Skapa eller redigera en varningsregel för loggsökning

  • Artikel

Den här artikeln visar hur du skapar en ny varningsregel för loggsökning eller redigerar en befintlig aviseringsregel för loggsökning. Mer information om aviseringar finns i översikten över aviseringar.

Du skapar en aviseringsregel genom att kombinera de resurser som ska övervakas, övervakningsdata från resursen och de villkor som du vill utlösa aviseringen. Du kan sedan definiera åtgärdsgrupper och regler för aviseringsbearbetning för att avgöra vad som händer när en avisering utlöses.

Aviseringar som utlöses av dessa aviseringsregler innehåller en nyttolast som använder det gemensamma aviseringsschemat.

Komma åt aviseringsregelguiden i Azure-portalen

Det finns flera sätt att skapa eller redigera en ny aviseringsregel.

Skapa eller redigera en aviseringsregel från portalens startsida

  1. I portalen väljer du Övervaka>aviseringar.

  2. Öppna menyn + Skapa och välj Aviseringsregel.

    Skärmbild som visar steg för att skapa en ny aviseringsregel.

Skapa eller redigera en aviseringsregel från en specifik resurs

  1. Gå till resursen i portalen.

  2. Välj Aviseringar i det vänstra fönstret och välj sedan + Skapa>aviseringsregel.

    Skärmbild som visar steg för att skapa en ny aviseringsregel från en vald resurs.

Redigera en befintlig aviseringsregel

  1. I portalen, antingen från startsidan eller från en specifik resurs, väljer du Aviseringar i den vänstra rutan.

  2. Välj Aviseringsregler.

  3. Välj den aviseringsregel som du vill redigera och välj sedan Redigera.

    Skärmbild som visar steg för att redigera en befintlig aviseringsregel för loggsökning.

  4. Välj någon av flikarna för aviseringsregeln för att redigera inställningarna.

Konfigurera aviseringsregelns omfång

  1. I fönstret Välj en resurs anger du omfånget för aviseringsregeln. Du kan filtrera efter prenumeration, resurstyp eller resursplats.

  2. Välj Använd.

    Skärmbild som visar fönstret Välj resurs för att skapa en ny aviseringsregel.

Konfigurera villkor för aviseringsregeln

  1. När du väljer fältet Signalnamnfliken Villkor väljer du Anpassad loggsökning eller väljer Visa alla signaler om du vill välja en annan signal för villkoret.

  2. (Valfritt) Om du väljer att Visa alla signaler i föregående steg använder du fönstret Välj en signal för att söka efter signalnamnet eller filtrera listan med signaler. Filtrera efter:

    • Signaltyp: Välj Loggsökning.
    • Signalkälla: Den tjänst som skickar signalerna "Anpassad loggsökning" och "Logg (sparad fråga)". Välj Signalnamn och Använd.

  3. I fönstret Loggar skriver du en fråga som returnerar logghändelserna som du vill skapa en avisering för. Om du vill använda en av de fördefinierade aviseringsregelfrågorna expanderar du fönstret Schema och filter till vänster i fönstret Loggar . Välj sedan fliken Frågor och välj en av frågorna.

Begränsningar för aviseringsregelfrågor för loggsökning:

  • Aviseringsregelfrågor för loggsökning stöder inte plugin-programmet "bag_unpack()", "pivot()" och "narrow()".

  • Ordet "AggregatedValue" är ett reserverat ord. Det kan inte användas i frågan i aviseringsregler för loggsökning.

  • Den kombinerade storleken på alla data i loggaviseringsregelns egenskaper får inte överstiga 64 KB.

    Skärmbild som visar fönstret Fråga när du skapar en ny aviseringsregel för loggsökning.

  1. (Valfritt) Om du kör frågor mot ett ADX- eller ARG-kluster kan Log Analytics inte automatiskt identifiera kolumnen med händelsetidsstämpeln. Vi rekommenderar att du lägger till ett tidsintervallfilter i frågan. Till exempel:

        adx('https://help.kusto.windows.net/Samples').table    
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Skärmbild som visar fliken Villkor när du skapar en ny aviseringsregel för loggsökning.

