Günlük uyarıları Azure İzleyici

  • Makale
  • Okumak için 9 dakika

Genel Bakış

Günlük uyarıları, Azure Uyarıları'da desteklenen uyarı türlerindendir. Günlük uyarıları, kullanıcıların her ayar sıklığında kaynak günlüklerini değerlendirmek ve sonuçlara göre bir uyarı tetiklerken Log Analytics sorgusu kullanmasına olanak sağlar. Kurallar, Eylem Gruplarını kullanarak bir veya daha fazla eylemi tetikler.

Not

Log Analytics çalışma alanında bulunan günlük verileri, ölçüm deposuna Azure İzleyici gönderebilirsiniz. Ölçüm uyarılarında farklı bir davranışvardır ve bu davranış, üzerinde çalışmakta olan verilere bağlı olarak daha iyi olabilir. Günlükleri ölçümlere ne ve nasıl yönlendirebilirsiniz hakkında bilgi için bkz. Günlükler için Ölçüm Uyarısı.

Önkoşullar

Günlük uyarıları Log Analytics verileri üzerinde sorgular çalıştırıyor. İlk olarak günlük verilerini toplamaya başlamanız ve günlük verilerini sorgulayarak sorunlarınız olması gerekir. Log Analytics'te uyarı sorgusu örnekleri makalelerini kullanarak kendi sorgunuzla ilgili neler keşfedebilirsiniz veya yazmaya başabilirsiniz.

Azure İzleme Katkıda Bulunanı, günlük uyarılarını oluşturmak, değiştirmek ve güncelleştirmek için gereken yaygın bir roldir. Kaynak & için sorgu yürütme haklarına erişim de gereklidir. Kaynak günlüklerine kısmi erişim sorguları başarısız olabilir veya kısmi sonuçlar oluşturabilir. Azure'da günlük uyarılarını yapılandırma hakkında daha fazla bilgi edinin.

Not

Eski Log Analytics Uyarı API'si kullanılarak yönetiliyor olan Log Analytics için günlük uyarıları. Geçerli ScheduledQueryRules API'sini kullanma hakkında daha fazla bilgi edinin.

Sorgu değerlendirme tanımı

Günlük araması kuralları koşul tanımı şu şekilde başlar:

  • Hangi sorgu çalıştıracak?
  • Sonuçları nasıl kullanabilirim?

Aşağıdaki bölümlerde yukarıdaki mantığı ayarlamak için kullanabileceğiniz farklı parametreler açıklanmaktadır.

Günlük sorgusu

Kuralı değerlendirmek için kullanılan Log Analytics sorgusu. Bu sorgu tarafından döndürülen sonuçlar, bir uyarının tetiklenir olup olmadığını belirlemek için kullanılır. Sorgunun kapsamı şu şekilde olabilir:

  • Sanal makine gibi belirli bir kaynak.
  • Abonelik veya kaynak grubu gibi ölçekli bir kaynak.
  • Çapraz kaynak sorgusu kullanan birden çok kaynak.

Önemli

Uyarı sorgularının, en iyi performansı ve sonuçların ilgi düzeyini sağlamak için kısıtlamaları vardır. Burada daha fazla bilgi edinebilirsiniz.

Önemli

Kaynak merkezli ve kaynaklar arası sorgu yalnızca geçerli scheduledQueryRules API'si kullanılarak de kullanılabilir. Eski Log Analytics Uyarı API'sini kullanıyorsanızgeçişe geçmeniz gerekir. Geçiş hakkında daha fazla bilgi

Sorgu zaman aralığı

Zaman aralığı kural koşulu tanımında ayarlanır. Çalışma alanlarında ve Uygulama Analizler Period olarak adlandırılan bir uygulamadır. Diğer tüm kaynak türlerinde sorgu zaman aralığını geçersiz kıl olarak adlandırılan bu değerdir.

