Alertas de log no Azure MonitorLog alerts in Azure Monitor

Este artigo fornece detalhes sobre os alertas de Log, que são um dos tipos de alertas com suporte nos Alertas do Azure e que permitem que os usuários usem a plataforma de análise do Azure como base para alertas.This article provides details of Log alerts are one of the types of alerts supported within the Azure Alerts and allow users to use Azure's analytics platform as basis for alerting.

O Alerta de Log consiste em regras de Pesquisa de Logs criadas para o Azure Monitor Logs ou o Application Insights.Log Alert consists of Log Search rules created for Azure Monitor Logs or Application Insights. Para saber mais sobre seu uso, consulte Criar alertas de log no AzureTo learn more about its usage, see creating log alerts in Azure

Observação

Os dados de log populares do Azure Monitor Logs agora também estão disponíveis na plataforma de métricas no Azure Monitor.Popular log data from Azure Monitor Logs is now also available on the metric platform in Azure Monitor. Para obter uma exibição detalhada, confira Alerta de métrica para logsFor details view, Metric Alert for Logs

Regra de alerta de pesquisa de log - definição e tiposLog search alert rule - definition and types

As regras de pesquisa de log são criadas pelos Alertas do Azure para executar consultas de log automaticamente em intervalos regulares.Log search rules are created by Azure Alerts to automatically run specified log queries at regular intervals. Se os resultados da consulta de log corresponderem a critérios específicos, um registro de alerta será criado.If the results of the log query match particular criteria, then an alert record is created. A regra pode executar automaticamente uma ou mais ações usando os Grupos de Ação.The rule can then automatically run one or more actions using Action Groups. A função Colaborador do Monitoramento do Azure pode ser necessária para criar, modificar e atualizar alertas de log e direitos de acesso e execução de consulta para os destinos de análise na regra de alerta ou na consulta de alerta.Azure Monitoring Contributor role for creating, modifying, and updating log alerts may be required; along with access & query execution rights for the analytics target(s) in alert rule or alert query. Caso o usuário que está criando não tenha acesso a todos os destinos de análise na regra de alerta ou consulta de alerta-a criação da regra pode falhar ou a regra de alerta de log será executada com resultados parciais.In case the user creating doesn't have access to all analytics target(s) in alert rule or alert query - the rule creation may fail or the log alert rule will be executed with partial results.

As regras de pesquisa de log são definidas pelos detalhes a seguir:Log search rules are defined by the following details:

  • Consulta de log.Log Query. A consulta que é executada cada vez que a regra de alerta é acionada.The query that runs every time the alert rule fires. Os registros retornados por essa consulta são usados para determinar se um alerta é disparado.The records returned by this query are used to determine whether an alert is to be triggered. A consulta do Analytics pode ser para um workspace específico do Log Analytics ou para um aplicativo do Application Insights e, até mesmo, abranger vários recursos do Log Analytics e do Application Insights, desde que o usuário tenha direitos de acesso, bem como de consulta a todos os recursos.Analytics query can be for a specific Log Analytics workspace or Application Insights app and even span across multiple Log Analytics and Application Insights resources provided the user has access as well as query rights to all resources.

    Importante

    suporte a consultas entre recursos em alertas de log para Application insights e alertas de log para log Analytics configurados usando apenas a API scheduledQueryRules .cross-resource query support in log alerts for Application Insights and log alerts for Log Analytics configured using scheduledQueryRules API only.

    Alguns comandos e combinações de análise são incompatíveis com o uso em alertas de log; para obter mais detalhes, confira Consultas de alertas de log no Azure Monitor.Some analytic commands and combinations are incompatible with use in log alerts; for more details view, Log alert queries in Azure Monitor.

