Tworzenie lub edytowanie reguły alertu przeszukiwania dzienników

  • Artykuł

W tym artykule pokazano, jak utworzyć nową regułę alertu przeszukiwania dzienników lub edytować istniejącą regułę alertu przeszukiwania dzienników. Aby dowiedzieć się więcej o alertach, zobacz omówienie alertów.

Regułę alertu można utworzyć, łącząc zasoby, które mają być monitorowane, dane monitorowania z zasobu oraz warunki, które mają zostać wyzwolone. Następnie można zdefiniować grupy akcji i reguły przetwarzania alertów, aby określić, co się stanie po wyzwoleniu alertu.

Alerty wyzwalane przez te reguły alertów zawierają ładunek korzystający ze wspólnego schematu alertów.

Uzyskiwanie dostępu do kreatora reguł alertów w witrynie Azure Portal

Istnieje kilka sposobów tworzenia lub edytowania nowej reguły alertu.

Tworzenie lub edytowanie reguły alertu na stronie głównej portalu

  1. W portalu wybierz pozycję Monitoruj>alerty.

  2. Otwórz menu + Utwórz i wybierz pozycję Reguła alertu.

    Zrzut ekranu przedstawiający kroki tworzenia nowej reguły alertu.

Tworzenie lub edytowanie reguły alertu na podstawie określonego zasobu

  1. W portalu przejdź do zasobu.

  2. Wybierz pozycję Alerty w okienku po lewej stronie, a następnie wybierz pozycję + Utwórz>regułę alertu.

    Zrzut ekranu przedstawiający kroki tworzenia nowej reguły alertu z wybranego zasobu.

Edytowanie istniejącej reguły alertu

  1. W portalu na stronie głównej lub w określonym zasobie wybierz pozycję Alerty w okienku po lewej stronie.

  2. Wybierz pozycję Reguły alertów.

  3. Wybierz regułę alertu, którą chcesz edytować, a następnie wybierz pozycję Edytuj.

    Zrzut ekranu przedstawiający kroki edytowania istniejącej reguły alertu przeszukiwania dzienników.

  4. Wybierz dowolną kartę reguły alertu, aby edytować ustawienia.

Konfigurowanie zakresu reguły alertu

  1. W okienku Wybierz zasób ustaw zakres reguły alertu. Możesz filtrować według subskrypcji, typu zasobu lub lokalizacji zasobu.

  2. Wybierz Zastosuj.

    Zrzut ekranu przedstawiający okienko wybierz zasób do utworzenia nowej reguły alertu.

Konfigurowanie warunków reguły alertu

  1. Na karcie Warunek po wybraniu pola Nazwa sygnału wybierz pozycję Wyszukiwanie w dzienniku niestandardowym lub wybierz pozycję Zobacz wszystkie sygnały, jeśli chcesz wybrać inny sygnał dla warunku.

  2. (Opcjonalnie) Jeśli w poprzednim kroku wybrano opcję Zobacz wszystkie sygnały , użyj okienka Wybierz sygnał , aby wyszukać nazwę sygnału lub przefiltrować listę sygnałów. Filtruj według:

    • Typ sygnału: wybierz pozycję Wyszukiwanie w dzienniku.
    • Źródło sygnału: usługa, która wysyła sygnały "Niestandardowe wyszukiwanie dzienników" i "Dziennik (zapisane zapytanie)". Wybierz nazwę sygnału i zastosuj.

  3. W okienku Dzienniki napisz zapytanie zwracające zdarzenia dziennika, dla których chcesz utworzyć alert. Aby użyć jednego ze wstępnie zdefiniowanych zapytań reguł alertów, rozwiń okienko Schemat i filtr po lewej stronie okienka Dzienniki . Następnie wybierz kartę Zapytania i wybierz jedno z zapytań.

Ograniczenia dotyczące zapytań reguł alertów przeszukiwania dzienników:

  • Zapytania reguł alertów przeszukiwania dzienników nie obsługują wtyczek "bag_unpack()", "pivot()" i "narrow()".

  • Słowo "AggregatedValue" jest słowem zarezerwowanym, którego nie można używać w zapytaniu w regułach alertów przeszukiwania dzienników.