Log Analytics'te olduğu gibi, zaman aralığı sorgu verilerini belirtilen aralıkla sınırlar. Sorguda önce komutu kullanılmış olsa bile zaman aralığı geçerli olur.

Örneğin, bir sorgu, metin ago(1d) içeriyor olsa bile zaman aralığı 60 dakika olduğunda 60 dakikayı tarar. Zaman aralığı ve sorgu süresi filtrelemenin eşleşmesi gerekir. Örnek örnekte, Dönem Geçersiz Kılma sorgu zaman aralığını bir / gün olarak değiştirmek beklendiği gibi çalışır.

Measure

Günlük uyarıları, günlüğü değerlendirilecek sayısal değerlere çevirir. İki farklı şeyi ölçebilir:

Sonuç tablosu satırlarının sayısı

Varsayılan ölçü, sonuç sayısıdır. Olay günlükleri, syslog ve Windows gibi olaylarla çalışmak için idealdir. Günlük kayıtları olduğunda veya değerlendirilen zaman penceresinde bu durum yaşanmazsa tetiklenir.

Günlük uyarıları, günlükte verileri algılamaya çalışmanız için en iyi şekilde çalışır. Günlüklerde veri eksikliğini algılamaya çalışabilirsiniz. Örneğin, sanal makine sinyaliyle ilgili uyarılar.

Çalışma alanları ve Uygulama Analizler, Sonuç sayısı seçimine göre çağrılır. Diğer tüm kaynak türlerinde Tablo satırları seçimiyle Ölçü olarak da adlandırılan bu kaynaktır.

Not

Günlükler yarı yapılandırılmış veriler olduğu için, doğal olarak ölçümden daha gizlidir, günlüklerde veri eksikliğini algılamaya çalışırken yanlış tetikler ile karşı karşınız olabilir ve ölçüm uyarılarını kullanmayı göz önünde bulundurabilirsiniz. Günlükler için ölçüm uyarılarını kullanarak günlüklerden ölçüm deposuna veri gönderebilirsiniz.

Sonuç tablosu satır sayısı kullanım örneği

Uygulamanın 500 (İç Sunucu Hatası) hata koduyla yanıt verme zamanını bilmek istersiniz. Aşağıdaki ayrıntıları kullanarak bir uyarı kuralı oluşturabilirsiniz:

  • Sorgu:
requests
| where resultCode == "500"
  • Zaman dönemi/Toplama tanecikliği: 15 dakika
  • Uyarı sıklığı: 15 dakika
  • Eşik değeri: 0'dan büyük

Ardından uyarı kuralları, 500 hata koduyla biten istekleri izler. Sorgu, son 15 dakikada bir 15 dakikada bir çalışır. Bir kayıt bulunsa bile uyarıyı tetikler ve yapılandırılan eylemleri tetikler.

Sayısal sütuna göre ölçü hesaplaması (CPU sayacı değeri gibi)

Çalışma alanları ve Uygulama Analizler için Ölçüm ölçümü seçimine göre çağrılır. Diğer tüm kaynak türlerinde, herhangi bir sayı sütun adı seçimiyle Ölçü olarak adlandırılan bu kaynaktır.

Toplama türü

Birden çok kayıtta, bunları bir sayısal değere toplamak için yapılan hesaplama. Örnek:

Çalışma alanlarında ve Uygulama Analizler, yalnızca Ölçüm ölçümü ölçü türünde de kullanılabilir. Sorgu sonucu, kullanıcı tanımlı bir toplamadan sonra sayısal değer sağlayan AggregatedValue adlı bir sütun içermesi gerekir. Diğer tüm kaynak türlerinde, bu adın alanından Toplama türü seçilir.

Toplama tanecikliği

Birden çok kaydı bir sayısal değere toplamak için kullanılan aralığı belirler. Örneğin, 5 dakika belirttiysanız kayıtlar, belirtilen Toplama türü kullanılarak 5 dakikalık aralıklara göre gruplama yapılır.