  • Período de tempo.Time Period. Especifica o intervalo de tempo para a consulta.Specifies the time range for the query. A consulta retorna somente os registros que foram criados dentro desse intervalo de tempo atual.The query returns only records that were created within this range of the current time. O período de tempo restringe os dados buscados para consulta de log para evitar abusos e contorna qualquer comando de tempo (como atrás) usados na consulta de log.Time period restricts the data fetched for log query to prevent abuse and circumvents any time command (like ago) used in log query.
    Por exemplo, se o período de tempo está definido para 60 minutos e a consulta é executada às 13h15, somente os registros criados entre 12h15 e 13h15 são retornados para executar a consulta de log. Agora, se a consulta de log usa a hora como o comando atrás (7d), a consulta de log deve ser executada somente para dados entre 12h15 e 13h15 - como se os dados existissem para somente os últimos 60 minutos. E não por sete dias de dados conforme especificado na consulta de log.For example, If the time period is set to 60 minutes, and the query is run at 1:15 PM, only records created between 12:15 PM and 1:15 PM is returned to execute log query. Now if the log query uses time command like ago (7d), the log query would be run only for data between 12:15 PM and 1:15 PM - as if data exists for only the past 60 minutes. And not for seven days of data as specified in log query.

  • Frequência.Frequency. Especifica a frequência com que a consulta deve ser executada.Specifies how often the query should be run. Pode ser qualquer valor entre 5 minutos e 24 horas.Can be any value between 5 minutes and 24 hours. Deve ser igual a ou menor que o período de tempo.Should be equal to or less than the time period. Se o valor for maior que o período de tempo, haverá o risco de que registros sejam perdidos.If the value is greater than the time period, then you risk records being missed.
    Por exemplo, considere um período de tempo de 30 minutos e uma frequência de 60 minutos. Se a consulta for executada à 1:00, retornará registros entre 12:30 e 1:00. A próxima vez em que a consulta será executada é às 2:00, quando ela retornará registros entre 1:30 e 2:00. Todos os registros criados entre 13h00 e 13h30 nunca seriam avaliados.For example, consider a time period of 30 minutes and a frequency of 60 minutes. If the query is run at 1:00, it returns records between 12:30 and 1:00 PM. The next time the query would run is 2:00 when it would return records between 1:30 and 2:00. Any records created between 1:00 and 1:30 would never be evaluated.

  • Limite.Threshold. Os resultados da pesquisa de logs são avaliados para determinar se um alerta deve ser criado.The results of the log search are evaluated to determine whether an alert should be created. O limite é diferente para os diferentes tipos de regras de alerta da pesquisa de logs.The threshold is different for the different types of log search alert rules.

As regras de pesquisa de logs para o Logs do Azure Monitor ou o Application Insights podem ser de dois tipos.Log search rules be it for Azure Monitor Logs or Application Insights, can be of two types. Cada um desses tipos é descrito detalhadamente nas seções a seguir.Each of these types is described in detail in the sections that follow.

  • Número de resultados .Number of results. Alerta único criado quando o número de registros retornados pela pesquisa de logs excedeu um número especificado.Single alert created when the number records returned by the log search exceed a specified number.
  • Medida métrica .Metric measurement. Alerta criado para cada objeto nos resultados da pesquisa de logs com valores que excedem o limite especificado.Alert created for each object in the results of the log search with values that exceed specified threshold.

As diferenças entre tipos de regra de alerta são conforme descrito a seguir.The differences between alert rule types are as follows.

  • A regra de alerta Número de resultados sempre cria um único tempo de alerta, enquanto a regra de alerta Medição métrica cria um alerta para cada objeto que exceder o limite.Number of results alert rules always creates a single alert, while Metric measurement alert rule creates an alert for each object that exceeds the threshold.
  • Regras de alerta de Número de resultados criarão um alerta quando o limite for excedido uma única vez.Number of results alert rules create an alert when the threshold is exceeded a single time. Regras de alerta de Medição métrica podem criar um alerta quando o limite é excedido um determinado número de vezes em um intervalo de tempo específico.Metric measurement alert rules can create an alert when the threshold is exceeded a certain number of times over a particular time interval.

Regras de alerta de Número de resultadosNumber of results alert rules

Regras de alerta de Número de resultados criam um único alerta quando o número de registros retornados pela consulta de pesquisa excede o limite especificado.Number of results alert rules create a single alert when the number of records returned by the search query exceed the specified threshold. Esse tipo de regra de alerta é ideal para trabalhar com eventos como logs de eventos do Windows, Syslog, WebApp Response e Logs Personalizados.This type of alert rule is ideal for working with events such as Windows event logs, Syslog, WebApp Response, and Custom logs. Pode ser útil criar um alerta quando um evento de erro específico é criado ou quando vários eventos de erros são criados dentro de um período de tempo específico.You may want to create an alert when a particular error event gets created, or when multiple error events are created within a particular time period.

