Udostępnij za pośrednictwem

Samouczek: tworzenie alertu wyszukiwania dzienników dla zasobu platformy Azure

  • Artykuł

Alerty usługi Azure Monitor proaktywnie powiadamiają o znalezieniu ważnych warunków w danych monitorowania. Reguły alertów przeszukiwania dzienników tworzą alert, gdy zapytanie dziennika zwraca określony wynik. Na przykład po utworzeniu określonego zdarzenia na maszynie wirtualnej lub wysłaniu ostrzeżenia w przypadku wysyłania nadmiernych żądań anonimowych na konto magazynu.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Uzyskiwanie dostępu do wstępnie utworzonych zapytań dziennika przeznaczonych do obsługi reguł alertów dla różnych rodzajów zasobów
  • Tworzenie reguły alertu przeszukiwania dzienników
  • Tworzenie grupy akcji w celu zdefiniowania szczegółów powiadomienia

Wymagania wstępne

Do ukończenia tego samouczka są potrzebne są następujące elementy:

  • Zasób platformy Azure do monitorowania. Możesz użyć dowolnego zasobu w subskrypcji platformy Azure, który obsługuje ustawienia diagnostyczne. Aby określić, czy zasób obsługuje ustawienia diagnostyczne, przejdź do menu w witrynie Azure Portal i sprawdź, czy w sekcji Monitorowanie menu znajduje się opcja Ustawienia diagnostyczne.

Jeśli używasz dowolnego zasobu platformy Azure innego niż maszyna wirtualna:

Jeśli używasz maszyny wirtualnej platformy Azure:

Wybieranie zapytania dziennika i weryfikowanie wyników

Dane są pobierane z obszaru roboczego usługi Log Analytics przy użyciu zapytania dziennika zapisanego w język zapytań Kusto (KQL). Szczegółowe informacje i rozwiązania w usłudze Azure Monitor udostępniają zapytania dziennika dotyczące pobierania danych dla określonej usługi, ale możesz pracować bezpośrednio z zapytaniami dzienników i ich wynikami w witrynie Azure Portal za pomocą usługi Log Analytics.

Wybierz pozycję Dzienniki z menu zasobu. Usługa Log Analytics zostanie otwarta z oknem Zapytania zawierającym wstępnie utworzone zapytania dotyczące typu zasobu. Wybierz pozycję Alerty , aby wyświetlić zapytania przeznaczone dla reguł alertów.

Uwaga

Jeśli okno Zapytania nie zostanie otwarte, kliknij pozycję Zapytania w prawym górnym rogu.

Usługa Log Analytics z oknem zapytań

Wybierz zapytanie i kliknij przycisk Uruchom , aby załadować je w edytorze zapytań i zwrócić wyniki. Możesz zmodyfikować zapytanie i uruchomić je ponownie. Na przykład na poniższym zrzucie ekranu pokazano zapytanie Pokaż żądania anonimowe dla kont magazynu. Możesz zmodyfikować typ uwierzytelniania lub filtrować w innej kolumnie.

Wyniki zapytania

Tworzenie reguły alertu

Po zweryfikowaniu zapytania możesz utworzyć regułę alertu. Wybierz pozycję Nowa reguła alertu, aby utworzyć nową regułę alertu na podstawie bieżącego zapytania dziennika. Zakres jest już ustawiony na bieżący zasób. Nie musisz zmieniać tej wartości.

Tworzenie reguły alertu

Konfigurowanie warunku

Na karcie Warunek zapytanie dziennika jest już wypełnione. Sekcja Miara definiuje sposób pomiaru rekordów z zapytania dziennika. Jeśli zapytanie nie wykonuje podsumowania, jedyną opcją jest zliczenie liczby wierszy tabeli. Jeśli zapytanie zawiera co najmniej jedną kolumnę podsumowaną, możesz użyć liczby wierszy tabeli lub obliczeń na podstawie dowolnej z podsumowanych kolumn. Stopień szczegółowości agregacji definiuje interwał czasu, w którym zbierane wartości są agregowane. Jeśli na przykład stopień szczegółowości agregacji jest ustawiony na 5 minut, reguła alertu ocenia dane zagregowane w ciągu ostatnich 5 minut. Jeśli stopień szczegółowości agregacji jest ustawiony na 15 minut, reguła alertu ocenia dane zagregowane w ciągu ostatnich 15 minut. Ważne jest, aby wybrać odpowiedni stopień szczegółowości agregacji dla reguły alertu, ponieważ może to mieć wpływ na dokładność alertu.

Uwaga

Łączny rozmiar wszystkich danych we właściwościach reguły alertu dziennika nie może przekraczać 64 KB. Może to być spowodowane zbyt dużą liczbą wymiarów, zbyt dużym zapytaniem, zbyt dużą liczbą grup akcji lub długim opisem. Podczas tworzenia dużej reguły alertu pamiętaj, aby zoptymalizować te obszary.

Warunek reguły alertu

Konfigurowanie wymiarów

Podział według wymiarów umożliwia tworzenie oddzielnych alertów dla różnych zasobów. To ustawienie jest przydatne podczas tworzenia reguły alertu, która ma zastosowanie do wielu zasobów. Jeśli zakres jest ustawiony na pojedynczy zasób, to ustawienie zwykle nie jest używane.

