Günlük uyarılarını kullanarak günlük uyarıları oluşturma, görüntüleme ve Azure İzleyici

Genel Bakış

Günlük uyarıları, kullanıcıların kaynak günlüklerini her ayar sıklığında değerlendirmek ve sonuçlara göre bir uyarı tetiklerken log Analytics sorgusu kullanmasına olanak sağlar. Kurallar, Eylem Gruplarını kullanarak bir veya daha fazla eylemi tetikler. Günlük uyarılarının işlevselliği ve terminolojisi hakkında daha fazla bilgi.

Bu makalede, günlük uyarılarını kullanarak günlük uyarılarını oluşturma ve yönetme Azure İzleyici. Uyarı kuralları üç bileşenle tanımlanır:

  • Hedef: İzlemek için belirli bir Azure kaynağı.
  • Ölçüt: Değerlendirme mantığı. Karşılarsanız uyarı tetikler.
  • Eylem: Bildirimler veya otomasyon : e-posta, SMS, web kancası ve diğer.

Ayrıca, ayrı bir makalede açıklanan Azure Resource Manager kullanarak günlük uyarısı kuralları oluşturabilirsiniz.

Not

Log Analytics çalışma alanında bulunan günlük verileri, ölçüm deposuna Azure İzleyici gönderebilirsiniz. Ölçüm uyarılarında farklı bir davranışvardır ve bu davranış, üzerinde çalışmakta olan verilere bağlı olarak daha iyi olabilir. Günlükleri ölçümlere ne ve nasıl yönlendirebilirsiniz hakkında bilgi için bkz. Günlükler için Ölçüm Uyarısı.

Günlük uyarısı kuralı oluşturma ve Azure portal

Uyarılar için sorgu yazmaya başlama adımları:

  1. Uyarıldırmanız için kaynağa gidin. Mümkün olduğunda bir abonelik veya kaynak grubu kapsamı seçerek birden çok kaynakta uyarı kuralları ayarlamayı göz önünde bulundurabilirsiniz. Birden çok kaynak üzerinde uyarı verme maliyetleri azaltır ve birden çok uyarı kuralını yönetme ihtiyacı vardır.

  2. İzleyici altında Günlükler' i seçin.

  3. Soruna işaret edebilecek günlük verilerini sorgulayın. Kendi sorgunuzu yazmayane bulabileceğinizi veya başladığınızı anlamak için Uyarı sorgusu örnekleri konusunu kullanabilirsiniz. İyileştirilmiş uyarı sorguları oluşturmayı öğrenin.

  4. Uyarı oluşturma akışını başlatmak için ' + yeni uyarı kuralı ' düğmesine basın.

    Log Analytics-uyarı ayarla

Not

Bir kaynak grubu veya abonelik kapsamı kullanarak birden çok kaynakta çalıştırılan Günlükler için kaynak erişim modunu kullanırken, uyarılar üzerinde uyarı oluşturmanız önerilir. Ölçekte uyarı verme kural Yönetimi ek yükünü azaltır. Kaynakları hedefleyebilir olması için lütfen sonuçlarda kaynak KIMLIĞI sütununu ekleyin. Uyarıları boyutlara göre bölme hakkında daha fazla bilgi edinin.

Log Analytics ve Application Insights için günlük uyarısı

  1. Sorgu söz dizimi doğruysa, sorgunun geçmiş verileri, son altı saatten geçen haftaya kadar grafik dönemini ince ayar seçeneği ile bir grafik olarak görüntülenir.

    Sorgu sonuçlarınız zaman sütunu olmayan özetlenmiş veriler veya projeye özel sütunlar içeriyorsa, grafik tek bir değer gösterir.

    Uyarı kuralını Yapılandır

  2. Belirtilen koşulun değerlendirecek zaman aralığını, period seçeneğini kullanarak seçin.

  3. Günlük uyarıları, iki Ölçütürüne göre olabilir:

    1. Sonuç sayısı -sorgu tarafından döndürülen kayıt sayısı.
    2. Ölçüm ölçümü - Seçilen ifade ve bin () seçimine göre gruplanmış özetleme kullanılarak hesaplanan Toplam değer . Örnek:
    // Reported errors
    union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records
    | where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records
    or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records
    | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
    
  4. Ölçüm ölçümleri uyarı mantığı için, isteğe bağlı olarak, toplama seçeneğini kullanarak uyarıların boyutlara göre nasıl bölüneceği belirtebilirsiniz. Satır gruplandırma ifadesi benzersiz olmalı ve sıralanmalıdır.

    Not

    As bin () , düzensiz zaman aralıklarına yol açabilir. Uyarı hizmeti, bin () işlevini otomatik olarak bin_at () işlevine, çalışma zamanında, sabit bir nokta ile sonuçları sağlamak üzere dönüştürür.