Limite: O limite para uma regra de alerta de Número de resultados é maior ou menor que um valor específico.Threshold: The threshold for a Number of results alert rules is greater than or less than a particular value. Se o número de registros retornados pela pesquisa de logs corresponderem a esses critérios, um alerta será criado.If the number of records returned by the log search match this criteria, then an alert is created.

Para alertar sobre um único evento, defina o número de resultados para maior que 0 e verifique a ocorrência de um único evento que foi criado desde a última vez em que a consulta foi executada.To alert on a single event, set the number of results to greater than 0 and check for the occurrence of a single event that was created since the last time the query was run. Alguns aplicativos podem registrar um erro ocasional que não necessariamente gerará um alerta.Some applications may log an occasional error that shouldn't necessarily raise an alert. Por exemplo, o aplicativo pode repetir o processo que criou o evento de erro e depois ter êxito na próxima vez.For example, the application may retry the process that created the error event and then succeed the next time. Nesse caso, não convém criar o alerta, a menos que vários eventos sejam criados dentro de um período de tempo específico.In this case, you may not want to create the alert unless multiple events are created within a particular time period.

Em alguns casos, pode ser útil criar um alerta na ausência de um evento.In some cases, you may want to create an alert in the absence of an event. Por exemplo, um processo pode registrar eventos regulares para indicar que ele está funcionando corretamente.For example, a process may log regular events to indicate that it's working properly. Se ele não registrar um desses eventos dentro de um período de tempo específico, um alerta deverá ser criado.If it doesn't log one of these events within a particular time period, then an alert should be created. Nesse caso você definiria o limite como menos de 1.In this case, you would set the threshold to less than 1.

Exemplo de alerta de log do tipo de Número de RegistrosExample of Number of Records type log alert

Considere um cenário onde você deseja saber quando seu aplicativo baseado na web fornece uma resposta para os usuários com o código de 500 (ou seja) erro interno do servidor.Consider a scenario where you want to know when your web-based App gives a response to users with code 500 (that is) Internal Server Error. Você criaria uma regra de alerta com os detalhes a seguir:You would create an alert rule with the following details:

  • Consulta: solicitações | onde resultCode = = "500"Query: requests | where resultCode == "500"
  • Período de Tempo: 30 minutosTime period: 30 minutes
  • Frequência de alerta: cinco minutosAlert frequency: five minutes
  • Valor do Limite: Maior que 0Threshold value: Greater than 0

Alerta deve executar a consulta a cada 5 minutos, com 30 minutos de dados - procurar qualquer registro onde o código de resultado foi 500.Then alert would run the query every 5 minutes, with 30 minutes of data - to look for any record where result code was 500. Se mesmo um registro desse tipo é encontrado, ele aciona o alerta e dispara a ação configurada.If even one such record is found, it fires the alert and triggers the action configured.

Regras de alerta com medição métricaMetric measurement alert rules

As regras de alerta de medição de métrica criam um alerta para cada objeto em uma consulta com um valor que exceda um limite especificado e uma condição de gatilho especificada.Metric measurement alert rules create an alert for each object in a query with a value that exceeds a specified threshold and specified trigger condition. Ao contrário do número de resultados de regras de alerta, as regras de alerta de medição métrica funcionam quando o resultado da análise fornece uma série temporal.Unlike Number of results alert rules, Metric measurement alert rules work when analytics result provides a time series. Eles têm as diferenças distintas a seguir em relação às regras de alerta de Número de resultados.They have the following distinct differences from Number of results alert rules.

  • Função de agregação: Determina o cálculo que será realizado e, potencialmente, um campo numérico a agregar.Aggregate function: Determines the calculation that is performed and potentially a numeric field to aggregate. Por exemplo, count() retornará o número de registros na consulta e avg(CounterValue) retornará a média do campo CounterValue durante o intervalo.For example, count() returns the number of records in the query, avg(CounterValue) returns the average of the CounterValue field over the interval. Função de agregação na consulta deve ser nomeada/chamada: AggregatedValue e fornecer um valor numérico.Aggregate function in query must be named/called: AggregatedValue and provide a numeric value.