Çalışma alanlarında ve Uygulama Analizler, yalnızca Ölçüm ölçümü ölçü türünde de kullanılabilir. Sorgu sonucu, sorgu sonuçlarında aralığı ayaran bin() içermesi gerekir. Diğer tüm kaynak türlerinde, bu ayarı kontrol eden alan Toplama tanecikliği olarak adlandırılan alandır.

Not

bin() düzensiz zaman aralıkları ile sonuçlansa da uyarı hizmeti, sonuçları sabit bir noktayla sağlamak için bin() işlevini çalışma zamanında uygun zamanda bin_at() işlevine otomatik olarak dönüştürür.

Uyarı boyutlarına göre bölme

Uyarıları sayıya veya dize sütunlarına göre benzersiz birleşimler halinde gruplara ayırarak ayrı uyarılara bölün. Büyük ölçekte kaynak odaklı uyarılar oluştururken (abonelik veya kaynak grubu kapsamı), Azure kaynak kimliği sütununa göre bölebilirsiniz. Azure kaynak kimliği sütununa bölmek, uyarının hedefini belirtilen kaynakla değiştirir.

Birden çok Azure kaynağında aynı koşulu izlemek istediğinizde Azure kaynak kimliği sütununa göre bölmeniz önerilir. Örneğin, tüm sanal makineleri %80'in üzerinde CPU kullanımı için izleme. Ayrıca, kapsamda birden çok kaynakta bir koşula sahip olmak istediğinizde bölmeye karar veebilirsiniz. Kaynak grubu kapsamındaki en az beş makinede CPU kullanımının %80'in üzerinde olduğu izleme gibi.

Çalışma alanlarında ve Uygulama Analizler, yalnızca Ölçüm ölçümü ölçü türünde de kullanılabilir. alanı Üzerinde Toplama olarak adlandırılan bir alandır. Üç sütunla sınırlıdır. Sorguda sütuna göre üçten fazla grup olması beklenmeyen sonuçlara neden olabilir. Diğer tüm kaynak türlerinde koşulun Boyutlara göre böl bölümünde yapılandırılır (altı bölmeyle sınırlıdır).

Uyarı boyutlarına göre bölme örneği

Örneğin, belirli bir kaynak grubunda web sitenizi/uygulamanızı çalıştıran birden çok sanal makineye yönelik hataları izlemek istiyorsanız. Bunu günlük uyarısı kuralı kullanarak aşağıdaki gibi yapabilirsiniz:

  • Sorgu:

    // Reported errors
union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records
| where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records
or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records

    Çalışma alanları ve Uygulama Analizler Ölçüm ölçümü uyarı mantığıyla birlikte kullanılırken, bu satırın sorgu metnine eklenmiş olması gerekir:

    | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)

  • Kaynak Kimliği Sütunu: _ResourceId (Uyarı kurallarında kaynak kimliği sütununa göre bölme şu anda yalnızca abonelikler ve kaynak grupları için kullanılabilir)

  • Boyutlar / Şu şekilde toplanmış:

    • Bilgisayar = VM1, VM2 (Uyarı kuralları tanımında değerleri filtreleme şu anda çalışma alanları ve Uygulama Kuralları için Analizler. Sorgu metninde filtrele.)

  • Zaman dönemi/Toplama tanecikliği: 15 dakika

  • Uyarı sıklığı: 15 dakika

  • Eşik değeri: 0'dan büyük

Bu kural, son 15 dakika içinde herhangi bir sanal makinenin hata olayları olup olduğunu izler. Her sanal makine ayrı olarak izlenir ve eylemleri tek tek tetikler.

Not

Uyarı boyutlarına göre bölme yalnızca geçerli scheduledQueryRules API'si için kullanılabilir. Eski Log Analytics Uyarı API'sini kullanıyorsanızgeçiş gerekir. değiştirme hakkında daha fazla bilgi. Büyük ölçekte kaynak merkezli uyarılar yalnızca API sürümünde ve üzerinde 2020-08-01 de desteklemektedir.