    Not

    Uyarı boyutlarına göre bölme yalnızca geçerli scheduledQueryRules API'si için kullanılabilir. Eski Log Analytics Uyarı API'sini kullanıyorsanızgeçiş gerekir. değiştirme hakkında daha fazla bilgi. Büyük ölçekte kaynak merkezli uyarılar yalnızca API sürümünde ve üzerinde 2020-05-01-preview de desteklemektedir.

    toplama on seçeneği

  5. Ardından, önizleme verilerine bağlı olarak İşleç, Eşik Değerive Sıklık değerini ayarlayın.

  6. İsterseniz Toplam veya Ardışık İhlaller kullanarak uyarı tetiklemek için ihlal sayısını da ayarlayabiliyoruz.

  7. Bitti seçeneğini belirleyin.

  8. Uyarı kuralı adını, Açıklama'yi tanımlayın ve önem derecesine göre uyarıyı seçin. Bu ayrıntılar tüm uyarı eylemlerde kullanılır. Ayrıca, oluşturma sırasında Kuralı etkinleştir'i seçerek uyarı kuralını etkinleştirmeyi seçebilirsiniz.

  9. Uyarı tetiklendikten sonra kural eylemlerini bir süre gizlemeyi seçin, Uyarıları Bastır seçeneğini kullanın. Kural yine de çalıştıracak ve uyarılar oluşturacak ancak gürültüyü önlemek için eylemler tetiklenmayacak. Sessiz kapatma eylemleri değerinin etkili olması için uyarı sıklığından büyük olması gerekir.

    Günlük Uyarıları için Uyarıları Gizleme

  10. Uyarı koşulu karşılendiğinde uyarı kuralının bir veya daha fazla Eylem Grubu tetiklemesi gerektiğini belirtin.

    Not

    Gerçekleştirilecek eylemlerle ilgili sınırlar için Azure aboneliği hizmet sınırlarına bakın.

  11. İsteğe bağlı olarak günlük uyarısı kurallarında eylemleri özelleştirebilirsiniz:

    • Özel E-posta Konusu: E-posta eylemlerinin e-posta konusunu geçersiz kılar. Postanın gövdesini değiştiremezsiniz ve bu alan e-posta adresleri için değil.
    • Özel Json yükü dahil edin: Eylem grubunun bir web kancası eylemi içerdiğini varsayarak Eylem Grupları tarafından kullanılan web kancası JSON'ını geçersiz kılar. Günlük uyarıları için Web kancası eylemihakkında daha fazla bilgi edinin.

    Günlük uyarıları için eylem geçersiz kılmaları

  12. Tüm alanlar doğru ayarlandıysa, Uyarı kuralı oluştur düğmesine tıklanmış olabilir ve bir uyarı oluşturulur.

    Birkaç dakika içinde, uyarı etkin ve daha önce açıklandığı gibi tetikler.

    Kural oluşturma

Uyarı yönetiminden Log Analytics ve Application Insights için günlük uyarısı oluşturma

Not

Uyarı yönetiminden oluşturma işlemi şu anda kaynak merkezli günlüklerde desteklenmez

  1. Portalda İzle ' yi ve ardından Uyarılar' ı seçin.

    İzleme

  2. Yeni uyarı kuralı' nı seçin.

    Uyarı Ekle

  3. Uyarı oluştur bölmesi görüntülenir. Dört bölümden oluşur:

    • Uyarının uygulandığı kaynak.
    • Denetlenecek koşul.
    • Koşul doğru ise gerçekleştirilecek eylemler.
    • Uyarının adı ve açıklaması hakkında ayrıntılar.

    Kural Oluştur

  4. Kaynak Seç düğmesine basın. Abonelik, kaynak türü seçerek ve bir kaynak seçerek filtre uygulayın. Kaynağın kullanılabilir günlüklere sahip olduğundan emin olun.

    Kaynak seçme

  5. Ardından Koşul Ekle düğmesini kullanarak kaynak için kullanılabilir sinyal seçeneklerinin listesini görüntüebilirsiniz. Özel günlük araması seçeneğini belirleyin.

    Kaynak seçme - özel günlük araması

    Not

    Uyarılar portalı, Log Analytics'e ve Application Insights sorgular listeler ve şablon uyarı sorguları olarak kullanılabilir.