  • Campo Grupo: Um registro com um valor agregado será criado para cada instância do campo e um alerta pode ser gerado para cada um deles.Group Field: A record with an aggregated value is created for each instance of this field, and an alert can be generated for each. Por exemplo, se você quisesse gerar um alerta para cada computador, você usaria by Computer.For example, if you wanted to generate an alert for each computer, you would use by Computer. Caso haja vários campos de grupo especificados na consulta do alerta, o usuário pode especificar qual campo deve ser usado para classificar os resultados usando o parâmetro Agregar em (metricColumn)In case, there are multiple group fields specified in alert query, user can specify which field to be used to sort results by using the Aggregate On (metricColumn) parameter

    Observação

    A opção Agregar em (metricColumn) está disponível para alertas de log do tipo Medição métrica para o Application Insights e registra alertas somente para o Log Analytics configurado usando a API scheduledQueryRules.Aggregate On (metricColumn) option is available for Metric Measurement type log alerts for Application Insights and log alerts for Log Analytics configured using scheduledQueryRules API only.

  • Intervalo: Define o intervalo de tempo durante o qual os dados são agregados.Interval: Defines the time interval over which the data is aggregated. Por exemplo, se você especificasse cinco minutos, um registro seria criado para cada instância do campo de grupo agregada em intervalos de 5 minutos durante o período de tempo especificado para o alerta.For example, if you specified five minutes, a record would be created for each instance of the group field aggregated at 5-minute intervals over the time period specified for the alert.

    Observação

    A função bin deve ser usada na consulta para especificar o intervalo.Bin function must be used in query to specify interval. Como bin() pode resultar em intervalos de tempo diferentes, o alerta converterá automaticamente o comando bin em um comando bin_at com o tempo de execução apropriado, a fim de garantir resultados com um ponto fixo.As bin() can result in unequal time intervals - Alert will automatically convert bin command to bin_at command with appropriate time at runtime, to ensure results with a fixed point. O tipo Medição métrica do alerta de log foi criado para funcionar com consultas que têm até três instâncias do comando bin()Metric measurement type of log alert is designed to work with queries having up to three instances of bin() command

  • Limite: O limite para regras de alerta de Medição métrica é definido por um valor de agregação e um número de violações.Threshold: The threshold for Metric measurement alert rules is defined by an aggregate value and a number of breaches. Se qualquer ponto de dados na pesquisa de logs exceder esse valor, ele será considerado uma violação.If any data point in the log search exceeds this value, it's considered a breach. Se o número de violações de qualquer objeto nos resultados exceder o valor especificado, um alerta será criado para esse objeto.If the number of breaches in for any object in the results exceeds the specified value, then an alert is created for that object.

A configuração incorreta da opção Agregar em ou metricColumn pode fazer com que as regras de alerta sejam disparadas incorretamente.Misconfiguration of the Aggregate On or metricColumn option can cause alert rules to misfire. Para saber mais, confira Solução de problemas quando a regra de alerta com medição métrica está incorreta.For more information, see troubleshooting when metric measurement alert rule is incorrect.

Exemplo de alerta de log do tipo Medida da MétricaExample of Metric Measurement type log alert

Considere um cenário em que você deseje um alerta se qualquer computador exceda 90% de utilização do processador por três vezes em 30 minutos.Consider a scenario where you wanted an alert if any computer exceeded processor utilization of 90% three times over 30 minutes. Você criaria uma regra de alerta com os detalhes a seguir:You would create an alert rule with the following details:

  • Consulta: Perf | where ObjectName == "Processor" and CounterName == "% Processor Time" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), ComputerQuery: Perf | where ObjectName == "Processor" and CounterName == "% Processor Time" | summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated, 5m), Computer
  • Período de Tempo: 30 minutosTime period: 30 minutes
  • Frequência de alerta: cinco minutosAlert frequency: five minutes
  • Lógica de alerta – condição e limite: Maior do que 90Alert Logic - Condition & Threshold: Greater than 90
  • Campo Grupo (agregar em): ComputerGroup Field (Aggregate-on): Computer
  • Disparar alerta com base em: Total de violações maior que 2Trigger alert based on: Total breaches Greater than 2