    Exempel på aviseringsfrågor för loggsökning som frågar ARG eller ADX finns i Exempel på loggsökningsaviseringsfråga.

    Det här är begränsningarna för att använda korsfrågor:

  2. Välj Kör för att köra aviseringen.

  3. I avsnittet Förhandsversion visas frågeresultatet. När du är klar med redigeringen av frågan väljer du Fortsätt redigera avisering.

  4. Fliken Villkor öppnas ifylld med loggfrågan. Regeln räknar som standard antalet resultat under de senaste fem minuterna. Om systemet identifierar sammanfattade frågeresultat uppdateras regeln automatiskt med den informationen.

  5. I avsnittet Mått väljer du värden för följande fält:

    Skärmbild som visar fliken Mått när du skapar en ny aviseringsregel för loggsökning.

    Fält beskrivning
    Mått Loggsökningsaviseringar kan mäta två olika saker, som kan användas för olika övervakningsscenarier:
    Tabellrader: Antalet rader som returneras kan användas för att arbeta med händelser som Windows-händelseloggar, Syslog och programfel.
    Beräkning av en numerisk kolumn: Beräkningar baserade på valfri numerisk kolumn kan användas för att inkludera valfritt antal resurser. Ett exempel är CPU-procent.
    Sammansättningstyp Beräkningen som utförs på flera poster för att aggregera dem till ett numeriskt värde med hjälp av sammansättningskornigheten. Exempel är Total, Average, Minimum eller Maximum.
    Sammansättningskornighet Intervallet för att aggregera flera poster till ett numeriskt värde.

  6. (Valfritt) I avsnittet Dela efter dimensioner kan du använda dimensioner för att ge kontext för den utlösta aviseringen.

    Skärmbild som visar avsnittet dela efter dimensioner i en ny aviseringsregel för loggsökning.

    Dimensioner är kolumner från dina frågeresultat som innehåller ytterligare data. När du använder dimensioner grupperar aviseringsregeln frågeresultaten efter dimensionsvärdena och utvärderar resultatet för varje grupp separat. Om villkoret uppfylls utlöses en avisering för den gruppen. Aviseringsnyttolasten innehåller den kombination som utlöste aviseringen.

    Du kan använda upp till sex dimensioner per aviseringsregel. Dimensioner kan bara vara strängkolumner eller numeriska kolumner. Om du vill använda en kolumn som inte är en tal- eller strängtyp som en dimension måste du konvertera den till en sträng eller ett numeriskt värde i frågan. Om du väljer fler än ett dimensionsvärde utlöser varje tidsserie som resulterar i kombinationen en egen avisering och debiteras separat.

    Till exempel:

    • Du kan använda dimensioner för att övervaka CPU-användning på flera instanser som kör din webbplats eller app. Varje instans övervakas individuellt och meddelanden skickas för varje instans där CPU-användningen överskrider det konfigurerade värdet.
    • Du kan välja att inte dela upp efter dimensioner när du vill att ett villkor ska tillämpas på flera resurser i omfånget. Du skulle till exempel inte använda dimensioner om du vill utlösa en avisering om minst fem datorer i resursgruppens omfång har CPU-användning över det konfigurerade värdet.

    Välj värden för följande fält:

    • Kolumn för resurs-ID: Om aviseringsregelomfånget är en arbetsyta utlöses aviseringarna på arbetsytan. Om du vill ha en separat avisering för varje berörd Azure-resurs kan du:
      • använd kolumnen ARM Azure Resource ID som en dimension (observera att med det här alternativet utlöses aviseringen på arbetsytan med kolumnen Azure Resource ID som en dimension.
      • ange den som en dimension i azure-resurs-ID-egenskapen, vilket gör resursen som returneras av din fråga till målet för aviseringen, så aviseringar utlöses på resursen som returneras av din fråga, till exempel en virtuell dator eller ett lagringskonto, i stället för på arbetsytan. Om arbetsytan hämtar data från resurser i mer än en prenumeration när du använder det här alternativet kan aviseringar utlösas på resurser från en prenumeration som skiljer sig från prenumerationen för aviseringsregeln.
    Fält beskrivning
    Dimensionsnamn Dimensioner kan vara antingen tal- eller strängkolumner. Dimensioner används för att övervaka specifika tidsserier och ge kontext till en utlöst avisering.
    Operator Operatorn som används för dimensionsnamnet och värdet.
    Dimensionsvärden Dimensionsvärdena baseras på data från de senaste 48 timmarna. Välj Lägg till anpassat värde för att lägga till anpassade dimensionsvärden.
    Inkludera alla framtida värden Välj det här fältet om du vill inkludera eventuella framtida värden som läggs till i den valda dimensionen.