  6. Seçildikten sonra Arama Sorgusu alanında uyarı sorgusunu yazın, yapıştırın veya düzenleyin.

  7. Son bölümünde açıklanan sonraki adımlara devam edin.

Diğer tüm kaynak türleri için günlük uyarısı

Not

Şu anda API sürümü ve kaynak merkezli günlük 2020-05-01-preview uyarıları için ek ücret yoktur. Önizlemede olan özelliklerin fiyatlandırması gelecekte duyurulacak ve faturalama öncesinde bir bildirim sağlanacaktır. Bildirim döneminden sonra yeni API sürümünü ve kaynak merkezli günlük uyarılarını kullanmaya devam etmek seçerseniz, geçerli fiyattan faturalandırabilirsiniz.

  1. Koşul sekmesinden başlama:

    1. Ölçü, Toplama türü ve Toplama tanecikliği'nin doğru olup olmadığını denetleyin.

      1. Varsayılan olarak, kural son 5 dakika içinde eldeki sonuç sayısını sayar.
      2. Özetlenmiş sorgu sonuçlarını algılarsanız, kural bunu yakalamak için birkaç saniye içinde otomatik olarak güncelleştirilir.
    2. Gerekirse, boyuta göre uyarı bölmeyiseçin:

      • Algılanan kaynak kimliği sütunu otomatik olarak seçilir ve tetiklenmiş uyarının bağlamını kaydın kaynağı olarak değiştirir.
      • Abonelik veya kaynak gruplarında uyarıları tetiklerken Kaynak Kimliği sütunu seçilebilir. Sorgu sonuçları çapraz kaynaklara dayalı olduğunda seçimin geri almak yararlı olur. Örneğin, kaynak grubunun sanal makinelerinin %80'inin yüksek CPU kullanımıyla karşılaşarak karşılaşılanı kontrol etmek için bir sorgu.
      • Boyutlar tablosu kullanılarak herhangi bir sayı veya metin sütunu türü için en fazla altıya kadar ek de seçilebilir.
      • Uyarılar, benzersiz kombinasyonlara ve uyarı yüküne göre bölünme göre ayrı olarak tetiklenir ve bu bilgileri içerir.

      Toplama parametrelerini seçin ve bölme

    3. Önizleme grafiği zaman içinde sorgu değerlendirmeleri sonuçlarını gösterir. Grafik dönemini değiştirebilir veya boyutlara göre bölerek benzersiz uyarıdan kaynaklanan farklı zaman serisini seçebilirsiniz.

      Önizleme grafiği

    4. Ardından, önizleme verilerine göre Uyarı mantığını ayarlayın; İşleç, eşik değerive Sıklık.

      Eşik ve uyarı mantığı içeren Önizleme grafiği

    5. İsteğe bağlı olarak , uyarıyı tetiklemek için, Gelişmiş Seçenekler bölümünde ihlal sayısı ayarlayabilirsiniz.

      Gelişmiş seçenekler

  2. Eylemler sekmesinde, gerekli eylem gruplarınıseçin veya oluşturun.

    Eylemler sekmesi

  3. Ayrıntılar sekmesinde, Uyarı kuralı ayrıntılarını ve proje ayrıntılarını tanımlayın. İsteğe bağlı olarak, Şimdi çalıştırmayı başlatma veya uyarı kuralı başladıktan sonra bir süre Için Eylemler sesini kapatma seçeneğini belirleyebilirsiniz.

    Not

    Günlük uyarı kuralları şu anda durum bilgisiz değildir ve bir uyarı her oluşturulduğunda bir uyarı oluşmadığında bir eylem harekete geçirilir.

    Ayrıntılar sekmesi

  4. Etiketler sekmesinde, uyarı kuralı kaynağında gerekli etiketleri ayarlayın.

    Etiketler sekmesi

  5. Gözden geçir + oluştur sekmelerinde, bir doğrulama çalışır ve herhangi bir sorunu bilgilendirecektir. Kural tanımını gözden geçirin ve onaylayın.

  6. Tüm alanlar doğruysa, Oluştur düğmesini seçin ve uyarı kuralı oluşturma ' yı doldurun. Tüm uyarılar, uyarı yönetiminden viewed olabilir.

    Gözden geçirme ve oluşturma sekmesi

Günlük & yönetme ve yönetme hakkında bilgi Azure portal

  1. Portaldailgili kaynağı veya İzleyici hizmetini seçin. Ardından İzleyici bölümünde Uyarılar'ı seçin.

  2. Uyarı yönetimi tetiklenmiş tüm uyarıları görüntüler. Uyarı yönetimi hakkında daha fazla bilgi.

    Not

    Günlük uyarısı kuralları şu anda durum bilgisizdir ve çözümlemezse.