A consulta criaria um valor médio para cada computador em intervalos de cinco minutos.The query would create an average value for each computer at 5-minute intervals. Essa consulta seria executada cada cinco minutos para os dados coletados durante os 30 minutos anteriores.This query would be run every 5 minutes for data collected over the previous 30 minutes. Uma vez que o campo de grupo (agregar em) escolhido é o 'Computador' colunar – o AggregatedValue é dividido para vários valores de 'Computador' e utilização média do processador para cada computador é determinada para um compartimento temporal de 5 minutos.Since the Group Field (Aggregate-on) chosen is columnar 'Computer' - the AggregatedValue is split for various values of 'Computer' and average processor utilization for each computer is determined for a time bin of 5 minutes. O resultado da consulta de exemplo para (digamos) três computadores seria conforme mostrado abaixo.Sample query result for (say) three computers, would be as below.

TimeGenerated [UTC]TimeGenerated [UTC] ComputerComputer AggregatedValueAggregatedValue
20xx-xx-xxT01:00:00Z20xx-xx-xxT01:00:00Z srv01.contoso.comsrv01.contoso.com 7272
20xx-xx-xxT01:00:00Z20xx-xx-xxT01:00:00Z srv02.contoso.comsrv02.contoso.com 9191
20xx-xx-xxT01:00:00Z20xx-xx-xxT01:00:00Z srv03.contoso.comsrv03.contoso.com 8383
...... ...... ......
20xx-xx-xxT01:30:00Z20xx-xx-xxT01:30:00Z srv01.contoso.comsrv01.contoso.com 8888
20xx-xx-xxT01:30:00Z20xx-xx-xxT01:30:00Z srv02.contoso.comsrv02.contoso.com 8484
20xx-xx-xxT01:30:00Z20xx-xx-xxT01:30:00Z srv03.contoso.comsrv03.contoso.com 9292

Se o resultado da consulta precisasse ser plotado, ele apareceria como.If query result was to be plotted, it would appear as.

Resultados da consulta de exemplo

Neste exemplo, podemos ver em compartimentos de 5 minutos para cada um dos três computadores – utilização média de processador conforme computada para 5 minutos.In this example, we see in bins of 5 mins for each of the three computers - average processor utilization as computed for 5 mins. Limite de 90 sendo violado por srv01 apenas uma vez no compartimento 1:25.Threshold of 90 being breached by srv01 only once at 1:25 bin. Em comparação, srv02 excede o limite de 90 nos compartimentos 1:10, 1:15 e 1:25; enquanto srv03 excede o limite de 90 em 1:10, 1:15, 1:20 e 1:30.In comparison, srv02 exceeds 90 threshold at 1:10, 1:15 and 1:25 bins; while srv03 exceeds 90 threshold at 1:10, 1:15, 1:20 and 1:30. Já que o alerta é configurado para disparar com base em um total de violações que ultrapasse duas, vemos que apenas srv02 e srv03 atendem aos critérios.Since alert is configured to trigger based on total breaches are more than two, we see that srv02 and srv03 only meet the criteria. Assim, alertas separados seriam criados para srv02 e srv03, já que eles violaram o limite de 90% duas vezes durante vários compartimentos temporais. Se o parâmetro Disparar alerta com base em: fosse, em vez disso, configurado para a opção Violações contínuas, um alerta seria acionado apenas para srv03, já que ele violou o limite para três compartimentos temporais consecutivos, de 1:10 a 1:20.Hence separate alerts would be created for srv02 and srv03 since they breached the 90% threshold twice across multiple time bins. If the Trigger alert based on: parameter was instead configured for Continuous breaches option, then an alert would be fired only for srv03 since it breached the threshold for three consecutive time bins from 1:10 to 1:20. Isso já não ocorreria para srv02, pois ele violou o limite em dois compartimentos temporais consecutivos, de 1:10 a 1:15.And not for srv02, as it breached the threshold for two consecutive time bins from 1:10 to 1:15.

