości e-mail. Nie można zmodyfikować treści wiadomości e-mail, a to pole nie dotyczy adresów e-mail.
    • Uwzględnij niestandardowy ładunek JSON dla elementu webhook: zastępuje kod JSON elementu webhook używany przez grupy akcji, zakładając, że grupa akcji zawiera akcję elementu webhook. Dowiedz się więcej na temat akcji elementu webhook dla alertów przeszukiwania dzienników.

    

17. Po zakończeniu edytowania wszystkich opcji reguły alertu wybierz pozycję Zapisz.

Zarządzanie alertami przeszukiwania dzienników przy użyciu programu PowerShell

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Użyj następujących poleceń cmdlet programu PowerShell, aby zarządzać regułami za pomocą interfejsu API zaplanowanych reguł zapytań:

• New-AzScheduledQueryRule: polecenie cmdlet programu PowerShell w celu utworzenia nowej reguły alertu przeszukiwania dzienników.
• Set-AzScheduledQueryRule: polecenie cmdlet programu PowerShell w celu zaktualizowania istniejącej reguły alertu przeszukiwania dzienników.
• New-AzScheduledQueryRuleSource: polecenie cmdlet programu PowerShell w celu utworzenia lub zaktualizowania obiektu określającego parametry źródłowe alertu przeszukiwania dzienników. Używane jako dane wejściowe przez polecenia cmdlet New-AzScheduledQueryRule i Set-AzScheduledQueryRule .
• New-AzScheduledQueryRuleSchedule: polecenie cmdlet programu PowerShell w celu utworzenia lub zaktualizowania obiektu, który określa parametry harmonogramu alertu przeszukiwania dzienników. Używane jako dane wejściowe przez polecenia cmdlet New-AzScheduledQueryRule i Set-AzScheduledQueryRule .
• New-AzScheduledQueryRuleAlertingAction: polecenie cmdlet programu PowerShell w celu utworzenia lub zaktualizowania obiektu określającego parametry akcji dla alertu przeszukiwania dzienników. Używane jako dane wejściowe przez polecenia cmdlet New-AzScheduledQueryRule i Set-AzScheduledQueryRule .
• New-AzScheduledQueryRuleAznsActionGroup: polecenie cmdlet programu PowerShell w celu utworzenia lub zaktualizowania obiektu określającego parametry grupy akcji dla alertu przeszukiwania dziennika. Używane jako dane wejściowe przez polecenie cmdlet New-AzScheduledQueryRuleAlertingAction .
• New-AzScheduledQueryRuleTriggerCondition: polecenie cmdlet programu PowerShell w celu utworzenia lub zaktualizowania obiektu określającego parametry warunku wyzwalacza dla alertu przeszukiwania dzienników. Używane jako dane wejściowe przez polecenie cmdlet New-AzScheduledQueryRuleAlertingAction .
• New-AzScheduledQueryRuleLogMetricTrigger: polecenie cmdlet programu PowerShell w celu utworzenia lub zaktualizowania obiektu określającego parametry warunku wyzwalacza metryki dla alertu przeszukiwania dziennika pomiaru metryki. Używane jako dane wejściowe polecenia cmdlet New-AzScheduledQueryRuleTriggerCondition .
• Get-AzScheduledQueryRule: polecenie cmdlet programu PowerShell w celu wyświetlenia listy istniejących reguł alertów przeszukiwania dzienników lub określonej reguły alertu przeszukiwania dzienników.
• Update-AzScheduledQueryRule: polecenie cmdlet programu PowerShell umożliwiające włączanie lub wyłączanie reguły alertu przeszukiwania dzienników.
• Remove-AzScheduledQueryRule: polecenie cmdlet programu PowerShell w celu usunięcia istniejącej reguły alertu przeszukiwania dzienników.

Uwaga

Polecenia ScheduledQueryRules cmdlet programu PowerShell mogą zarządzać regułami utworzonymi tylko w tej wersji interfejsu API zaplanowanych reguł zapytań. Reguły alertów przeszukiwania dzienników utworzone przy użyciu starszego interfejsu API alertów usługi Log Analytics można zarządzać tylko przy użyciu programu PowerShell po przełączeniu się do interfejsu API zaplanowanych reguł zapytań.

Przykładowe kroki tworzenia reguły alertu przeszukiwania dzienników przy użyciu programu PowerShell:

$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"

Przykładowe kroki tworzenia reguły alertu przeszukiwania dzienników przy użyciu programu PowerShell z zapytaniami między zasobami:

$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name" 

Alert wyszukiwania dzienników można również utworzyć przy użyciu plików szablonu i parametrów przy użyciu programu PowerShell:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
  -TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json

Następne kroki

• Dowiedz się więcej o alertach przeszukiwania dzienników.
• Tworzenie alertów przeszukiwania dzienników przy użyciu szablonów usługi Azure Resource Manager.
• Omówienie akcji elementu webhook dla alertów przeszukiwania dzienników.
• Dowiedz się więcej o zapytaniach dzienników.