  3. Kuralları düzenlemek için üst çubukta Uyarı kurallarını yönet düğmesini seçin:

     uyarı kurallarını yönetme

PowerShell kullanarak günlük uyarılarını yönetme

Not

Bu makale Azure Az PowerShell modülünü kullanacak şekilde güncelleştirilmiştir. Az PowerShell modülü, Azure ile etkileşim kurmak için önerilen PowerShell modülüdür. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Not

PowerShell şu anda API sürümünde desteklenmiyor 2020-05-01-preview

Aşağıda listelenen PowerShell cmdlet'leri, Zamanlanmış Sorgu Kuralları API'si ile kuralları yönetmek için kullanılabilir.

Not

ScheduledQueryRules PowerShell cmdlet 'leri, yalnızca geçerli Zamanlanmış sorgu KURALLARı API'sinde oluşturulan kuralları yönetebilir. Eski Log Analytics uyarı API 'si kullanılarak oluşturulan günlük uyarı kuralları yalnızca, ZAMANLANMıŞ sorgu kuralları API 'sine geçildiğindePowerShell kullanılarak yönetilebilir.

PowerShell kullanarak bir günlük uyarı kuralı oluşturmak için örnek adımlar aşağıda verilmiştir:

$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"

$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30

$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"

$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger

$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"

$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition

New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"

PowerShell kullanarak, çapraz kaynak sorgularıyla bir günlük uyarı kuralı oluşturmaya yönelik örnek adımlar aşağıda verilmiştir:

$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")

$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized

$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30

$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"

$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger

$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"

$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name" 

Ayrıca, PowerShell kullanarak bir şablon ve parametreler dosyası kullanarak günlük uyarısı oluşturabilirsiniz:

Connect-AzAccount

Select-AzSubscription -SubscriptionName <yourSubscriptionName>

New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
  -TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json

CLı kullanarak günlük uyarılarını yönetme

Not

Azure CLı desteği yalnızca scheduledQueryRules API sürümü ve üzeri için kullanılabilir 2020-05-01-preview . Sanal API sürümü, aşağıda açıklandığı gibi şablonlarla Azure Resource Manager CLı kullanabilir. Eski Log Analytics uyarı API'sini KULLANıYORSANıZ, CLI kullan ' a geçmeniz gerekir. değiştirme hakkında daha fazla bilgi.

Önceki bölümlerde günlük uyarısı kurallarını kullanarak günlük uyarısı kurallarını oluşturma, görüntüleme ve yönetme Azure portal. Bu bölümde, platformlar arası Azure CLI kullanarak aynı şeyi nasıl yapacakları açıklanacak. Azure CLI'ı kullanmaya başlamanın en hızlı yoluAzure Cloud Shell. Bu makalede, Cloud Shell.

  1. Azure portal'a gidin ve Cloud Shell.

  2. komut isteminde komutu ve nasıl --help kullanıla hakkında daha fazla bilgi edinmek için seçeneğiyle komutları kullanabilirsiniz. Örneğin, aşağıdaki komut size günlük uyarılarını oluşturmak, görüntülemek ve yönetmek için kullanılabilen komutların listesini gösterir:

    az monitor scheduled-query --help
    
  3. Sistem olayı hatalarının sayısını izleyen bir günlük uyarısı kuralı oluşturabilirsiniz:

    az monitor scheduled-query create -g {ResourceGroup} -n {nameofthealert} --scopes {vm_id} --condition "count \'union Event, Syslog | where TimeGenerated > ago(1h) | where EventLevelName == \"Error\" or SeverityLevel== \"err\"\' > 2" --description {descriptionofthealert}
    
  4. Aşağıdaki komutu kullanarak bir kaynak grubunda tüm günlük uyarılarını görüntüebilirsiniz:

    az monitor scheduled-query list -g {ResourceGroup}
    
  5. Kuralın adını veya kaynak kimliğini kullanarak belirli bir günlük uyarısı kuralının ayrıntılarını görebilir:

    az monitor scheduled-query show -g {ResourceGroup} -n {AlertRuleName}
    
    az monitor scheduled-query show --ids {RuleResourceId}
    
  6. Aşağıdaki komutu kullanarak günlük uyarısı kuralını devre dışı abilirsiniz:

    az monitor scheduled-query update -g {ResourceGroup} -n {AlertRuleName} --enabled false
    
  7. Aşağıdaki komutu kullanarak günlük uyarısı kuralını silebilirsiniz:

    az monitor scheduled-query delete -g {ResourceGroup} -n {AlertRuleName}
    

Şablon dosyalarıyla Azure Resource Manager CLI'sini de kullanabilirsiniz:

az login

az deployment group create \
    --name AlertDeployment \
    --resource-group ResourceGroupofTargetResource \
    --template-file mylogalerttemplate.json \
    --parameters @mylogalerttemplate.parameters.json

Oluşturma başarılı oldu, 201 döndürülür. Güncelleştirme başarılı oldu, 200 döndürülür.

Sonraki adımlar