Skapa azure monitor-loggaviseringsregler och hantera aviseringsinstanser

  • Artikel
  • 7 minuter för att läsa

Den här artikeln visar hur du skapar loggaviseringsregler och hanterar dina aviseringsinstanser. Med Azure Monitor-loggaviseringar kan användare använda en Log Analytics-fråga för att utvärdera resursloggar med en angivna frekvens och utlösa en avisering baserat på resultatet. Regler kan utlösa en eller flera åtgärder med hjälp av regler för aviseringsbearbetning och åtgärdsgrupper. Lär dig begreppen bakom loggaviseringar här.

Du skapar en aviseringsregel genom att kombinera:

  • De resurser som ska övervakas.
  • Signalen eller telemetrin från resursen
  • Villkor

Definiera sedan de här elementen i den utlösta aviseringen:

  • Regler för aviseringsbearbetning
  • Åtgärdsgrupper

Du kan också skapa loggaviseringsregler med hjälp av Azure Resource Manager-mallar.

Skapa en ny loggaviseringsregel i Azure Portal

  1. I portalen väljer du relevant resurs. Vi rekommenderar att du övervakar i stor skala med hjälp av en prenumeration eller resursgrupp.

  2. I menyn Resurs väljer du Loggar.

  3. Skriv en fråga som hittar de logghändelser som du vill skapa en avisering för. Du kan använda exempelartikeln för aviseringsfrågor för att förstå vad du kan identifiera eller komma igång med att skriva en egen fråga. Du kan också lära dig hur du skapar optimerade aviseringsfrågor.

  4. Välj + Ny aviseringsregel i det översta kommandofältet.

    Skapa en ny aviseringsregel.

  5. Fliken Villkor öppnas och fylls i med loggfrågan.

    Som standard räknar regeln antalet resultat under de senaste 5 minuterna.

    Om systemet identifierar sammanfattade frågeresultat uppdateras regeln automatiskt med den informationen.

    Fliken Villkor.

  6. I avsnittet Mått väljer du värden för följande fält:

    Fält Beskrivning
    Mått Loggaviseringar kan mäta två olika saker, som kan användas för olika övervakningsscenarier:
    Tabellrader: Antalet rader som returneras kan användas för att arbeta med händelser som Windows-händelseloggar, syslog och programfel.
    Beräkning av en numerisk kolumn: Beräkningar som baseras på en numerisk kolumn kan användas för att inkludera valfritt antal resurser. Till exempel CPU-procent.
    Sammansättningstyp Beräkningen som utförs på flera poster för att aggregera dem till ett numeriskt värde med aggregeringskornigheten. Till exempel: Total, Average, Minimum eller Maximum.
    Sammansättningskornighet Intervallet för att aggregera flera poster till ett numeriskt värde.

    Mätningar.

  7. (Valfritt) I avsnittet Dela upp efter dimensioner kan du skapa resurscentrerade aviseringar i stor skala för en prenumeration eller resursgrupp. Dela upp efter dimensionsgrupper kombinationer av numeriska kolumner eller strängkolumner för att övervaka samma villkor på flera Azure-resurser.

    Om du väljer fler än ett dimensionsvärde utlöser varje tidsserie som är resultatet av kombinationen sin egen avisering och debiteras separat. Aviseringsnyttolasten innehåller den kombination som utlöste aviseringen.

    Du kan välja upp till sex delningar till för olika typer av tal- eller textkolumner.

    Du kan också välja att inte dela när du vill att ett villkor ska tillämpas på flera resurser i omfånget. Om du till exempel vill utlösa en avisering om minst fem datorer i resursgruppsomfånget har cpu-användning över 80 %.

    Välj värden för följande fält:

    Fält Beskrivning
    Dimensionsnamn Dimensioner kan vara tal- eller strängkolumner. Dimensioner används för att övervaka specifika tidsserier och ge kontext till en utlöst avisering.
    Om du delar upp kolumnen Azure Resource ID hamnar den angivna resursen i aviseringsmålet. Om en resurs-ID-kolumn identifieras väljs den automatiskt och ändrar kontexten för den utlösta aviseringen till postens resurs.
    Operator Operatorn som används för dimensionsnamnet och -värdet.
    Dimensionsvärden Dimensionsvärdena baseras på data från de senaste 48 timmarna. Välj Lägg till anpassat värde för att lägga till anpassade dimensionsvärden.