  7. I avsnittet Aviseringslogik väljer du värden för följande fält:

    Skärmbild som visar avsnittet Aviseringslogik i en ny aviseringsregel för loggsökning.

    Fält beskrivning
    Operator Frågeresultatet omvandlas till ett tal. I det här fältet väljer du den operator som ska användas för att jämföra talet med tröskelvärdet.
    Tröskelvärde Ett talvärde för tröskelvärdet.
    Utvärderingsfrekvens Hur ofta frågan körs. Kan ställas in var som helst från en minut till en dag (24 timmar).

    Kommentar

    Det finns vissa begränsningar för att använda en minuts aviseringsregelfrekvens. När du anger aviseringsregelns frekvens till en minut utförs en intern manipulering för att optimera frågan. Den här manipulationen kan leda till att frågan misslyckas om den innehåller åtgärder som inte stöds. Följande är de vanligaste orsakerna till att en fråga inte stöds:

    • Frågan innehåller åtgärderna search, union * eller take (limit)
    • Frågan innehåller funktionen ingestion_time()
    • Frågan använder adx-mönstret
    • Frågan anropar en funktion som anropar andra tabeller

    Exempel på aviseringsfrågor för loggsökning som frågar ARG eller ADX finns i Exempel på loggsökningsaviseringsfråga

  8. (Valfritt) I avsnittet Avancerade alternativ kan du ange antalet fel och den aviseringsutvärderingsperiod som krävs för att utlösa en avisering. Om du till exempel anger sammansättningskornighet till 5 minuter kan du ange att du bara vill utlösa en avisering om det uppstod tre fel (15 minuter) under den senaste timmen. Din affärsprincip för programmet avgör den här inställningen.

    Skärmbild som visar avsnittet Avancerade alternativ i en ny varningsregel för loggsökning.

    Välj värden för de här fälten under Antal överträdelser för att utlösa aviseringen:

    Fält beskrivning
    Antal överträdelser Antalet överträdelser som utlöser aviseringen.
    Utvärderingsperiod Den tidsperiod inom vilken antalet överträdelser inträffar.
    Åsidosätt frågetidsintervall Om du vill att aviseringsutvärderingsperioden ska vara annorlunda än frågetidsintervallet anger du ett tidsintervall här.
    Aviseringstidsintervallet är begränsat till högst två dagar. Även om frågan innehåller ett ago-kommando med ett tidsintervall på längre än två dagar tillämpas det maximala tidsintervallet på två dagar. Även om frågetexten till exempel innehåller ago(7d), söker frågan bara igenom upp till två dagars data. Om frågan kräver mer data än aviseringsutvärderingen kan du ändra tidsintervallet manuellt. Om frågan innehåller ett ago-kommando ändras den automatiskt till 2 dagar (48 timmar).

    Kommentar

    Om du eller administratören har tilldelat Azure Policy Azure Log Search-aviseringar via Log Analytics-arbetsytor ska använda kundhanterade nycklar måste du välja Kontrollera länkad lagring på arbetsytan. Om du inte gör det misslyckas regelskapandet eftersom det inte uppfyller principkraven.

  9. I förhandsgranskningsdiagrammet visas frågeutvärderingsresultat över tid. Du kan ändra diagramperioden eller välja olika tidsserier som beror på en unik aviseringsdelning efter dimensioner.

    Skärmbild som visar en förhandsgranskning av en ny aviseringsregel.

  10. Välj Klar. Från och med nu kan du välja knappen Granska + skapa när som helst.

Konfigurera aviseringsregelåtgärderna

  1. På fliken Åtgärder väljer eller skapar du de åtgärdsgrupper som krävs.

    Skärmbild som visar fliken Åtgärder när du skapar en ny aviseringsregel.

