Skapa, visa och hantera aktivitetsloggaviseringar med hjälp av Azure Monitor

  • Artikel
  • 8 minuter för att läsa

Aktivitetsloggaviseringar är aviseringar som aktiveras när en ny aktivitetslogghändelse inträffar som matchar de villkor som anges i aviseringen. Du skapar de här aviseringarna för Azure-resurser med hjälp av Azure Resource Manager mall. Du kan också skapa, uppdatera eller ta bort dessa aviseringar i Azure Portal.

Normalt skapar du aktivitetsloggaviseringar för att få meddelanden när specifika ändringar sker i resurser i din Azure-prenumeration. Aviseringar är ofta begränsade till vissa resursgrupper eller resurser. Du kanske till exempel vill få ett meddelande när en virtuell dator i myProductionResourceGroup exempelresursgruppen tas bort. Eller så kanske du vill få ett meddelande om några nya roller har tilldelats till en användare i din prenumeration.

Viktigt

Du kan inte skapa aviseringar för aviseringar om tjänstens hälsotillstånd med hjälp av gränssnittet för att skapa aktivitetsloggaviseringar. Mer information om hur du skapar och använder service health-aviseringar finns i Ta emot aktivitetsloggaviseringar för service health-meddelanden.

När du skapar aviseringsregler kontrollerar du att:

  • Prenumerationen i omfånget skiljer sig inte från prenumerationen där aviseringen skapas.
  • Kriterierna måste vara den nivå, status, anropare, resursgrupp, resurs-ID eller resurstypshändelsekategori som aviseringen har konfigurerats för.
  • Det finns inga villkor anyOf eller kapslade villkor i aviseringskonfigurationens JSON. Endast ett allOf villkor tillåts, utan ytterligare allOf villkor eller anyOf .
  • När kategorin är administrative måste du ange minst ett av föregående villkor i aviseringen. Du kan inte skapa en avisering som aktiveras varje gång en händelse skapas i aktivitetsloggarna.
  • Aviseringar kan inte skapas för händelser i kategorin alert för aktivitetsloggen.

Azure Portal

Du kan använda Azure Portal för att skapa och ändra aviseringsregler för aktivitetsloggar. Upplevelsen är integrerad med en Azure-aktivitetslogg för att säkerställa sömlös aviseringsgenerering för specifika händelser av intresse. På Azure Portal kan du skapa en ny aviseringsregel för aktivitetslogg, antingen från Azure Monitor-aviseringsfönstret eller från Azure Monitor aktivitetsloggfönstret.

Skapa en aviseringsregel från Azure Monitor aviseringsfönstret

Så här skapar du en aviseringsregel för aktivitetslogg i Azure Portal:

  1. I Azure Portaldu Övervaka. Fönstret Övervaka konsoliderar alla dina övervakningsinställningar och data i en enda vy.

  2. Välj Aviseringar > + Ny aviseringsregel.

    Skärmbild som visar knappen för den nya aviseringsregeln.

    Tips

    De flesta resursfönster har även aviseringar i resursmenyn under Övervakning. Du kan också skapa aviseringar därifrån.

  3. Välj Välj mål och välj sedan en målresurs som du vill avisering om. Om du vill hitta den resurs som du vill övervaka använder du listorna i Prenumeration och Resurstyp. Du kan också använda sökfältet för att hitta din resurs.

    Anteckning

    Som mål kan du välja en hel prenumeration, en resursgrupp eller en specifik resurs. Om du väljer en prenumeration eller en resursgrupp som mål och du även väljer en resurstyp gäller regeln för alla resurser av den typen i den valda prenumerationen eller en resursgrupp. Om du väljer en specifik målresurs gäller regeln endast för den resursen. Du kan inte uttryckligen välja flera prenumerationer, resursgrupper eller resurser med hjälp av målväljaren.

  4. Om den valda resursen har aktivitetsloggåtgärder som du kan skapa aviseringar på ser du att Tillgängliga signaltyper visar aktivitetsloggen. Du kan visa en fullständig lista över resurstyper som stöds för aktivitetsloggaviseringar i Azure-resursprovideråtgärder.

    Skärmbild av målurvalsfönstret.

  5. När du har valt en målresurs väljer du Lägg till villkor.

  6. Du ser en lista över signaler som stöds för resursen, som innehåller signaler från olika kategorier av aktivitetsloggen. Välj den aktivitetsloggsignal eller åtgärd som du vill skapa en avisering för.

  7. Du ser ett diagram för aktivitetsloggåtgärden för de senaste sex timmarna. Använd listrutan Diagramperiod om du vill se en längre historik för åtgärden.

