Краткое руководство. Создание оповещений с помощью Azure Resource Graph и Log Analytics

Из этого краткого руководства вы узнаете, как использовать Azure Log Analytics для создания оповещений в запросах Azure Resource Graph. Оповещения можно создавать с помощью запросов Azure Resource Graph, рабочей области Log Analytics и управляемых удостоверений. Условия оповещения отправляют уведомления по указанному интервалу.

Запросы можно использовать для настройки оповещений для развернутых ресурсов Azure. Запросы можно создавать с помощью таблиц Azure Resource Graph или объединять таблицы Azure Resource Graph и данные Log Analytics из журналов Azure Monitor.

В примерах этой статьи создайте ресурсы в той же группе ресурсов и используйте тот же регион, что и западная часть США 3. Примеры, приведенные в этой статье, выполняют запросы и создают оповещения для ресурсов Azure в одном клиенте Azure. Кластеры Обозреватель данных Azure выходят из область этой статьи.

В этой статье приведены два примера оповещений:

  • Azure Resource Graph: использует таблицу Azure Resource GraphResources для создания запроса, который получает данные для развернутых ресурсов Azure и создает оповещение.
  • Azure Resource Graph и Log Analytics: использует таблицу Azure Resource Graph Resources и данные Log Analytics из таблицы журналов Heartbeat Azure Monitor. В этом примере используется виртуальная машина, чтобы показать, как настроить запрос и оповещение.

Примечание.

Интеграция оповещений Azure Resource Graph с Log Analytics доступна в общедоступной предварительной версии.

Необходимые компоненты

  • Если у вас нет учетной записи Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
  • Ресурсы, развернутые в Azure, например виртуальные машины или учетные записи хранения.
  • Чтобы использовать пример для запроса Azure Resource Graph и Log Analytics, вам потребуется по крайней мере одна виртуальная машина Azure с агентом Azure Monitor.

Создание рабочей области

Создайте рабочую область Log Analytics в отслеживаемой подписке.

  1. Войдите на портал Azure.

  2. В поле поиска введите рабочие области Log Analytics и выберите рабочие области Log Analytics.

    Если вы использовали рабочие области Log Analytics, его можно выбрать из служб Azure.

    Снимок экрана: домашняя страница Azure, в котором выделены поля поиска и рабочие области Log Analytics.

  3. Нажмите кнопку Создать.

    • Подписка. Выберите подписку Azure.
    • Группа ресурсов: demo-arg-alert-rg
    • Имя: demo-arg-alert-workspace
    • Регион: западная часть США 3
      • Вы можете выбрать другой регион, но использовать тот же регион для других ресурсов.
  4. Выберите "Рецензирование" и "Подождите" для отображения проверки .

  5. Нажмите Создать, чтобы начать развертывание.

  6. Выберите "Перейти к ресурсу " после завершения развертывания.

Создать виртуальную машину

Вам не нужно создавать виртуальную машину для примера, использующего таблицу Azure Resource Graph.

Создать запрос

В рабочей области Log Analytics создайте запрос Azure Resource Graph, чтобы получить количество ресурсов Azure. В этом примере используется таблица Azure Resource Graph Resources .

  1. Выберите журналы в левой части страницы рабочей области Log Analytics. Закройте окно "Запросы" при отображении.

  2. Используйте следующий код в новом запросе:

    arg("").Resources
    | count
    

    Имена таблиц в Log Analytics должны быть верблюдьими буквами каждого слова с прописной буквой, например Resources или ResourceContainers. Вы также можете использовать строчные буквы, например resources или resourcecontainers.

    Снимок экрана: рабочая область Log Analytics с запросом таблицы

  3. Выберите Выполнить.

    В результатах отображается количество ресурсов в подписке Azure. Запишите это число, так как оно требуется для условия правила генерации оповещений. При выполнении запроса, выполняемого вручную, счетчик основан на удостоверениях пользователей, а в уволенном оповещении используется управляемое удостоверение. Возможно, что количество может отличаться от ручного запуска или срабатывания оповещения.

  4. Удалите количество из запроса.

    arg("").Resources
    

Создание правила генерации оповещений

В рабочей области Log Analytics выберите новое правило генерации оповещений. Запрос из рабочей области Log Analytics копируется в правило генерации оповещений. Создание правила генерации оповещений содержит несколько вкладок, которые необходимо обновить для создания оповещения.

Снимок экрана: страница рабочей области Log Analytics, которая выделяет новое правило генерации оповещений.

Область

Убедитесь, что область по умолчанию используется в рабочей области Log Analytics с именем demo-arg-alert-workspace.

Только если область не заданы по умолчанию, выполните следующие действия:

  1. Перейдите на вкладку "Область" и выберите "Выбрать область".
  2. В нижней части экрана "Выбранные ресурсы" удалите текущую область.
  3. Выберите параметр "Выбрать область".
  4. Разверните demo-arg-alert-rg из списка ресурсов и выберите demo-arg-alert-workspace.
  5. Выберите Применить.
  6. Нажмите кнопку "Далее": условие.

Condition

Форма состоит из нескольких полей:

  • Имя сигнала: пользовательский поиск по журналам
  • Поисковый запрос: отображает код запроса
    • Если вы изменили область, необходимо добавить запрос из раздела "Создать запрос".