Regra de alerta de pesquisa de logs – acionamento e estadoLog search alert rule - firing and state

As regras de alerta de pesquisa de log funcionam apenas na lógica que você cria na consulta.Log search alert rules work only on the logic you build into the query. O sistema de alerta não tem nenhum outro contexto do estado do sistema, sua intenção ou a causa raiz implícita pela consulta.The alert system doesn't have any other context of the state of the system, your intent, or the root cause implied by the query. Dessa forma, os alertas de log são conhecidos como sem estado.As such, log alerts are referred to as state-less. As condições são avaliadas como "TRUE" ou "FALSE" sempre que são executadas.The conditions are evaluated as "TRUE" or "FALSE" each time they are run. Um alerta será disparado sempre que a avaliação da condição de alerta for "TRUE", independentemente de ser acionada anteriormente.An alert will fire each time the evaluation of the alert condition is "TRUE", regardless of it is fired previously.

Vamos ver esse comportamento em ação com um exemplo prático.Let's see this behavior in action with a practical example. Suponha que tenhamos uma regra de alerta de log chamada contoso-log-Alert, que está configurada conforme mostrado no exemplo fornecido para o número de resultados de alerta de log.Assume we have a log alert rule called Contoso-Log-Alert, which is configured as shown in the example provided for Number of Results type log alert. A condição é uma consulta de alerta personalizada projetada para procurar o código de resultado 500 em logs.The condition is a custom alert query designed to look for 500 result code in logs. Se um ou mais códigos de resultado 500 forem encontrados nos logs, a condição do alerta será verdadeira.If one more more 500 result codes are found in logs, the condition of the alert is true.

Em cada intervalo abaixo, o sistema de alertas do Azure avalia a condição para o contoso-log-Alert.At each interval below, the Azure alerts system evaluates the condition for the Contoso-Log-Alert.

TimeTime Número de registros retornados pela consulta de pesquisa de logNum of records returned by log search query Condição de log evalutionLog condition evalution ResultadoResult
1:05 PM1:05 PM 0 registros0 records 0 não é > 0; portanto, FALSE0 is not > 0 so FALSE O alerta não é acionado.Alert does not fire. Nenhuma ação chamada.No actions called.
1:10 PM1:10 PM 2 registros2 records 2 > 0 assim, verdadeiro2 > 0 so TRUE O alerta é acionado e os grupos de ação chamados.Alert fires and action groups called. Estado de alerta ativo.Alert state ACTIVE.
1:15 PM1:15 PM 5 registros5 records 5 > 0 tão verdadeiro5 > 0 so TRUE O alerta é acionado e os grupos de ação chamados.Alert fires and action groups called. Estado de alerta ativo.Alert state ACTIVE.
1:20 PM1:20 PM 0 registros0 records 0 não é > 0; portanto, FALSE0 is not > 0 so FALSE O alerta não é acionado.Alert does not fire. Nenhuma ação chamada.No actions called. Estado de alerta deixado ativo.Alert state left ACTIVE.

Usando o caso anterior como exemplo:Using the previous case as an example:

Às 1:15, os alertas do Azure não podem determinar se os problemas subjacentes foram vistos em 1:10 Persist e se os registros são novas falhas ou repetições de falhas mais antigas em 1:19:10.At 1:15 PM Azure alerts can't determine if the underlying issues seen at 1:10 persist and if the records are net new failures or repeats of older failures at 1:10PM. A consulta fornecida pelo usuário pode ou não levar em conta registros anteriores e o sistema não sabe.The query provided by user may or may not be taking into account earlier records and the system doesn't know. O sistema de alertas do Azure foi criado para erro no decuidado e dispara o alerta e as ações associadas novamente às 1:15.The Azure alerts system is built to err on the side of caution, and fires the alert and associated actions again at 1:15 PM.

Às 1:20 PM quando zero registros são vistos com o código de resultado 500, os alertas do Azure não podem ter certeza de que a causa do código de resultado 500 visto às 1:10 e a 1:15 PM agora está resolvida.At 1:20 PM when zero records are seen with 500 result code, Azure alerts can't be certain that the cause of 500 result code seen at 1:10 PM and 1:15 PM is now solved. Não sabe se os problemas de erro 500 ocorrerão pelos mesmos motivos novamente.It doesn't know if the 500 error issues will happen for the same reasons again. Portanto, o contoso-log-Alert não é alterado para resolvido no painel de alerta do Azure e/ou as notificações não são enviadas informando que o alerta foi resolvido.Hence Contoso-Log-Alert does not change to Resolved in Azure Alert dashboard and/or notifications are not sent out stating the alert is resolved. Somente você, quem entende a condição ou o motivo exato da lógica incorporada na consulta de análise, pode marcar o alerta como fechado , conforme necessário.Only you, who understands the exact condition or reason for the logic embedded in the analytics query, can mark the alert as closed as needed.