Konfigurera information om aviseringsregeln

  1. På fliken Information definierar du projektinformationen.

    • Välj Prenumeration.
    • Välj resursgruppen.

  2. Definiera information om aviseringsregeln.

    Skärmbild som visar fliken Information när du skapar en ny aviseringsregel för loggsökning.

    1. Välj allvarlighetsgrad.

    2. Ange värden för namnet på aviseringsregeln och beskrivningen av aviseringsregeln.

      Kommentar

      Observera att regeln som använder identitet inte kan ha tecknet ";" i aviseringsregelns namn

    3. Välj Region.

    4. I avsnittet Identitet väljer du vilken identitet som ska användas av aviseringsregeln för loggsökning för att skicka loggfrågan. Den här identiteten används för autentisering när aviseringsregeln kör loggfrågan.

      Tänk på följande när du väljer en identitet:

      • En hanterad identitet krävs om du skickar en fråga till Azure Data Explorer.
      • Använd en hanterad identitet om du vill kunna se eller redigera de behörigheter som är associerade med aviseringsregeln.
      • Om du inte använder en hanterad identitet baseras behörigheterna för aviseringsregeln på behörigheterna för den senaste användaren för att redigera regeln, när regeln senast redigerades.
      • Använd en hanterad identitet för att undvika ett fall där regeln inte fungerar som förväntat eftersom användaren som senast redigerade regeln inte hade behörighet för alla resurser som lagts till i regelns omfång.

      Identiteten som är associerad med regeln måste ha följande roller:

      • Om frågan har åtkomst till en Log Analytics-arbetsyta måste identiteten tilldelas en läsarroll för alla arbetsytor som nås av frågan. Om du skapar resurscentrerade loggsökningsaviseringar kan aviseringsregeln komma åt flera arbetsytor och identiteten måste ha en läsarroll på alla.
      • Om du kör frågor mot ett ADX- eller ARG-kluster måste du lägga till läsarrollen för alla datakällor som används av frågan. Om frågan till exempel är resurscentrerad behöver den en läsarroll för resurserna.
      • Om frågan har åtkomst till ett Azure Data Explorer-fjärrkluster måste identiteten tilldelas:
        • Läsarroll för alla datakällor som nås av frågan. Om frågan till exempel anropar ett fjärranslutet Azure Data Explorer-kluster med hjälp av adx()-funktionen behöver den en läsarroll i det ADX-klustret.
        • Databasvisningsprogram för alla databaser som frågan har åtkomst till.

      Detaljerad information om hanterade identiteter finns i Hanterade identiteter för Azure-resurser.

      Välj något av följande alternativ för den identitet som används av aviseringsregeln:

      Identitet Description
      None Behörigheter för aviseringsregeln baseras på behörigheterna för den senaste användaren som redigerade regeln när regeln redigerades.
      Systemtilldelad hanterad identitet Azure skapar en ny dedikerad identitet för den här aviseringsregeln. Den här identiteten har inga behörigheter och tas bort automatiskt när regeln tas bort. När du har skapat regeln måste du tilldela behörigheter till den här identiteten för att få åtkomst till den arbetsyta och de datakällor som behövs för frågan. Mer information om hur du tilldelar behörigheter finns i Tilldela Azure-roller med hjälp av Azure-portalen.
      Användartilldelad hanterad identitet Innan du skapar aviseringsregeln skapar du en identitet och tilldelar den lämpliga behörigheter för loggfrågan. Det här är en vanlig Azure-identitet. Du kan använda en identitet i flera aviseringsregler. Identiteten tas inte bort när regeln tas bort. När du väljer den här typen av identitet öppnas ett fönster där du kan välja den associerade identiteten för regeln.