Uyarı mantığı tanımı

Çalıştıracak sorguyu tanımlayarak sonuçları değerlendirmenin ardından uyarı mantığını ve eylemlerini ne zaman tetikleyebilirsiniz? Aşağıdaki bölümlerde kullanabileceğiniz farklı parametreler açıklanmaktadır:

Eşik ve işleç

Sorgu sonuçları, eşik ve işleçle karşılaştırıldığında bir sayıya dönüşür.

Sıklık

Not

Şu anda 1 dakikalık sıklık günlük uyarıları önizlemesi için ek ücret yoktur. Önizlemede olan özelliklerin fiyatlandırması gelecekte duyurulacak ve faturalama öncesinde bir bildirim sağlanacaktır. Bildirim döneminden sonra 1 dakikalık sıklık günlüğü uyarılarını kullanmaya devam etmek seçerseniz, geçerli fiyatla faturalandırın.

Sorgunun çalıştır olduğu aralık. Bir dakika ile bir gün olarak ayarlanmış olabilir. Günlük kayıtlarını kaçırmama için sorgu zaman aralığına eşit veya daha küçük bir değere sahip olması gerekir.

Örneğin, zaman aralığı olarak 30 dakika ve sıklık olarak 1 saat olarak ayarlayın. Sorgu 00:00'da çalıştır olursa 23:30 ile 00:00 arasında kayıtlar döndürür. Sorgunun bir sonraki çalıştırması 01:00'dır ve 00:30 ile 01:00 arasında kayıtlar döner. 00:00 ile 00:30 arasında oluşturulan tüm kayıtlar hiçbir zaman değerlendirilmez.

Uyarı tetiklemek için ihlal sayısı

Uyarı değerlendirme dönemini ve uyarıyı tetiklemek için gereken hata sayısını belirtsiniz. Uyarı tetiklemek için bir etki süresi daha iyi tanımlamanıza olanak.

Örneğin, kuralınız Toplama tanecikliği '5 dakika' olarak tanımlanmışsa, yalnızca son bir saat içinde üç hata (15 dakika) oluştu ise bir uyarı tetiklersiniz. Bu ayar, uygulama iş ilkeniz tarafından tanımlanır.

Uyarıları durum ve çözümleme

Günlük uyarıları durum bilgisiz veya durum bilgili olabilir (şu anda önizlemede).

Durum bilgisiz uyarılar, daha önce tetiklenmiş olsa bile koşul karşı her karşısinda tetikler. Uyarı örneği çözümlendiktan sonra uyarıyı kapalı olarak işaretlenir. Bir uyarı kuralı tetiklendikten sonra bir süre tetiklenen eylemleri engellemek için de sessize kapatabilirsiniz. Log Analytics Çalışma Alanları ve Uygulama Analizler uyarıları gizleme olarak adlandırılan bir uygulamadır. Diğer tüm kaynak türlerinde Bu, Sessiz Eylemler olarak da adlandırılan bir işlemdir.

Durum bilgisiz uyarı değerlendirme örneğine bakın:

Saat Günlük koşulu değerlendirmesi Sonuç
00:05 FALSE Uyarı tetiklen değil. Hiçbir eylem çağrılmaz.
00:10 TRUE Uyarı tetikler ve adlı eylem grupları. Yeni uyarı durumu ACTIVE.
00:15 TRUE Uyarı tetikler ve adlı eylem grupları. Yeni uyarı durumu ACTIVE.
00:20 FALSE Uyarı tetiklen değil. Hiçbir eylem çağrılmaz. Etkin uyarılar durumu ETKIN olarak kalır.