  • Łączny rozmiar wszystkich danych we właściwościach reguły alertu dziennika nie może przekraczać 64 KB.

    Zrzut ekranu przedstawiający okienko Zapytanie podczas tworzenia nowej reguły alertu przeszukiwania dzienników.

  1. (Opcjonalnie) Jeśli wysyłasz zapytanie do klastra ADX lub ARG, usługa Log Analytics nie może automatycznie zidentyfikować kolumny ze znacznikiem czasu zdarzenia. Zalecamy dodanie filtru zakresu czasu do zapytania. Na przykład:

        adx('https://help.kusto.windows.net/Samples').table    
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Zrzut ekranu przedstawiający kartę Warunek podczas tworzenia nowej reguły alertu przeszukiwania dzienników.

    Aby uzyskać przykładowe zapytania dotyczące alertów przeszukiwania dzienników, które wysyłają zapytania dotyczące usługi ARG lub ADX, zobacz Przykłady zapytań dotyczących alertów przeszukiwania dzienników.

    Są to ograniczenia dotyczące używania zapytań krzyżowych:

  2. Wybierz pozycję Uruchom , aby uruchomić alert.

  3. W sekcji Wersja zapoznawcza przedstawiono wyniki zapytania. Po zakończeniu edytowania zapytania wybierz pozycję Kontynuuj edytowanie alertu.

  4. Zostanie otwarta karta Warunek wypełniona zapytaniem dziennika. Domyślnie reguła zlicza liczbę wyników w ciągu ostatnich pięciu minut. Jeśli system wykryje podsumowane wyniki zapytania, reguła zostanie automatycznie zaktualizowana o te informacje.

  5. W sekcji Miara wybierz wartości dla tych pól:

    Zrzut ekranu przedstawiający kartę Miara podczas tworzenia nowej reguły alertu przeszukiwania dzienników.

    Pole opis
    Miara Alerty przeszukiwania dzienników mogą mierzyć dwie różne rzeczy, które mogą być używane w różnych scenariuszach monitorowania:
    Wiersze tabeli: liczba zwracanych wierszy może służyć do pracy ze zdarzeniami, takimi jak dzienniki zdarzeń systemu Windows, dziennik syslog i wyjątki aplikacji.
    Obliczanie kolumny liczbowej: obliczenia na podstawie dowolnej kolumny liczbowej mogą służyć do uwzględnienia dowolnej liczby zasobów. Przykładem jest procent procesora CPU.
    Typ agregacji Obliczenia wykonywane na wielu rekordach w celu agregowania ich do jednej wartości liczbowej przy użyciu stopnia szczegółowości agregacji. Przykłady to Łączna, Średnia, Minimalna lub Maksymalna.
    Stopień szczegółowości agregacji Interwał agregowania wielu rekordów na jedną wartość liczbową.

  6. (Opcjonalnie) W sekcji Podział według wymiarów można użyć wymiarów , aby ułatwić zapewnienie kontekstu wyzwalanego alertu.

    Zrzut ekranu przedstawiający sekcję podziału według wymiarów nowej reguły alertu przeszukiwania dzienników.

    Wymiary to kolumny z wyników zapytania, które zawierają dodatkowe dane. Gdy używasz wymiarów, reguła alertu grupuje wyniki zapytania według wartości wymiarów i ocenia wyniki każdej grupy oddzielnie. Jeśli warunek zostanie spełniony, reguła wyzwoli alert dla tej grupy. Ładunek alertu zawiera kombinację, która wyzwoliła alert.

    Można zastosować maksymalnie sześć wymiarów na regułę alertu. Wymiary mogą być tylko kolumnami ciągowymi lub liczbowymi. Jeśli chcesz użyć kolumny, która nie jest liczbą lub typem ciągu jako wymiaru, musisz przekonwertować ją na ciąg lub wartość liczbową w zapytaniu. Jeśli wybierzesz więcej niż jedną wartość wymiaru, każda seria czasowa, która wynika z kombinacji wyzwala własny alert i jest naliczana oddzielnie.