    Skärmbild av avsnittet delning efter dimensioner i en ny loggaviseringsregel.

  8. I avsnittet Aviseringslogik väljer du värden för följande fält:

    Fält Beskrivning
    Operator Frågeresultaten omvandlas till ett tal. I det här fältet väljer du den operator som ska användas för att jämföra talet med tröskelvärdet.
    Tröskelvärde Ett talvärde för tröskelvärdet.
    Utvärderingsfrekvens Intervallet där frågan körs. Kan ställas in från en minut till en dag.

    Skärmbild av aviseringslogikavsnittet i en ny loggaviseringsregel.

  9. (Valfritt) I avsnittet Avancerade alternativ kan du ange antalet fel och den aviseringsutvärderingsperiod som krävs för att utlösa en avisering. Om du till exempel ställer in sammansättningskornigheten på 5 minuter kan du ange att du bara vill utlösa en avisering om det har inträffar tre fel (15 minuter) under den senaste timmen. Den här inställningen definieras av programmets affärsprincip.

    Välj värden för de här fälten under Antal överträdelser för att utlösa aviseringen:

    Fält Beskrivning
    Antal överträdelser Antalet överträdelser som måste inträffa för att utlösa aviseringen.
    Utvärderingsperiod Hur lång tid dessa överträdelser måste ske.
    Åsidosätt frågetidsintervall Ange ett värde i det här fältet om aviseringsutvärderingsperioden skiljer sig från frågetidsintervallet.
    Tidsintervallet för aviseringen är begränsat till högst två dagar. Även om frågan innehåller ett ago-kommando med ett tidsintervall på längre än 2 dagar tillämpas det maximala tidsintervallet på 2 dagar. Även om frågetexten till exempel innehåller ago(7d), söker frågan bara igenom upp till 2 dagars data.
    Om frågan kräver mer data än aviseringsutvärderingen och det inte finns något ago-kommando i frågan kan du ändra tidsintervallet manuellt.

    Skärmbild av avsnittet avancerade alternativ i en ny loggaviseringsregel.

  10. I diagrammet Förhandsversion visas frågeutvärderingsresultat över tid. Du kan ändra diagramperioden eller välja olika tidsserier som beror på unik aviseringsdelning efter dimensioner.

    Skärmbild av en förhandsgranskning av en ny aviseringsregel.

  11. Från och med nu kan du välja knappen Granska + skapa när som helst.

  12. På fliken Åtgärder väljer eller skapar du de åtgärdsgrupper som krävs.

    Fliken Åtgärder.

  13. På fliken Information definierar du projektinformationen och aviseringsregelinformationen.

  14. (Valfritt) I avsnittet Avancerade alternativ kan du ange flera alternativ, bland annat om du vill aktivera vid skapande eller stänga av åtgärder under en tidsperiod efter att aviseringsregeln utlöses.

    Fliken Information.

    Anteckning

    Om du eller administratören har tilldelat Azure Policy Azure Log Search-aviseringar över Log Analytics-arbetsytor ska använda kundhanterade nycklar måste du välja Alternativet Kontrollera länkad lagring för arbetsyta i Avancerade alternativ, annars misslyckas regelskapandet eftersom den inte uppfyller principkraven.

  15. På fliken Taggar anger du eventuella taggar som krävs för resursen för aviseringsregeln.

    Fliken Taggar.

  16. På fliken Granska + skapa körs en verifiering och informerar dig om eventuella problem.

  17. När valideringen har godkänts och du har granskat inställningarna väljer du knappen Skapa .

    Granska och skapa fliken.

Anteckning

I det här avsnittet ovan beskrivs hur du skapar aviseringsregler med hjälp av den nya guiden för aviseringsregler. Den nya aviseringsregeln skiljer sig lite från den gamla. Observera dessa ändringar:

  • Tidigare inkluderades sökresultat i nyttolasterna för den utlösta aviseringen och dess associerade meddelanden. Det här var en begränsad lösning eftersom e-postmeddelandet bara innehöll 10 rader från de ofiltrerade resultaten medan webhookens nyttolast innehöll 1 000 ofiltrerade resultat. För att få detaljerad kontextinformation om aviseringen så att du kan välja lämplig åtgärd:
    • Vi rekommenderar att du använder Dimensioner. I Dimensioner finns kolumnvärdet som utlöste aviseringen, vilket ger dig ett sammanhang för varför aviseringen utlöstes och hur du åtgärdar problemet.
    • När du behöver undersöka loggarna använder du länken i aviseringen till sökresultaten i Loggar.
    • Om du behöver rådatasökresultaten eller andra avancerade anpassningar använder du Logic Apps.
  • Den nya aviseringsregelguiden stöder inte anpassning av JSON-nyttolasten.
    • Använd anpassade egenskaper i det nya API:et för att lägga till statiska parametrar och associerade värden i de webhook-åtgärder som utlöses av aviseringen.
    • Om du vill ha mer avancerade anpassningar använder du Logic Apps.
  • Den nya aviseringsregelguiden stöder inte anpassning av e-postämnet.
    • Våra kunder använder ofta ett anpassat e-postämne till att ange resursen som aviseringen utlöstes för, i stället för att använda Log Analytics-arbetsytan. Använd det nya API: et för att utlösa en avisering om önskad resurs med hjälp av resurs-ID-kolumnen.
    • Om du vill ha mer avancerade anpassningar använder du Logic Apps.

Hantera aviseringsregler i aviseringsportalen

Anteckning

I det här avsnittet beskrivs hur du hanterar aviseringsregler som skapats i det senaste användargränssnittet eller använder en API-version som är senare än 2018-04-16. Se Visa och hantera aviseringsregler som skapats i tidigare versioner för information om hur du visar och hanterar aviseringsregler som skapats i föregående användargränssnitt.

  1. I portalen väljer du relevant resurs.
  2. Under Övervakning väljer du Aviseringar.
  3. I det översta kommandofältet väljer du Aviseringsregler.
  4. Välj den aviseringsregel som du vill redigera.
  5. Redigera de fält som behövs och välj sedan Spara i det övre kommandofältet.

Hantera loggaviseringar med CLI

I det här avsnittet beskrivs hur du hanterar loggaviseringar med hjälp av plattformsoberoende Azure CLI. Det snabbaste sättet att börja använda Azure CLI är via Azure Cloud Shell. I den här artikeln använder vi Cloud Shell.

Anteckning

Azure CLI-stöd är endast tillgängligt för scheduledQueryRules API-versionen 2021-08-01 och senare. Tidigare API-versioner kan använda Azure Resource Manager CLI med mallar enligt beskrivningen nedan. Om du använder det äldre Log Analytics-aviserings-API:et måste du växla till att använda CLI. Läs mer om att växla.

  1. I portalen väljer du Cloud Shell.
  2. I prompten kan du använda kommandon med --help alternativ för att lära dig mer om kommandot och hur du använder det. Följande kommando visar till exempel listan över kommandon som är tillgängliga för att skapa, visa och hantera loggaviseringar:
    az monitor scheduled-query --help
  3. Du kan skapa en loggaviseringsregel som övervakar antalet systemhändelsefel:
    az monitor scheduled-query create -g {ResourceGroup} -n {nameofthealert} --scopes {vm_id} --condition "count \'union Event, Syslog | where TimeGenerated > ago(1h) | where EventLevelName == \"Error\" or SeverityLevel== \"err\"\' > 2" --description {descriptionofthealert}
  4. Du kan visa alla loggaviseringar i en resursgrupp med följande kommando:
    az monitor scheduled-query list -g {ResourceGroup}
  5. Du kan se information om en viss loggaviseringsregel med hjälp av regelns namn eller resurs-ID:
    az monitor scheduled-query show -g {ResourceGroup} -n {AlertRuleName}

    az monitor scheduled-query show --ids {RuleResourceId}
  6. Du kan inaktivera en loggaviseringsregel med följande kommando:
    az monitor scheduled-query update -g {ResourceGroup} -n {AlertRuleName} --disabled false
  7. Du kan ta bort en loggaviseringsregel med följande kommando:
    az monitor scheduled-query delete -g {ResourceGroup} -n {AlertRuleName}

Du kan också använda Azure Resource Manager CLI med mallfiler:

az login
az deployment group create \
    --name AlertDeployment \
    --resource-group ResourceGroupofTargetResource \
    --template-file mylogalerttemplate.json \
    --parameters @mylogalerttemplate.parameters.json

När skapande lyckades returneras 201. När uppdateringen har slutförts returneras 200.

Nästa steg