Durum bilgili uyarılar olay başına bir kez tetikler ve çözümler. Uyarı kuralı, uyarı koşulu belirli bir değerlendirme süresi boyunca (günlük alımı gecikmesini hesaba kavuşturmek için) 30 dakika boyunca karşılamama durumunda ve tıkanıklık durumunda gürültüyü azaltmak için arka arkaya üç değerlendirme için çözüme sahiptir. Örneğin, 5 dakikalık bir sıklık ile, uyarı 40 dakika sonra veya 1 dakikalık bir sıklıkta çözümledikten sonra uyarı 32 dakika sonra çözümler. Çözümlenen bildirim web kancaları veya e-posta yoluyla gönderilir, uyarı örneğinin durumu (izleme durumu olarak da denir) Azure portal olarak ayarlanır.

Durum bilgisi olan uyarılar özelliği şu anda Azure genel bulut üzerinde önizlemededir. Uyarı ayrıntıları bölümündeki Uyarıları otomatik olarak çözümle'ye tıklayın.

Günlük uyarılarında konum seçimi

Günlük uyarıları, uyarı kuralları için bir konum ayarlamaya olanak sağlar. Log Analytics Çalışma Alanları'nın kural konumu çalışma alanı konumuyla eşleşmeli. Diğer tüm kaynaklarda, Log Analytics tarafından desteklenen bölge listesiyle uyumlu olan desteklenen konumlardan herhangi birini seçebilirsiniz.

Konum, uyarı kuralının hangi bölgede değerlendirilyeceğini etkiler. Sorgular, seçilen bölgedeki günlük verileri üzerinde yürütülür ve uyarı hizmetinin bitişi küreseldir. Yani uyarı kuralı tanımı, tetiklenmiş uyarılar, bildirimler ve eylemler uyarı kuralında konuma bağlı değildir. Uyarılar hizmeti bölgesel olmayan bir hizmet Azure İzleyici veri küme bölgesinden aktarıldı.

Günlük uyarılarının fiyatlandırması ve faturalaması

Fiyatlandırma bilgileri fiyatlandırma sayfasında Azure İzleyici bulunur. Günlük Uyarıları kaynak sağlayıcısı altında şu şekilde microsoft.insights/scheduledqueryrules listelenir:

  • Uygulama Günlüğü Uyarıları Analizler kaynak grubu ve uyarı özellikleriyle birlikte tam kaynak adıyla gösterilir.
  • Kaynak grubu ve uyarı özellikleriyle birlikte tam kaynak adıyla gösterilen Log Analytics'de Günlük Uyarıları; scheduledQueryRules API'si kullanılarak oluşturulduğunda.
  • Eski Log Analytics API'lerinden oluşturulan günlük uyarıları Azure Kaynaklarını izlemez ve benzersiz kaynak adlarını zorlamaz. Bu uyarılar, üzerinde bu kaynak microsoft.insights/scheduledqueryrules adlandırma yapısına sahip gizli kaynaklar olarak oluşturulmaya devam <WorkspaceName>|<savedSearchId>|<scheduleId>|<ActionId> ediyor. Eski API'de Günlük Uyarıları, kaynak grubu ve uyarı özellikleriyle birlikte yukarıda gizli kaynak adıyla gösterilir.

Not

Gibi desteklenmeyen kaynak karakterleri gizli kaynak adlarında ile <, >, %, &, \, ?, / değiştirilir ve bu durum faturalama _ bilgilerine de yansır.

Not

Eski Log Analytics Uyarı API'si ve Log Analytics kayıtlı arama ve uyarılarının eski şablonları kullanılarak yönetiliyor olan Log Analytics için günlük uyarıları. Geçerli ScheduledQueryRules API'sini kullanma hakkında daha fazla bilgi edinin. Geçiş yapma kararı alınana ve gizli kaynakları kullanaıncaya kadar herhangi bir uyarı kuralı yönetiminin eski Log Analytics API'si kullanılarak yapılması gerekir.

Sonraki adımlar