Criar ou editar uma regra de alerta de pesquisa de log

  • Artigo

Este artigo mostra como criar uma nova regra de alerta de pesquisa de log ou editar uma regra de alerta de pesquisa de log existente. Para saber mais sobre alertas, consulte a visão geral de alertas.

Você cria uma regra de alerta combinando os recursos a serem monitorados, os dados de monitoramento do recurso e as condições que deseja disparar o alerta. Em seguida, você pode definir grupos de ações e regras de processamento de alertas para determinar o que acontece quando um alerta é acionado.

Os alertas acionados por essas regras de alerta contêm uma carga útil que usa o esquema de alerta comum.

Aceder ao assistente de regras de alerta no portal do Azure

Há várias maneiras de criar ou editar uma nova regra de alerta.

Criar ou editar uma regra de alerta a partir da home page do portal

  1. No portal, selecione Monitorar>alertas.

  2. Abra o menu + Criar e selecione Regra de alerta.

    Captura de ecrã que mostra os passos para criar uma nova regra de alerta.

Criar ou editar uma regra de alerta a partir de um recurso específico

  1. No portal, navegue até o recurso.

  2. Selecione Alertas no painel esquerdo e, em seguida, selecione + Criar>regra de alerta.

    Captura de ecrã que mostra os passos para criar uma nova regra de alerta a partir de um recurso selecionado.

Editar uma regra de alerta existente

  1. No portal, na página inicial ou em um recurso específico, selecione Alertas no painel esquerdo.

  2. Selecione Regras de alerta.

  3. Selecione a regra de alerta que pretende editar e, em seguida, selecione Editar.

    Captura de ecrã que mostra os passos para editar uma regra de alerta de pesquisa de registo existente.

  4. Selecione qualquer uma das guias da regra de alerta para editar as configurações.

Configurar o escopo da regra de alerta

  1. No painel Selecionar um recurso, defina o escopo da regra de alerta. Você pode filtrar por assinatura, tipo de recurso ou local do recurso.

  2. Selecione Aplicar.

    Captura de tela que mostra o painel de recursos selecionado para criar uma nova regra de alerta.

Configurar as condições da regra de alerta

  1. Na guia Condição, ao selecionar o campo Nome do sinal, selecione Pesquisa de log personalizada ou selecione Ver todos os sinais se quiser escolher um sinal diferente para a condição.

  2. (Opcional) Se você optar por Ver todos os sinais na etapa anterior, use o painel Selecionar um sinal para procurar o nome do sinal ou filtrar a lista de sinais. Filtrar por:

    • Tipo de sinal: Selecione Log search.
    • Fonte de sinal: O serviço que envia os sinais "Pesquisa de log personalizada" e "Log (consulta salva)". Selecione o nome do sinal e Aplicar.

  3. No painel Logs, escreva uma consulta que retorne os eventos de log para os quais você deseja criar um alerta. Para usar uma das consultas de regra de alerta predefinidas, expanda o painel Esquema e filtro à esquerda do painel Logs . Em seguida, selecione a guia Consultas e selecione uma das consultas.

Limitações para consultas de regra de alerta de pesquisa de log:

  • As consultas de regras de alerta de pesquisa de log não suportam os plug-ins 'bag_unpack()', 'pivot()' e 'narrow()'.

  • A palavra "AggregatedValue" é uma palavra reservada, não pode ser usada na consulta nas regras de alertas de pesquisa de log.

  • O tamanho combinado de todos os dados nas propriedades da regra de alerta de log não pode exceder 64KB.

    Captura de tela que mostra o painel Consulta ao criar uma nova regra de alerta de pesquisa de log.

  1. (Opcional) Se você estiver consultando um cluster ADX ou ARG, o Log Analytics não poderá identificar automaticamente a coluna com o carimbo de data/hora do evento. Recomendamos que você adicione um filtro de intervalo de tempo à consulta. Por exemplo:

        adx('https://help.kusto.windows.net/Samples').table    
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Captura de tela que mostra a guia Condição ao criar uma nova regra de alerta de pesquisa de log.

    Para obter exemplos de consultas de alerta de pesquisa de log que consultam ARG ou ADX, consulte Exemplos de consulta de alerta de pesquisa de log.