Preços e cobrança dos Alertas de LogPricing and Billing of Log Alerts

Preços aplicáveis aos Alertas de Log estão disponíveis na página Preços do Azure Monitor.Pricing applicable for Log Alerts is stated at the Azure Monitor Pricing page. Nas listas do Azure, os Alertas de Log são representados como tipo microsoft.insights/scheduledqueryrules com:In Azure bills, Log Alerts are represented as type microsoft.insights/scheduledqueryrules with:

  • Alertas de log no Application Insights mostrados com o nome exato do alerta, juntamente com o grupo de recursos e propriedades do alertaLog Alerts on Application Insights shown with exact alert name along with resource group and alert properties
  • Alertas de log no Log Analytics mostrados com o nome exato do alerta, juntamente com o grupo de recursos e propriedades do alerta, quando criados usando scheduledQueryRules APILog Alerts on Log Analytics shown with exact alert name along with resource group and alert properties; when created using scheduledQueryRules API

A API herdada do Log Analytics tem ações de alerta e agendamentos como parte de Pesquisa Salva do Log Analytics e não Recursos do Azure adequados.The legacy Log Analytics API has alert actions and schedules as part of Log Analytics Saved Search and not proper Azure Resources. Portanto, para habilitar a cobrança para esses alertas de log herdados criados para o Log Analytics usando o portal do Azure sem mudar para a nova API ou via API herdada do Log Analytics, regras de pseudoalerta ocultas são criadas no microsoft.insights/scheduledqueryrules para cobrança no Azure.Hence to enable billing for such legacy log alerts created for Log Analytics using of Azure portal without switching to new API or via legacy Log Analytics API - hidden pseudo alert rules are created on microsoft.insights/scheduledqueryrules for billing on Azure. As regras de pseudoalerta oculta criadas para cobrança em microsoft.insights/scheduledqueryrules conforme mostrado em <WorkspaceName>|<savedSearchId>|<scheduleId>|<ActionId> juntamente com propriedades de alerta e grupo de recursos.The hidden pseudo alert rules created for billing on microsoft.insights/scheduledqueryrules as shown as <WorkspaceName>|<savedSearchId>|<scheduleId>|<ActionId> along with resource group and alert properties.

Observação

Se caracteres inválidos como <, >, %, &, \, ?, / estiverem presentes, eles serão substituídos por _ no nome da regra de pseudoalerta oculta e, portanto, também na fatura do Azure.If invalid characters such as <, >, %, &, \, ?, / are present, they will be replaced with _ in the hidden pseudo alert rule name and hence also in the Azure bill.

Remova os recursos ocultos scheduleQueryRules criados para cobrança de regras de alerta usando API herdada do Log Analytics, o usuário pode executar qualquer uma das seguintes ações:To remove the hidden scheduleQueryRules resources created for billing of alert rules using legacy Log Analytics API, user can do any of the following:

Além disso, para os recursos ocultos do scheduleQueryRules criados para a cobrança de regras de alerta usando a API de log Analytics herdada, qualquer operação de modificação como Put falhará.Additionally for the hidden scheduleQueryRules resources created for billing of alert rules using legacy Log Analytics API, any modification operation like PUT will fail. Como as pseudovariáveis de tipo microsoft.insights/scheduledqueryrules são para fins de cobrança das regras de alerta criadas usando a API de log Analytics herdada.As the microsoft.insights/scheduledqueryrules type pseudo rules are for purpose of billing the alert rules created using legacy Log Analytics API. Qualquer modificação de regra de alerta deve ser feita usando a API de log Analytics herdada (ou) o usuário pode alternar a preferência de API para que as regras de alerta usem a API scheduledQueryRules em vez disso.Any alert rule modification should be done using legacy Log Analytics API (or) user can switch API preference for the alert rules to use scheduledQueryRules API instead.

Próximas etapasNext steps