    Na przykład:

    • Możesz użyć wymiarów do monitorowania użycia procesora CPU w wielu wystąpieniach z uruchomioną witryną internetową lub aplikacją. Każde wystąpienie jest monitorowane indywidualnie, a powiadomienia są wysyłane dla każdego wystąpienia, w którym użycie procesora CPU przekracza skonfigurowaną wartość.
    • Możesz zdecydować, że nie chcesz dzielić według wymiarów, jeśli chcesz, aby warunek został zastosowany do wielu zasobów w zakresie. Na przykład nie należy używać wymiarów, jeśli chcesz uruchomić alert, jeśli co najmniej pięć maszyn w zakresie grupy zasobów ma użycie procesora CPU powyżej skonfigurowanej wartości.

    Wybierz wartości dla tych pól:

    • Kolumna Identyfikator zasobu: ogólnie jeśli zakres reguły alertu jest obszarem roboczym, alerty są wyzwalane w obszarze roboczym. Jeśli chcesz mieć oddzielny alert dla każdego zasobu platformy Azure, którego dotyczy problem, możesz:
      • użyj kolumny Identyfikator zasobu platformy Azure usługi ARM jako wymiaru (zwróć uwagę, że przy użyciu tej opcji alert zostanie wyzwolony w obszarze roboczym z kolumną Identyfikator zasobu platformy Azure jako wymiar.
      • określ go jako wymiar we właściwości Identyfikator zasobu platformy Azure, co sprawia, że zasób zwracany przez zapytanie jest obiektem docelowym alertu, dlatego alerty są wyzwalane na zasobie zwracanym przez zapytanie, takie jak maszyna wirtualna lub konto magazynu, w przeciwieństwie do obszaru roboczego. Jeśli używasz tej opcji, jeśli obszar roboczy pobiera dane z zasobów w więcej niż jednej subskrypcji, alerty mogą być wyzwalane dla zasobów z subskrypcji innej niż subskrypcja reguły alertu.
    Pole opis
    Nazwa wymiaru Wymiary mogą być kolumnami liczbowymi lub ciągowymi. Wymiary służą do monitorowania określonych szeregów czasowych i dostarczania kontekstu do wyzwolonego alertu.
    Operator Operator używany w nazwie i wartości wymiaru.
    Wartości wymiarów Wartości wymiarów są oparte na danych z ostatnich 48 godzin. Wybierz pozycję Dodaj wartość niestandardową, aby dodać niestandardowe wartości wymiarów.
    Uwzględnij wszystkie przyszłe wartości Wybierz to pole, aby uwzględnić wszystkie przyszłe wartości dodane do wybranego wymiaru.

  7. W sekcji Logika alertu wybierz wartości dla następujących pól:

    Zrzut ekranu przedstawiający sekcję Logika alertu nowej reguły alertu przeszukiwania dzienników.

    Pole Opis
    Operator Wyniki zapytania są przekształcane w liczbę. W tym polu wybierz operator, który ma być używany, aby porównać liczbę z progiem.
    Wartość progu Wartość liczbowa progu.
    Częstotliwość szacowania Jak często jest uruchamiane zapytanie. Można ustawić w dowolnym miejscu od jednej minuty do jednego dnia (24 godziny).

    Uwaga

    Istnieją pewne ograniczenia dotyczące używania częstotliwości reguł alertów na minutę. Po ustawieniu częstotliwości reguły alertu na minutę wykonywana jest wewnętrzna manipulacja w celu zoptymalizowania zapytania. Ta manipulacja może spowodować niepowodzenie zapytania, jeśli zawiera nieobsługiwane operacje. Poniżej przedstawiono najczęstsze przyczyny, dla których zapytanie nie jest obsługiwane:

    • Zapytanie zawiera operacje wyszukiwania, union * lub take (limit)
    • Zapytanie zawiera funkcję ingestion_time()
    • Zapytanie używa wzorca adx
    • Zapytanie wywołuje funkcję, która wywołuje inne tabele

    Aby uzyskać przykładowe zapytania dotyczące alertów przeszukiwania dzienników, które wysyłają zapytania dotyczące usługi ARG lub ADX, zobacz Przykłady zapytań dotyczących alertów przeszukiwania dzienników

  8. (Opcjonalnie) W sekcji Opcje zaawansowane można określić liczbę niepowodzeń i okres oceny alertu wymagany do wyzwolenia alertu. Jeśli na przykład ustawisz stopień szczegółowości agregacji na 5 minut, możesz określić, że chcesz wyzwolić alert tylko wtedy, gdy w ciągu ostatniej godziny wystąpiły trzy błędy (15 minut). Zasady biznesowe aplikacji określają to ustawienie.