    Estas são as limitações para o uso de consultas cruzadas:

  2. Selecione Executar para executar o alerta.

  3. A seção Visualizar mostra os resultados da consulta. Quando terminar de editar a consulta, selecione Continuar Alerta de Edição.

  4. A guia Condição é aberta, preenchida com sua consulta de log. Por padrão, a regra conta o número de resultados nos últimos cinco minutos. Se o sistema detetar resultados de consulta resumidos, a regra será atualizada automaticamente com essas informações.

  5. Na seção Medição, selecione valores para estes campos:

    Captura de tela que mostra a guia Medição ao criar uma nova regra de alerta de pesquisa de log.

    Campo Descrição
    Medida Os alertas de pesquisa de log podem medir duas coisas diferentes, que podem ser usadas para diferentes cenários de monitoramento:
    Linhas da tabela: o número de linhas retornadas pode ser usado para trabalhar com eventos como logs de eventos do Windows, Syslog e exceções de aplicativos.
    Cálculo de uma coluna numérica: Os cálculos baseados em qualquer coluna numérica podem ser usados para incluir qualquer número de recursos. Um exemplo é a percentagem de CPU.
    Tipo de agregação O cálculo realizado em vários registros para agregá-los a um valor numérico usando a granularidade de agregação. Exemplos são Total, Média, Mínimo ou Máximo.
    Granularidade da agregação O intervalo para agregar vários registros em um valor numérico.

  6. (Opcional) Na seção Dividir por dimensões , você pode usar dimensões para ajudar a fornecer contexto para o alerta acionado.

    Captura de tela que mostra a seção de divisão por dimensões de uma nova regra de alerta de pesquisa de log.

    As dimensões são colunas dos resultados da consulta que contêm dados adicionais. Quando você usa dimensões, a regra de alerta agrupa os resultados da consulta pelos valores de dimensão e avalia os resultados de cada grupo separadamente. Se a condição for atendida, a regra dispara um alerta para esse grupo. A carga útil do alerta inclui a combinação que disparou o alerta.

    Você pode aplicar até seis dimensões por regra de alerta. As dimensões só podem ser colunas numéricas ou de cadeia de caracteres. Se você quiser usar uma coluna que não seja um número ou tipo de cadeia de caracteres como uma dimensão, deverá convertê-la em uma cadeia de caracteres ou valor numérico em sua consulta. Se você selecionar mais de um valor de dimensão, cada série temporal resultante da combinação acionará seu próprio alerta e será cobrada separadamente.

    Por exemplo:

    • Você pode usar dimensões para monitorar o uso da CPU em várias instâncias que executam seu site ou aplicativo. Cada instância é monitorada individualmente e as notificações são enviadas para cada instância em que o uso da CPU excede o valor configurado.
    • Você pode decidir não dividir por dimensões quando quiser que uma condição seja aplicada a vários recursos no escopo. Por exemplo, você não usaria dimensões se quiser disparar um alerta se pelo menos cinco máquinas no escopo do grupo de recursos tiverem uso de CPU acima do valor configurado.

    Selecione valores para estes campos:

    • Coluna ID do recurso: em geral, se o escopo da regra de alerta for um espaço de trabalho, os alertas serão disparados no espaço de trabalho. Se quiser um alerta separado para cada recurso do Azure afetado, você pode:
      • use a coluna ARM Azure Resource ID como uma dimensão (observe que, ao usar essa opção, o alerta será disparado no espaço de trabalho com a coluna ID de Recursos do Azure como uma dimensão.
      • especifique-o como uma dimensão na propriedade ID de Recurso do Azure, que torna o recurso retornado pela sua consulta o destino do alerta, para que os alertas sejam disparados sobre o recurso retornado pela sua consulta, como uma máquina virtual ou uma conta de armazenamento, em vez de no espaço de trabalho. Quando você usa essa opção, se o espaço de trabalho obtiver dados de recursos em mais de uma assinatura, os alertas poderão ser acionados em recursos de uma assinatura diferente da assinatura da regra de alerta.
    Campo Descrição
    Nome da dimensão As dimensões podem ser colunas numéricas ou de cadeia de caracteres. As dimensões são usadas para monitorar séries temporais específicas e fornecer contexto para um alerta disparado.
    Operador O operador usado no nome e valor da dimensão.
    Valores de dimensão Os valores das dimensões baseiam-se em dados das últimas 48 horas. Selecione Adicionar valor personalizado para adicionar valores de dimensão personalizados.
    Incluir todos os valores futuros Selecione este campo para incluir quaisquer valores futuros adicionados à dimensão selecionada.