  8. Under Aviseringslogik kan du välja att definiera fler filtreringskriterier:

    • Händelsenivå: Händelsens allvarlighetsgrad: Utförlig, Information, Varning, Fel eller Kritisk.
    • Status: Status för händelsen: Startade, Misslyckades eller Lyckades.
    • Händelse initierad av: Kallas även anroparen. E-postadressen eller Azure Active Directory identifierare för den användare som utförde åtgärden.

    Anteckning

    Genom att definiera minst ett av dessa kriterier kan du uppnå mer effektiva regler. Om till exempel aviseringsomfånget är en hel prenumeration och den valda signalen är blir din regel mer specifik om du anger information om All Administrative Operations händelsenivå, status eller initiering.

  9. Välj Klar.

    Skärmbild av fönstret för villkorsval.

  10. Fyll i aviseringsinformation, till exempel Aviseringsregelnamn, Beskrivning och Allvarlighetsgrad.

    Anteckning

    Allvarlighetsgraden för aktivitetsloggaviseringar kan för närvarande inte konfigureras av användaren. Allvarlighetsgraden är alltid Sev4 som standard.

  11. Lägg till en åtgärdsgrupp i aviseringen, antingen genom att välja en befintlig åtgärdsgrupp eller genom att skapa en ny åtgärdsgrupp.

  12. Välj Klar för att spara aviseringsregeln för aktivitetsloggen.

Skapa en aviseringsregel från Azure Monitor-aktivitetsloggfönstret

Ett annat sätt att skapa en aktivitetsloggavisering är att börja med en aktivitetslogghändelse som redan har inträffat, via aktivitetsloggen i Azure Portal.

  1. I fönstret Azure Monitor aktivitetslogg kan du filtrera eller hitta önskad händelse och sedan skapa en avisering för framtida liknande händelser genom att välja Lägg till aktivitetsloggavisering.

    Skärmbild av skapande av aviseringsregel från en aktivitetslogghändelse.

  2. Fönstret Skapa aviseringsregel öppnas med aviseringsregelns omfång och villkor redan angivna enligt den tidigare valda aktivitetslogghändelsen. Om det behövs kan du redigera och ändra omfånget och villkoret i det här skedet. Observera att som standard kopieras det exakta omfånget och villkoret för den nya regeln från de ursprungliga händelseattributen. Till exempel inkluderas både den exakta resursen där händelsen inträffade och det specifika användar- eller tjänstnamn som initierade händelsen som standard i den nya aviseringsregeln. Om du vill göra aviseringsregeln mer allmän ändrar du omfånget och villkoret på motsvarande sätt (se steg 3–9 i avsnittet "Skapa en aviseringsregel från fönstret Azure Monitor aviseringar").

  3. Följ sedan steg 10–12 i avsnittet "Skapa en aviseringsregel från Azure Monitor aviseringsfönstret".

Visa och hantera i Azure Portal

  1. I Azure Portal du Övervaka > aviseringar. Välj sedan Hantera aviseringsregler.

    Skärmbild av knappen Hantera aviseringsregler.

    Listan över tillgängliga regler visas.

  2. Filtrera eller sök efter aktivitetsloggregeln som ska ändras.

    Skärmbild av hanteringsfönstret för aviseringsregler.

    Du kan använda de tillgängliga filtren Prenumeration, Resursgrupp, Resurs, Signaltyp eller Status för att hitta den aktivitetsregel som du vill redigera.

  3. Välj regeln och dubbelklicka för att redigera regelalternativen. Gör de nödvändiga ändringarna och välj sedan Spara.

Azure Resource Manager-mall

Om du vill skapa en aviseringsregel för aktivitetsloggen med Azure Resource Manager en mall skapar du en resurs av typen microsoft.insights/activityLogAlerts . Sedan fyller du i alla relaterade egenskaper. Här är en mall som skapar en aviseringsregel för aktivitetslogg:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "activityLogAlertName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Activity log alert."
      }
    },
    "activityLogAlertEnabled": {
      "type": "bool",
      "defaultValue": true,
      "metadata": {
        "description": "Indicates whether or not the alert is enabled."
      }
    },
    "actionGroupResourceId": {
      "type": "string",
      "metadata": {
        "description": "Resource Id for the Action group."
      }
    }
  },
  "resources": [   
    {
      "type": "Microsoft.Insights/activityLogAlerts",
      "apiVersion": "2017-04-01",
      "name": "[parameters('activityLogAlertName')]",      
      "location": "Global",
      "properties": {
        "enabled": "[parameters('activityLogAlertEnabled')]",
        "scopes": [
            "[subscription().id]"
        ],        
        "condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "operationName",
              "equals": "Microsoft.Resources/deployments/write"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        },
        "actions": {
          "actionGroups":
          [
            {
              "actionGroupId": "[parameters('actionGroupResourceId')]"
            }
          ]
        }
      }
    }
  ]
}

Föregående JSON-exempel kan sparas som sampleActivityLogAlert.json. Du kan distribuera exemplet med hjälp Azure Resource Manager i Azure Portal.