    Zrzut ekranu przedstawiający sekcję Opcje zaawansowane nowej reguły alertu przeszukiwania dzienników.

    Wybierz wartości dla tych pól w obszarze Liczba naruszeń, aby wyzwolić alert:

    Pole opis
    Liczba naruszeń Liczba naruszeń wyzwalających alert.
    Okres oceny Okres, w którym występuje liczba naruszeń.
    Zastąpij zakres czasu zapytania Jeśli chcesz, aby okres oceny alertu był inny niż zakres czasu zapytania, wprowadź tutaj zakres czasu.
    Zakres czasu alertu jest ograniczony do maksymalnie dwóch dni. Nawet jeśli zapytanie zawiera polecenie ago z zakresem czasu dłuższym niż dwa dni, zostanie zastosowany maksymalny zakres czasu dwudniowy. Na przykład, nawet jeśli tekst zapytania zawiera ago(7d),zapytanie skanuje tylko do dwóch dni danych. Jeśli zapytanie wymaga więcej danych niż ocena alertu, możesz ręcznie zmienić zakres czasu. Jeśli zapytanie zawiera polecenie ago , zostanie ono automatycznie zmienione na 2 dni (48 godzin).

    Uwaga

    Jeśli ty lub administrator przypisał alerty usługi Azure Policy usługi Azure Log Search w obszarach roboczych usługi Log Analytics, należy użyć kluczy zarządzanych przez klienta, musisz wybrać pozycję Sprawdź połączony magazyn obszaru roboczego. Jeśli tego nie zrobisz, tworzenie reguły zakończy się niepowodzeniem, ponieważ nie spełnia wymagań zasad.

  9. Wykres podglądu przedstawia wyniki oceny zapytań w czasie. Możesz zmienić okres wykresu lub wybrać inną serię czasową, która wynika z unikatowego podziału alertu według wymiarów.

    Zrzut ekranu przedstawiający podgląd nowej reguły alertu.

  10. Wybierz pozycję Gotowe. Od tego momentu możesz wybrać przycisk Przejrzyj i utwórz w dowolnym momencie.

Konfigurowanie akcji reguły alertu

  1. Na karcie Akcje wybierz lub utwórz wymagane grupy akcji.

    Zrzut ekranu przedstawiający kartę Akcje podczas tworzenia nowej reguły alertu.

Konfigurowanie szczegółów reguły alertu

  1. Na karcie Szczegóły zdefiniuj szczegóły projektu.

    • Wybierz pozycję Subskrypcja.
    • Wybierz grupę zasobów.

  2. Zdefiniuj szczegóły reguły alertu.

    Zrzut ekranu przedstawiający kartę Szczegóły podczas tworzenia nowej reguły alertu przeszukiwania dzienników.

    1. Wybierz ważność.

    2. Wprowadź wartości nazwy reguły alertu i opisu reguły alertu.

      Uwaga

      Zwróć uwagę, że reguła używająca tożsamości nie może mieć znaku ";" w nazwie reguły alertu

    3. Wybierz region.

    4. W sekcji Tożsamość wybierz tożsamość używaną przez regułę alertu przeszukiwania dzienników w celu wysłania zapytania dziennika. Ta tożsamość jest używana do uwierzytelniania, gdy reguła alertu wykonuje zapytanie dziennika.

      Podczas wybierania tożsamości należy pamiętać o następujących kwestiach:

      • Tożsamość zarządzana jest wymagana, jeśli wysyłasz zapytanie do usługi Azure Data Explorer.
      • Użyj tożsamości zarządzanej, jeśli chcesz mieć możliwość wyświetlania lub edytowania uprawnień skojarzonych z regułą alertu.
      • Jeśli nie używasz tożsamości zarządzanej, uprawnienia reguły alertu są oparte na uprawnieniach ostatniego użytkownika do edytowania reguły, w momencie ostatniej edycji reguły.
      • Użyj tożsamości zarządzanej, aby uniknąć przypadku, w którym reguła nie działa zgodnie z oczekiwaniami, ponieważ użytkownik, który ostatnio edytował regułę, nie ma uprawnień do wszystkich zasobów dodanych do zakresu reguły.

