Hantera aviseringsregler som skapats i tidigare versioner

I den här artikeln beskrivs processen för att hantera aviseringsregler som skapats i det tidigare användargränssnittet eller med hjälp av API-versionen 2018-04-16 eller tidigare. Aviseringsregler som skapats i det senaste användargränssnittet visas och hanteras i det nya användargränssnittet enligt beskrivningen i Skapa, visa och hantera loggsökningsaviseringar med hjälp av Azure Monitor.

Ändringar i funktionen för att skapa aviseringsregeln för loggsökning

Den aktuella guiden för aviseringsregler skiljer sig från den tidigare upplevelsen:

• Tidigare inkluderades sökresultat i nyttolasten för den utlösta aviseringen och dess associerade meddelanden. E-postmeddelandet innehöll endast 10 rader från de ofiltrerade resultaten medan webhook-nyttolasten innehöll 1 000 ofiltrerade resultat. För att få detaljerad kontextinformation om aviseringen så att du kan besluta om lämplig åtgärd:
  • Vi rekommenderar att du använder dimensioner. Dimensioner ger kolumnvärdet som utlöste aviseringen, vilket ger dig kontext för varför aviseringen utlöstes och hur du åtgärdar problemet.
  • När du behöver undersöka i loggarna använder du länken i aviseringen till sökresultaten i loggarna.
  • Om du behöver råa sökresultat eller andra avancerade anpassningar använder du Azure Logic Apps.
• Den nya aviseringsregelguiden stöder inte anpassning av JSON-nyttolasten.
  • Använd anpassade egenskaper i det nya API:et för att lägga till statiska parametrar och associerade värden i de webhook-åtgärder som utlöses av aviseringen.
  • Mer avancerade anpassningar finns i Azure Logic Apps.
• Den nya aviseringsregelguiden stöder inte anpassning av e-postämnet.
  • Våra kunder använder ofta ett anpassat e-postämne till att ange resursen som aviseringen utlöstes för, i stället för att använda Log Analytics-arbetsytan. Använd det nya API:et för att utlösa en avisering om den önskade resursen med hjälp av kolumnen resurs-ID.
  • Mer avancerade anpassningar finns i Azure Logic Apps.

Hantera aviseringsregler som skapats i tidigare versioner i Azure-portalen

1. Välj den resurs som du vill använda i Azure-portalen.

2. Under Övervakning väljer du Aviseringar.

3. I det övre fältet väljer du Aviseringsregler.

4. Välj den aviseringsregel som du vill redigera.

5. I avsnittet Villkor väljer du villkoret.

6. Fönstret Konfigurera signallogik öppnas med historiska data för frågan som visas som ett diagram. Du kan ändra tidsintervallet för diagrammet så att data visas från de senaste sex timmarna till den senaste veckan. Om frågeresultatet innehåller sammanfattade data eller specifika kolumner utan tidskolumnen visar diagrammet ett enda värde.

   

7. Redigera villkoren för aviseringsregeln med hjälp av följande avsnitt:

   • Sökfråga: I det här avsnittet kan du ändra frågan.

   • Aviseringslogik: Loggsökningsaviseringar kan baseras på två typer av mått:

     1. Antal resultat: Antal poster som returneras av frågan.
     2. Måttmätning: Aggregerat värde beräknas med hjälp summarize av grupperade efter de valda uttrycken och valet bin(). Till exempel:

        // Reported errors
        union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records
        | where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records
        or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records
        | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
        

     För aviseringslogik för måttmätningar kan du ange hur aviseringarna ska delas upp efter dimensioner med hjälp av alternativet Aggregera på . Radgrupperingsuttrycket måste vara unikt och sorterat.

     Funktionen bin() kan resultera i ojämna tidsintervall, så aviseringstjänsten konverterar automatiskt funktionen bin() till en binat() -funktion med lämplig tid vid körning för att säkerställa resultat med en fast punkt.

     Kommentar

     Alternativet Dela efter aviseringsdimensioner är endast tillgängligt för det aktuella scheduledQueryRules-API:et . Om du använder det äldre Log Analytics-aviserings-API:et måste du växla. Läs mer om att växla. Resurscentrerad aviseringar i stor skala stöds endast i API-versionen 2021-08-01 och senare.

     

   • Period: Välj det tidsintervall som det angivna villkoret ska utvärderas med alternativet Period .

8. När du är klar med redigeringen av villkoren väljer du Klar.

9. Använd förhandsgranskningsdata för att ange värdet Operator, Tröskelvärde och Frekvens.

10. Ange antalet överträdelser för att utlösa en avisering med hjälp av Totalt eller Efterföljande överträdelser.

11. Välj Klar.

12. Du kan redigera regeln Beskrivning och allvarlighetsgrad. Den här informationen används i alla aviseringsåtgärder. Du kan också välja att inte aktivera aviseringsregeln när du skapar den genom att välja Aktivera regel när den skapas.