Anteckning

Observera att den högsta nivån som aktivitetsloggaviseringar kan definieras är prenumerationsnivån. Det finns inget alternativ för att definiera en avisering för två prenumerationer. Definitionen ska vara att avisering per prenumeration.

Följande fält är de alternativ som du kan använda i Azure Resource Manager för villkorsfälten. (Observera att Resource Health, Advisor Service Health har extra egenskapsfält för sina särskilda fält.)

  1. resourceId: Resurs-ID:t för den påverkade resursen i aktivitetslogghändelsen som aviseringen ska genereras på.
  2. category: Kategorin för aktivitetslogghändelsen. Till exempel: Administrative , , , , , , eller ServiceHealth ResourceHealth Autoscale Security Recommendation Policy .
  3. caller: E-postadressen Azure Active Directory identifieraren för den användare som utförde åtgärden för aktivitetslogghändelsen.
  4. level: Aktivitetsnivån i aktivitetslogghändelsen som aviseringen ska genereras på. Till exempel: Critical , , , eller Error Warning Informational Verbose .
  5. operationName: Namnet på åtgärden i aktivitetslogghändelsen. Exempel: Microsoft.Resources/deployments/write.
  6. resourceGroup: Namnet på resursgruppen för den påverkade resursen i aktivitetslogghändelsen.
  7. resourceProvider: Mer information finns i Resursproviders och typer i Azure. En lista som mappar resursproviders till Azure-tjänster finns i Resursproviders för Azure-tjänster.
  8. status: Sträng som beskriver status för åtgärden i aktivitetshändelsen. Till exempel: Started , , , , eller In Progress Succeeded Failed Active Resolved .
  9. subStatus: Det här fältet är vanligtvis HTTP-statuskoden för motsvarande REST-anrop. Men den kan även innehålla andra strängar som beskriver en understatus. Exempel på HTTP-statuskoder är OK (HTTP-statuskod: 200), No Content (HTTP-statuskod: 204) och Service Unavailable (HTTP-statuskod: 503), bland många andra.
  10. resourceType: Typen av resurs som påverkades av händelsen. Exempel: Microsoft.Resources/deployments.

Exempel:

"condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        }

Mer information om aktivitetsloggfälten finns i Händelseschema för Azure-aktivitetslogg.

Anteckning

Det kan ta upp till 5 minuter innan den nya aktivitetsloggaviseringsregeln blir aktiv.

REST-API

API:Azure Monitor aktivitetsloggaviseringar är en REST API. Den är helt kompatibel med Azure Resource Manager REST API. Du kan använda den med PowerShell med hjälp av Resource Manager cmdlet eller Azure CLI.

Anteckning

I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Distribuera Resource Manager med PowerShell

Om du vill använda PowerShell för att Resource Manager exempelmallen som visas i Azure Resource Manager föregående mallavsnitt använder du följande kommando:

New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile sampleActivityLogAlert.json -TemplateParameterFile sampleActivityLogAlert.parameters.json

Filen sampleActivityLogAlert.parameters.json innehåller de värden som anges för de parametrar som behövs för att skapa aviseringsregeln.

Använda PowerShell-cmdlets för aktivitetslogg

Aktivitetsloggaviseringar har dedikerade PowerShell-cmdlets tillgängliga:

Azure CLI

Du kan hantera aviseringsregler för aktivitetsloggen med hjälp av dedikerade Azure CLI-kommandon under uppsättningen az monitor activity-log alert.

Använd följande kommandon för att skapa en ny aviseringsregel för aktivitetslogg:

  1. az monitor activity-log alert create:Skapa en ny resurs för aviseringsregel för aktivitetslogg.
  2. az monitor activity-log alert scope: Lägg till omfång för den skapade aktivitetsloggaviseringsregeln.
  3. az monitor activity-log alert action-group:Lägg till en åtgärdsgrupp i aviseringsregeln för aktivitetsloggen.

Om du vill hämta en regelresurs för aktivitetsloggaviseringar använder du Azure CLI-kommandot az monitor activity-log alert show. Om du vill visa alla resurser för aktivitetsloggaviseringsregel i en resursgrupp använder du az monitor activity-log alert list. Du kan ta bort resurser för aktivitetsloggaviseringsregel med hjälp av Azure CLI-kommandot az monitor activity-log alert delete.

Nästa steg