      Tożsamość skojarzona z regułą musi mieć następujące role:

      • Jeśli zapytanie uzyskuje dostęp do obszaru roboczego usługi Log Analytics, tożsamość musi mieć przypisaną rolę Czytelnik dla wszystkich obszarów roboczych, do których uzyskuje dostęp zapytanie. Jeśli tworzysz alerty wyszukiwania dzienników skoncentrowane na zasobach, reguła alertu może uzyskiwać dostęp do wielu obszarów roboczych, a tożsamość musi mieć rolę czytelnika dla wszystkich z nich.
      • Jeśli wysyłasz zapytania dotyczące klastra ADX lub ARG, musisz dodać rolę Czytelnik dla wszystkich źródeł danych, do których uzyskuje dostęp zapytanie. Jeśli na przykład zapytanie jest skoncentrowane na zasobach, potrzebuje roli czytelnika dla tych zasobów.
      • Jeśli zapytanie uzyskuje dostęp do zdalnego klastra usługi Azure Data Explorer, tożsamość musi być przypisana:
        • Rola czytelnika dla wszystkich źródeł danych, do których uzyskuje dostęp zapytanie. Jeśli na przykład zapytanie wywołuje zdalny klaster usługi Azure Data Explorer przy użyciu funkcji adx(), potrzebuje roli czytelnika w tym klastrze ADX.
        • Przeglądarka baz danych dla wszystkich baz danych, do których uzyskuje dostęp zapytanie.

      Aby uzyskać szczegółowe informacje na temat tożsamości zarządzanych, zobacz tożsamości zarządzane dla zasobów platformy Azure.

      Wybierz jedną z następujących opcji tożsamości używanej przez regułę alertu:

      Tożsamość Opis
      None Uprawnienia reguły alertu są oparte na uprawnieniach ostatniego użytkownika, który edytował regułę, w momencie edytowania reguły.
      Tożsamość zarządzana przypisana przez system Platforma Azure tworzy nową dedykowaną tożsamość dla tej reguły alertu. Ta tożsamość nie ma uprawnień i jest automatycznie usuwana po usunięciu reguły. Po utworzeniu reguły należy przypisać uprawnienia do tej tożsamości, aby uzyskać dostęp do obszaru roboczego i źródeł danych wymaganych dla zapytania. Aby uzyskać więcej informacji na temat przypisywania uprawnień, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
      Tożsamość zarządzana przypisana przez użytkownika Przed utworzeniem reguły alertu należy utworzyć tożsamość i przypisać jej odpowiednie uprawnienia dla zapytania dziennika. Jest to zwykła tożsamość platformy Azure. Możesz użyć jednej tożsamości w wielu regułach alertów. Tożsamość nie jest usuwana po usunięciu reguły. Po wybraniu tego typu tożsamości zostanie otwarte okienko w celu wybrania skojarzonej tożsamości dla reguły.

  3. (Opcjonalnie) W sekcji Opcje zaawansowane można ustawić kilka opcji:

    Pole opis
    Włącz po utworzeniu Wybierz regułę alertu, aby rozpocząć działanie natychmiast po zakończeniu jego tworzenia.
    Automatyczne rozwiązywanie alertów (wersja zapoznawcza) Wybierz, aby ustawić alert jako stanowy. Gdy alert jest stanowy, alert zostanie rozwiązany, gdy warunek nie zostanie już spełniony dla określonego zakresu czasu. Zakres czasu różni się w zależności od częstotliwości alertu:
    1 minuta: Warunek alertu nie jest spełniony przez 10 minut.
    5–15 minut: Warunek alertu nie jest spełniony przez trzy okresy częstotliwości.
    15 minut — 11 godzin: warunek alertu nie jest spełniony przez dwa okresy częstotliwości.
    Od 11 do 12 godzin: warunek alertu nie jest spełniony przez jeden okres częstotliwości.