Измерение

  • Мера: строки таблицы
  • Тип агрегирования: число
  • Степень детализации агрегирования: 5 минут

Логика оповещений

  • Оператор: больше
  • Пороговое значение: используйте число, которое меньше числа, возвращаемого из числа ресурсов.
    • Например, если количество ресурсов составило 50, используйте 45. Это значение активирует оповещение при оценке ресурсов, так как количество ресурсов больше порогового значения.
  • Частота оценки: 5 минут

Нажмите кнопку "Далее": действия.

Действия

Выберите " Создать группу действий":

  • Подписка. Выберите подписку Azure.
  • Группа ресурсов: demo-arg-alert-rg
  • Регион: глобальный позволяет службе групп действий выбрать расположение.
  • Имя группы действий: demo-arg-alert-action-group
  • Отображаемое имя: демонстрация действия (ограничение составляет 12 символов)

Нажмите кнопку "Далее": уведомления:

  • Тип уведомления: выберите сообщение электронной почты,SMS/Push/Voice.
  • Имя: оповещение по электронной почте
  • Выберите поле "Электронная почта проверка" и введите адрес электронной почты.
  • Щелкните ОК.

Выберите "Просмотр и создание", проверьте правильность сводки и нажмите кнопку "Создать". Вы вернелись на вкладку "Действия" на странице "Создание правила генерации оповещений". Имя группы действий показывает созданную группу действий. Вы получите уведомление по электронной почте, чтобы подтвердить, что вы были добавлены в группу действий.

Нажмите кнопку "Далее": сведения.

Сведения

Используйте следующие сведения на вкладке "Сведения ".

  • Подписка. Выберите подписку Azure.
  • Группа ресурсов: demo-arg-alert-rg
  • Серьезность. Примите значение по умолчанию 3 — информационное.
  • Имя правила генерации оповещений: demo-arg-alert-rule
  • Описание правила генерации оповещений: оповещение электронной почты для количества ресурсов Azure
  • Регион: западная часть США 3
  • Удостоверение. Выберите управляемое удостоверение, назначаемое системой.

Выберите "Просмотр и создание", проверьте правильность сводки и нажмите кнопку "Создать". Вы вернеесь на страницу журналов рабочей области Log Analytics.

Назначение роли

Назначьте средство чтения Log Analytics управляемому удостоверению, назначаемого системой, чтобы у него были разрешения, которые отправляют Уведомления по электронной почте.

  1. Выберите "Мониторинг оповещений>" в рабочей области Log Analytics. Нажмите кнопку "ОК", если появится запрос на удаление несохраненных изменений карта.
  2. Щелкните Правила генерации оповещений.
  3. Выберите demo-arg-alert-rule.
  4. Выберите назначенный Параметры> Identity>System:
    • Состояние: вкл.
    • Идентификатор объекта: отображает GUID для корпоративного приложения (субъекта-службы) в идентификаторе Microsoft Entra.
    • Разрешение. Выбор назначений ролей Azure:
      • Убедитесь, что выбрана подписка.
      • Выберите " Добавить назначение ролей":
      • Область: подписка
      • Подписка. Выберите имя подписки Azure.
      • Роль: средство чтения Log Analytics
  5. Выберите Сохранить.

Чтобы средство чтения Log Analytics отображалось на странице назначений ролей Azure, потребуется несколько минут. Щелкните Обновить, чтобы обновить страницу.

Чтобы вернуться к удостоверению , нажмите кнопку "Назад" браузера, а затем выберите "Обзор ", чтобы вернуться к правилу генерации оповещений. Выберите ссылку на группу ресурсов с именем demo-arg-alert-rg.rg.

Хотя область из этой статьи, для кластера Azure Data Обозреватель добавьте роль читателя в управляемое удостоверение, назначаемое системой. Для получения дополнительных сведений в конце этой статьи выберите ссылки назначения ролей для кластеров Обозреватель данных Azure.

Проверка оповещений

После назначения роли правилу генерации оповещений вы начнете получать сообщения электронной почты для оповещений. Правило было создано для отправки оповещений каждые пять минут, и оно занимает несколько минут, чтобы получить первое оповещение.

Вы также можете просмотреть оповещения в портал Azure:

  1. Перейдите в группу ресурсов demo-arg-alert-rg.

  2. Выберите демонстрационную рабочую область arg-alert-в списке ресурсов.

  3. Выберите "Мониторинг оповещений>".

  4. Отображается список оповещений.

    Снимок экрана: рабочая область Log Analytics с списком оповещений, которые были запущены.

Очистка ресурсов

Если вы хотите сохранить конфигурацию оповещений, но остановить оповещение от запуска и отправки Уведомления по электронной почте, ее можно отключить. Перейдите к правилу генерации оповещений demo-arg-alert-rule или demo-arg-la-alert-rule и выберите "Отключить".

Если вам не нужен этот оповещение или ресурсы, созданные в этом примере, удалите группу ресурсов, выполнив следующие действия.

  1. Перейдите в группу ресурсов demo-arg-alert-rg.
  2. Выберите команду Удалить группу ресурсов.
  3. Введите имя группы ресурсов, чтобы подтвердить.
  4. Выберите команду Удалить.

Если вы создали виртуальную машину, удалите закрытый ключ, скачанный на компьютер во время развертывания. Имя файла имеет .pem расширение.

Дополнительные сведения о языке запросов или о том, как изучить ресурсы, см. в следующих статьях.