Wymiary reguły alertu

Jeśli potrzebujesz pewnych wymiarów zawartych w wiadomości e-mail z powiadomieniem o alertach, możesz określić wymiar (na przykład "Komputer"), wiadomość e-mail z powiadomieniem o alercie będzie zawierać nazwę komputera, który wyzwolił alert. Aparat alertów używa zapytania alertu do określania dostępnych wymiarów. Jeśli nie widzisz wymiaru, który ma zostać wyświetlony na liście rozwijanej dla pozycji "Nazwa wymiaru", jest to spowodowane tym, że zapytanie alertu nie uwidacznia tej kolumny w wynikach. Możesz łatwo dodać żądane wymiary, dodając wiersz projektu do zapytania, który zawiera kolumny, których chcesz użyć. Możesz również użyć wiersza Podsumowanie, aby dodać więcej kolumn do wyników zapytania.

Zrzut ekranu przedstawiający wymiary reguły alertu z wymiarem o nazwie Zestaw komputerów.

Konfigurowanie logiki alertów

W logice alertu skonfiguruj wartość Operator i Próg, aby porównać wartość zwróconą z miary. Alert jest tworzony, gdy ta wartość ma wartość true. Wybierz wartość frequency of evaluation (Częstotliwość oceny ), która określa, jak często jest uruchamiane i oceniane zapytanie dziennika. Koszt reguły alertu zwiększa się z niższą częstotliwością. Po wybraniu częstotliwości szacowany miesięczny koszt jest wyświetlany oprócz podglądu wyników zapytania w danym okresie.

Jeśli na przykład miara to Wiersze tabeli, logika alertu może być większa niż 0 wskazująca, że został zwrócony co najmniej jeden rekord. Jeśli miara jest wartością kolumn, logika może być większa lub mniejsza niż określona wartość progowa. W poniższym przykładzie zapytanie dziennika szuka anonimowych żądań do konta magazynu. Jeśli zostanie wykonane żądanie anonimowe, powinniśmy wyzwolić alert. W takim przypadku zwrócony pojedynczy wiersz wyzwoli alert, więc logika alertu powinna być większa niż 0.

Logika alertu

Konfiguruj akcje

Grupy akcji definiują zestaw akcji do wykonania po wyzwoleniu alertu, takiego jak wysyłanie wiadomości e-mail lub wiadomości SMS.

Aby skonfigurować akcje, wybierz kartę Akcje .

Zrzut ekranu przedstawiający wyróżnioną kartę Akcje.

Kliknij pozycję Wybierz grupy akcji, aby dodać je do reguły alertu.

Zrzut ekranu przedstawiający przycisk Wybierz grupy akcji.

Jeśli nie masz jeszcze grupy akcji w subskrypcji do wybrania, a następnie kliknij pozycję Utwórz grupę akcji, aby utworzyć nową.

Tworzenie grupy akcji

Wybierz subskrypcję i grupęzasobów dla grupy akcji i nadaj jej nazwę grupy akcji, która będzie wyświetlana w portalu i nazwa wyświetlana, która będzie wyświetlana w powiadomieniach e-mail i SMS.

Podstawy grupy akcji

Wybierz kartę Powiadomienia i dodaj co najmniej jedną metodę, aby powiadomić odpowiednie osoby po wyzwoleniu alertu.

Powiadomienia grupy akcji

Konfigurowanie szczegółów

Wybierz kartę Szczegóły i skonfiguruj różne ustawienia dla reguły alertu.

  • Nazwa reguły alertu, która powinna być opisowa, ponieważ będzie wyświetlana po wyzwoleniu alertu.
  • Opcjonalnie podaj opis reguły alertu, który znajduje się w szczegółach alertu.
  • Subskrypcja i grupa zasobów, w której będzie przechowywana reguła alertu. Nie musi ona znajdować się w tej samej grupie zasobów co monitorujący zasób.
  • Ważność alertu. Ważność umożliwia grupowanie alertów o podobnym względnym znaczeniu. Ważność błędu jest odpowiednia dla maszyny wirtualnej, która nie odpowiada.
  • W obszarze Opcje zaawansowane pozostaw zaznaczone pole wyboru Włącz po utworzeniu.
  • W obszarze Opcje zaawansowane zachowaj pole wyboru , aby automatycznie rozwiązywać alerty. Spowoduje to stanowy alert, co oznacza, że alert zostanie rozwiązany, gdy warunek nie zostanie już spełniony.

Szczegóły reguły alertu

Kliknij pozycję Utwórz regułę alertu, aby utworzyć regułę alertu.

Wyświetlanie alertu

Gdy alert zostanie wyzwolony, wysyła wszystkie powiadomienia w grupach akcji. Alert można również wyświetlić w witrynie Azure Portal.

Wybierz pozycję Alerty z menu zasobu. Jeśli istnieją otwarte alerty dotyczące zasobów, są one uwzględnione w widoku.

Widok alertów

Kliknij ważność, aby wyświetlić alerty o tej ważności. Wybierz pozycję Odpowiedź użytkownika i usuń zaznaczenie pozycji Zamknięte , aby wyświetlić tylko otwarte alerty.

Zrzut ekranu przedstawiający filtr odpowiedzi użytkownika.

Kliknij nazwę alertu, aby wyświetlić jego szczegóły.

Szczegóły alertu

Następne kroki

Teraz, gdy wiesz już, jak utworzyć alert wyszukiwania dzienników dla zasobu platformy Azure, zapoznaj się ze skoroszytami dotyczącymi tworzenia interaktywnych wizualizacji danych monitorowania.

Skoroszyty usługi Azure Monitor