    Należy pamiętać, że alerty wyszukiwania dzienników stanowych mają następujące ograniczenia:
    — mogą wyzwalać maksymalnie 300 alertów na ocenę.
    — możesz mieć maksymalnie 5000 alertów z warunkiem alertu fired .
    Akcje wyciszenia Wybierz, aby ustawić okres oczekiwania przed ponownym wyzwoleniem akcji alertu. Jeśli zaznaczysz to pole wyboru, akcje wyciszenia dla pola będą wyglądać tak, aby wybrać czas oczekiwania po wyzwoleniu alertu przed ponownym wyzwoleniem akcji.
    Sprawdzanie połączonego magazynu obszaru roboczego Wybierz, czy skonfigurowano połączony magazyn obszaru roboczego dla alertów. Jeśli nie skonfigurowano magazynu połączonego, reguła nie zostanie utworzona.

  4. (Opcjonalnie) W sekcji Właściwości niestandardowe, jeśli ta reguła alertu zawiera grupy akcji, możesz dodać własne właściwości do uwzględnienia w ładunku powiadomienia alertu. Te właściwości można używać w akcjach wywoływanych przez grupę akcji, takich jak element webhook, funkcja platformy Azure lub akcje aplikacji logiki.

    Właściwości niestandardowe są określane jako pary key:value, używając tekstu statycznego, wartości dynamicznej wyodrębnionej z ładunku alertu lub kombinacji obu tych elementów.

    Format wyodrębniania wartości dynamicznej z ładunku alertu to: ${<path to schema field>}. Na przykład: ${data.essentials.monitorCondition}.

    Użyj formatu wspólnego schematu alertu , aby określić pole w ładunku, niezależnie od tego, czy grupy akcji skonfigurowane dla reguły alertu używają wspólnego schematu.

    Uwaga

    • Wspólny schemat zastępuje konfiguracje niestandardowe. Nie można używać zarówno właściwości niestandardowych, jak i wspólnego schematu.
    • Właściwości niestandardowe są dodawane do ładunku alertu, ale nie są wyświetlane w szablonie wiadomości e-mail ani w szczegółach alertu w witrynie Azure Portal.
    • Alerty usługi Service Health nie obsługują właściwości niestandardowych.

    Zrzut ekranu przedstawiający sekcję właściwości niestandardowych tworzenia nowej reguły alertu.

    W poniższych przykładach wartości we właściwościach niestandardowych są używane do korzystania z danych z ładunku, który używa wspólnego schematu alertu:

    Przykład 1

    W tym przykładzie tworzony jest tag "Dodatkowe szczegóły" z danymi dotyczącymi czasu rozpoczęcia okna i godziny zakończenia okna.

    • Nazwa: "Dodatkowe szczegóły"
    • Wartość: "Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
    • Wynik: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

    Przykład 2 Ten przykład dodaje dane dotyczące przyczyny rozwiązania lub wypalania alertu.

    • Nazwa: "Alert ${data.essentials.monitorCondition} reason"
    • Wartość: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Wartość to ${data.alertContext.condition.allOf[0].metricValue}"
    • Wynik: Przykładowe wyniki mogą wyglądać mniej więcej tak:
      • "Przyczyna rozwiązania alertu: Procent użycia procesora CPU GreaterThan5 został rozwiązany. Wartość to 3,585"
      • "Przyczyna wyzwolenia alertu": "Procent użycia procesora CPU GreaterThan5 został wyzwolony. Wartość to 10,585"

Konfigurowanie tagów reguł alertów

  1. Na karcie Tagi ustaw wszystkie wymagane tagi w zasobie reguły alertu.

    Zrzut ekranu przedstawiający kartę Tagi podczas tworzenia nowej reguły alertu.

Przeglądanie i tworzenie reguły alertu

  1. Na karcie Przeglądanie i tworzenie reguła jest weryfikowana i informuje o wszelkich problemach.

  2. Po zakończeniu weryfikacji i zapoznaniu się z ustawieniami wybierz przycisk Utwórz.

    Zrzut ekranu przedstawiający kartę Przeglądanie i tworzenie podczas tworzenia nowej reguły alertu.

Następne kroki