  7. Na seção Lógica de alerta, selecione valores para estes campos:

    Captura de ecrã que mostra a secção Lógica de alerta de uma nova regra de alerta de pesquisa de registo.

    Campo Descrição
    Operador Os resultados da consulta são transformados em um número. Neste campo, selecione o operador a ser usado para comparar o número com o limite.
    Valor do limiar Um valor numérico para o limite.
    Frequência da avaliação Com que frequência a consulta é executada. Pode ser definido em qualquer lugar de um minuto a um dia (24 horas).

    Nota

    Existem algumas limitações para usar uma frequência de regra de alerta de um minuto . Quando define a frequência da regra de alerta para um minuto, é realizada uma manipulação interna para otimizar a consulta. Esta manipulação pode fazer com que a consulta falhe se contiver operações não suportadas. A seguir estão os motivos mais comuns pelos quais uma consulta não é suportada:

    • A consulta contém as operações de pesquisa, união * ou take (limit)
    • A consulta contém a função ingestion_time()
    • A consulta usa o padrão adx
    • A consulta chama uma função que chama outras tabelas

    Para obter exemplos de consultas de alerta de pesquisa de log que consultam ARG ou ADX, consulte Exemplos de consulta de alerta de pesquisa de log

  8. (Opcional) Na seção Opções avançadas , você pode especificar o número de falhas e o período de avaliação do alerta necessário para disparar um alerta. Por exemplo, se você definir a granularidade de agregação para 5 minutos, poderá especificar que só deseja disparar um alerta se houver três falhas (15 minutos) na última hora. A política de negócios do aplicativo determina essa configuração.

    Captura de tela que mostra a seção Opções avançadas de uma nova regra de alerta de pesquisa de log.

    Selecione valores para estes campos em Número de violações para disparar o alerta:

    Campo Descrição
    Número de violações O número de violações que disparam o alerta.
    Período de avaliação O período de tempo dentro do qual o número de violações ocorre.
    Substituir intervalo de tempo de consulta Se desejar que o período de avaliação do alerta seja diferente do intervalo de tempo da consulta, insira um intervalo de tempo aqui.
    O intervalo de tempo de alerta está limitado a um máximo de dois dias. Mesmo que a consulta contenha um comando ago com um intervalo de tempo superior a dois dias, o intervalo de tempo máximo de dois dias é aplicado. Por exemplo, mesmo que o texto da consulta contenha ago(7d), a consulta verifica apenas até dois dias de dados. Se a consulta exigir mais dados do que a avaliação do alerta, você poderá alterar o intervalo de tempo manualmente. Se a consulta contiver um comando ago , ele será alterado automaticamente para 2 dias (48 horas).

    Nota

    Se você ou seu administrador atribuiu a Política do Azure Azure Log Search Alertas sobre espaços de trabalho do Log Analytics devem usar chaves gerenciadas pelo cliente, você deve selecionar Verificar armazenamento vinculado do espaço de trabalho. Se você não fizer isso, a criação da regra falhará porque não atenderá aos requisitos da política.

  9. O gráfico Visualizar mostra os resultados das avaliações de consulta ao longo do tempo. Você pode alterar o período do gráfico ou selecionar diferentes séries temporais que resultaram de um alerta exclusivo dividido por dimensões.

    Captura de ecrã que mostra uma pré-visualização de uma nova regra de alerta.

  10. Selecionar Concluído. A partir deste ponto, você pode selecionar o botão Revisar + criar a qualquer momento.

Configurar as ações da regra de alerta

  1. Na guia Ações, selecione ou crie os grupos de ações necessários.

    Captura de tela que mostra a guia Ações ao criar uma nova regra de alerta.