13. Använd alternativet Ignorera aviseringar om du vill ignorera regelåtgärder under en angiven tid efter att en avisering har utlösts. Regeln körs fortfarande och skapar aviseringar, men åtgärder utlöses inte för att förhindra brus. Värdet För att stänga av åtgärder måste vara större än frekvensen för aviseringen för att vara effektiv.

    

14. Om du vill göra aviseringarna tillståndskänsliga väljer du Lös aviseringar automatiskt (förhandsversion).

15. Ange om aviseringsregeln ska utlösa en eller flera åtgärdsgrupper när aviseringsvillkoret uppfylls. Begränsningar för de åtgärder som kan utföras finns i Tjänstbegränsningar för Azure Monitor.

16. (Valfritt) Anpassa åtgärder i aviseringsregler för loggsökning:

    • Anpassat e-postämne: Åsidosätter e-postämnet för e-poståtgärder. Du kan inte ändra brödtexten i e-postmeddelandet och det här fältet är inte för e-postadresser.
    • Inkludera anpassad Json-nyttolast för webhook: Åsidosätter den webhook JSON som används av åtgärdsgrupper, förutsatt att åtgärdsgruppen innehåller en webhook-åtgärd. Läs mer om webhook-åtgärder för loggsökningsaviseringar.

    

17. När du har redigerat alla alternativ för aviseringsregeln väljer du Spara.

Hantera loggsökningsaviseringar med Hjälp av PowerShell

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Använd följande PowerShell-cmdletar för att hantera regler med API:et schemalagda frågeregler:

• New-AzScheduledQueryRule: PowerShell-cmdlet för att skapa en ny varningsregel för loggsökning.
• Set-AzScheduledQueryRule: PowerShell-cmdlet för att uppdatera en befintlig aviseringsregel för loggsökning.
• New-AzScheduledQueryRuleSource: PowerShell-cmdlet för att skapa eller uppdatera objektet som anger källparametrar för en loggsökningsavisering. Används som indata av cmdletarna New-AzScheduledQueryRule och Set-AzScheduledQueryRule .
• New-AzScheduledQueryRuleSchedule: PowerShell-cmdlet för att skapa eller uppdatera objektet som anger schemaparametrar för en loggsökningsavisering. Används som indata av cmdletarna New-AzScheduledQueryRule och Set-AzScheduledQueryRule .
• New-AzScheduledQueryRuleAlertingAction: PowerShell-cmdlet för att skapa eller uppdatera objektet som anger åtgärdsparametrar för en loggsökningsavisering. Används som indata av cmdletarna New-AzScheduledQueryRule och Set-AzScheduledQueryRule .
• New-AzScheduledQueryRuleAznsActionGroup: PowerShell-cmdlet för att skapa eller uppdatera objektet som anger åtgärdsgruppparametrar för en loggsökningsavisering. Används som indata av cmdleten New-AzScheduledQueryRuleAlertingAction .
• New-AzScheduledQueryRuleTriggerCondition: PowerShell-cmdlet för att skapa eller uppdatera objektet som anger parametrar för utlösarvillkor för en loggsökningsavisering. Används som indata av cmdleten New-AzScheduledQueryRuleAlertingAction .
• New-AzScheduledQueryRuleLogMetricTrigger: PowerShell-cmdlet för att skapa eller uppdatera objektet som anger parametrar för måttutlösarvillkor för en sökavisering för måttmätningsloggar. Används som indata av cmdleten New-AzScheduledQueryRuleTriggerCondition .
• Get-AzScheduledQueryRule: PowerShell-cmdlet för att visa en lista över befintliga aviseringsregler för loggsökning eller en specifik varningsregel för loggsökning.
• Update-AzScheduledQueryRule: PowerShell-cmdlet för att aktivera eller inaktivera en aviseringsregel för loggsökning.
• Remove-AzScheduledQueryRule: PowerShell-cmdlet för att ta bort en befintlig varningsregel för loggsökning.

Kommentar

ScheduledQueryRules PowerShell-cmdletarna kan bara hantera regler som skapats i den här versionen av API:et schemalagda frågeregler. Aviseringsregler för loggsökning som skapats med hjälp av det äldre Log Analytics-aviserings-API: et kan endast hanteras med hjälp av PowerShell när du har växlat till API:et schemalagda frågeregler.

Exempel på steg för att skapa en aviseringsregel för loggsökning med hjälp av PowerShell:

$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"

Exempel på steg för att skapa en aviseringsregel för loggsökning med hjälp av PowerShell med frågor mellan resurser:

$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name" 

Du kan också skapa loggsökningsaviseringen med hjälp av en mall och parameterfiler med hjälp av PowerShell:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
  -TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json

Nästa steg

• Läs mer om aviseringar för loggsökning.
• Skapa loggsökningsaviseringar med hjälp av Azure Resource Manager-mallar.
• Förstå webhook-åtgärder för loggsökningsaviseringar.
• Läs mer om loggfrågor.