  3. (Valfritt) I avsnittet Avancerade alternativ kan du ange flera alternativ:

    Fält beskrivning
    Aktivera när du skapar Välj att aviseringsregeln ska börja köras så fort du är klar med att skapa den.
    Åtgärda aviseringar automatiskt (förhandsversion) Välj för att göra aviseringen tillståndskänslig. När en avisering är tillståndskänslig löses aviseringen när villkoret inte längre uppfylls under ett visst tidsintervall. Tidsintervallet varierar beroende på aviseringens frekvens:
    1 minut: Aviseringsvillkoret uppfylls inte på 10 minuter.
    5–15 minuter: Aviseringsvillkoret uppfylls inte under tre frekvensperioder.
    15 minuter– 11 timmar: Aviseringsvillkoret uppfylls inte under två frekvensperioder.
    11 till 12 timmar: Aviseringsvillkoret uppfylls inte under en frekvensperiod.

    Observera att tillståndskänsliga loggsökningsaviseringar har följande begränsningar:
    – de kan utlösa upp till 300 aviseringar per utvärdering.
    – du kan ha högst 5 000 aviseringar med aviseringsvillkoret fired .
    Stäng av åtgärder Välj för att ange en tidsperiod som ska vänta innan aviseringsåtgärder utlöses igen. Om du markerar den här kryssrutan visas fältet Stäng av åtgärder för att välja hur lång tid det tar att vänta efter att en avisering har utlösts innan åtgärder utlöses igen.
    Kontrollera länkad lagring på arbetsytan Välj om den länkade lagringen för loggar för aviseringar har konfigurerats. Om ingen länkad lagring har konfigurerats skapas inte regeln.

  4. (Valfritt) Om den här aviseringsregeln innehåller åtgärdsgrupper i avsnittet Anpassade egenskaper kan du lägga till dina egna egenskaper som ska inkluderas i nyttolasten för aviseringsmeddelanden. Du kan använda dessa egenskaper i de åtgärder som anropas av åtgärdsgruppen, till exempel av en webhook, Azure-funktion eller logikappåtgärder.

    De anpassade egenskaperna anges som key:value-par, antingen med statisk text, ett dynamiskt värde som extraheras från aviseringsnyttolasten eller en kombination av båda.

    Formatet för att extrahera ett dynamiskt värde från aviseringsnyttolasten är: ${<path to schema field>}. Till exempel: ${data.essentials.monitorCondition}.

    Använd formatet för det gemensamma aviseringsschemat för att ange fältet i nyttolasten, oavsett om de åtgärdsgrupper som konfigurerats för aviseringsregeln använder det gemensamma schemat eller inte.

    Kommentar

    • Det vanliga schemat skriver över anpassade konfigurationer. Du kan inte använda både anpassade egenskaper och det gemensamma schemat.
    • Anpassade egenskaper läggs till i nyttolasten för aviseringen, men de visas inte i e-postmallen eller i aviseringsinformationen i Azure-portalen.
    • Service Health-aviseringar stöder inte anpassade egenskaper.

    Skärmbild som visar avsnittet anpassade egenskaper för att skapa en ny aviseringsregel.

    I följande exempel används värden i de anpassade egenskaperna för att använda data från en nyttolast som använder det gemensamma aviseringsschemat:

    Exempel 1

    I det här exemplet skapas taggen "Ytterligare information" med data om "starttid för fönster" och "sluttid för fönstret".

    • Namn: "Ytterligare information"
    • Värde: "Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
    • Resultat: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

    Exempel 2 Det här exemplet lägger till data om orsaken till att aviseringen löss eller utlöss.

    • Namn: "Alert ${data.essentials.monitorCondition} reason"
    • Värde: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Värdet är ${data.alertContext.condition.allOf[0].metricValue}"
    • Resultat: Exempelresultat kan vara ungefär så här:
      • "Avisering löst orsak: Procentandel CPU GreaterThan5 Löst. Värdet är 3,585 tum
      • "Alert Fired reason": "Percentage CPU GreaterThan5 Fired. Värdet är 10,585 tum

Konfigurera aviseringsregeltaggar

  1. På fliken Taggar anger du eventuella taggar som krävs för resursen för aviseringsregeln.

    Skärmbild som visar fliken Taggar när du skapar en ny aviseringsregel.

Granska och skapa aviseringsregeln

  1. På fliken Granska + skapa verifieras regeln och meddelar dig om eventuella problem.

  2. När valideringen har godkänts och du har granskat inställningarna väljer du knappen Skapa.

    Skärmbild som visar fliken Granska och skapa när du skapar en ny aviseringsregel.

Nästa steg