Configurar os detalhes da regra de alerta

  1. Na guia Detalhes, defina os detalhes do projeto.

    • Selecione a Assinatura.
    • Selecione o grupo Recurso.

  2. Defina os detalhes da regra de alerta.

    Captura de tela que mostra a guia Detalhes ao criar uma nova regra de alerta de pesquisa de log.

    1. Selecione a gravidade.

    2. Insira valores para o nome da regra de alerta e a descrição da regra de alerta.

      Nota

      Observe que a regra que usa Identidade não pode ter o caractere ";" no nome da regra de Alerta

    3. Selecione a Região.

    4. Na seção Identidade, selecione qual identidade é usada pela regra de alerta de pesquisa de log para enviar a consulta de log. Essa identidade é usada para autenticação quando a regra de alerta executa a consulta de log.

      Tenha estas coisas em mente ao selecionar uma identidade:

      • Uma identidade gerenciada é necessária se você estiver enviando uma consulta para o Azure Data Explorer (ADX) ou para o Azure Resource Graph (ARG).
      • Use uma identidade gerenciada se quiser ver ou editar as permissões associadas à regra de alerta.
      • Se você não usar uma identidade gerenciada, as permissões da regra de alerta serão baseadas nas permissões do último usuário a editar a regra, no momento em que a regra foi editada pela última vez.
      • Use uma identidade gerenciada para ajudá-lo a evitar um caso em que a regra não funcione como esperado porque o usuário que editou a regra pela última vez não tinha permissões para todos os recursos adicionados ao escopo da regra.

      A identidade associada à regra deve ter estas funções:

      • Se a consulta estiver acessando um espaço de trabalho do Log Analytics, a identidade deverá receber uma função de Leitor para todos os espaços de trabalho acessados pela consulta. Se você estiver criando alertas de pesquisa de log centrados em recursos, a regra de alerta poderá acessar vários espaços de trabalho e a identidade deverá ter uma função de leitor em todos eles.
      • Se você estiver consultando um cluster ADX ou ARG, deverá adicionar a função Leitor para todas as fontes de dados acessadas pela consulta. Por exemplo, se a consulta for centrada em recursos, ela precisará de uma função de leitor nesses recursos.
      • Se a consulta estiver acessando um cluster remoto do Azure Data Explorer, a identidade deverá ser atribuída:
        • Função de leitor para todas as fontes de dados acessadas pela consulta. Por exemplo, se a consulta estiver chamando um cluster remoto do Azure Data Explorer usando a função adx(), ela precisará de uma função de leitor nesse cluster ADX.
        • Visualizador de banco de dados para todos os bancos de dados que a consulta está acessando.

      Para obter informações detalhadas sobre identidades gerenciadas, consulte identidades gerenciadas para recursos do Azure.

      Selecione uma das seguintes opções para a identidade usada pela regra de alerta:

      Identidade Description
      None As permissões da regra de alerta são baseadas nas permissões do último usuário que editou a regra, no momento em que a regra foi editada.
      Identidade Gerida atribuída pelo sistema O Azure cria uma nova identidade dedicada para esta regra de alerta. Essa identidade não tem permissões e é excluída automaticamente quando a regra é excluída. Depois de criar a regra, você deve atribuir permissões a essa identidade para acessar o espaço de trabalho e as fontes de dados necessárias para a consulta. Para obter mais informações sobre como atribuir permissões, consulte Atribuir funções do Azure usando o portal do Azure.
      Identidade Gerida atribuída pelo utilizador Antes de criar a regra de alerta, crie uma identidade e atribua-lhe as permissões apropriadas para a consulta de log. Esta é uma identidade normal do Azure. Você pode usar uma identidade em várias regras de alerta. A identidade não é excluída quando a regra é excluída. Quando você seleciona esse tipo de identidade, um painel é aberto para que você selecione a identidade associada à regra.

  3. (Opcional) Na seção Opções avançadas , você pode definir várias opções:

    Campo Descrição
    Ativar após a criação Selecione a regra de alerta para começar a ser executada assim que terminar de criá-la.
    Resolver alertas automaticamente (visualização) Selecione esta opção para tornar o alerta com monitoração de estado. Quando um alerta é com monitoração de estado, ele é resolvido quando a condição não é mais atendida para um intervalo de tempo específico. O intervalo de tempo difere com base na frequência do alerta:
    1 minuto: A condição de alerta não é cumprida durante 10 minutos.
    5-15 minutos: A condição de alerta não é atendida por três períodos de frequência.
    15 minutos - 11 horas: A condição de alerta não é atendida por dois períodos de frequência.
    11 a 12 horas: A condição de alerta não é cumprida durante um período de frequência.

    Observe que os alertas de pesquisa de log com monitoração de estado têm estas limitações:
    - podem desencadear até 300 alertas por avaliação.
    - Pode ter um máximo de 5000 alertas com a fired condição de alerta.
    Silenciar ações Selecione esta opção para definir um período de tempo de espera antes que as ações de alerta sejam acionadas novamente. Se você marcar essa caixa de seleção, o campo Silenciar ações para aparecerá para selecionar a quantidade de tempo de espera após um alerta ser disparado antes de acionar ações novamente.
    Verificar o armazenamento vinculado ao espaço de trabalho Selecione se o armazenamento vinculado do espaço de trabalho de logs para alertas está configurado. Se nenhum armazenamento vinculado estiver configurado, a regra não será criada.

  4. (Opcional) Na seção Propriedades personalizadas, se essa regra de alerta contiver grupos de ações, você poderá adicionar suas próprias propriedades para incluir na carga útil da notificação de alerta. Você pode usar essas propriedades nas ações chamadas pelo grupo de ações, como por um webhook, função do Azure ou ações de aplicativo lógico.

    As propriedades personalizadas são especificadas como pares chave:valor, usando texto estático, um valor dinâmico extraído da carga útil do alerta ou uma combinação de ambos.

    O formato para extrair um valor dinâmico da carga útil de alerta é: ${<path to schema field>}. Por exemplo: ${data.essentials.monitorCondition}.

    Use o formato do esquema de alerta comum para especificar o campo na carga útil, independentemente de os grupos de ação configurados para a regra de alerta usarem ou não o esquema comum.

    Nota

    • O esquema comum substitui as configurações personalizadas. Não é possível usar as propriedades personalizadas e o esquema comum.
    • As propriedades personalizadas são adicionadas à carga útil do alerta, mas não aparecem no modelo de email ou nos detalhes do alerta no portal do Azure.
    • Os alertas de Estado de Funcionamento do Serviço não suportam propriedades personalizadas.

    Captura de tela que mostra a seção de propriedades personalizadas da criação de uma nova regra de alerta.

    Nos exemplos a seguir, os valores nas propriedades personalizadas são usados para utilizar dados de uma carga útil que usa o esquema de alerta comum:

    Exemplo 1

    Este exemplo cria uma tag "Detalhes adicionais" com dados sobre a "hora de início da janela" e "hora de término da janela".

    • Nome: "Detalhes adicionais"
    • Valor: "Janela de avaliaçãoStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
    • Resultado: "AdicionalDetalhes:Janela de avaliaçãoStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

    Exemplo 2 Este exemplo adiciona os dados relativos ao motivo da resolução ou disparo do alerta.

    • Nome: "Alert ${data.essentials.monitorCondition} reason"
    • Valor: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. O valor é ${data.alertContext.condition.allOf[0].metricValue}"
    • Resultado: Exemplos de resultados podem ser algo como:
      • "Alerta Resolvido motivo: Porcentagem de CPU MaiorQue5 Resolvido. O valor é 3.585"
      • "Alert Fired reason": "Porcentagem de CPU GreaterThan5 Fired. O valor é 10.585"

Configurar tags de regra de alerta

  1. Na guia Marcas, defina as tags necessárias no recurso de regra de alerta.

    Captura de ecrã que mostra o separador Etiquetas ao criar uma nova regra de alerta.

Rever e criar a regra de alerta

  1. Na guia Revisar + criar, a regra é validada e informa sobre quaisquer problemas.

  2. Quando a validação for aprovada e tiver revisto as definições, selecione o botão Criar.

    Captura de ecrã que mostra o separador Rever e criar ao criar uma nova regra de alerta.

Próximos passos