Vytvoření nebo úprava pravidla upozornění prohledávání protokolu

V tomto článku se dozvíte, jak vytvořit nové pravidlo upozornění nebo upravit existující pravidlo upozornění pro prohledávání protokolů ve službě Azure Monitor. Další informace o výstrahách najdete v přehledu výstrah.

Pravidlo upozornění vytvoříte tak, že zkombinujete prostředky, které se mají monitorovat, data monitorování z prostředku a podmínky, které chcete aktivovat. Potom můžete definovat skupiny akcí a pravidla zpracování výstrah a určit, co se stane při aktivaci výstrahy.

Výstrahy aktivované těmito pravidly upozornění obsahují datovou část, která používá společné schéma upozornění.

Přístup k průvodci pravidlem upozornění na webu Azure Portal

Existuje několik způsobů, jak vytvořit nebo upravit pravidlo upozornění.

Vytvoření nebo úprava pravidla upozornění na domovské stránce portálu

1. Na webu Azure Portal vyberte Monitorovat.
2. V levém podokně vyberte Výstrahy.
3. Vyberte + Vytvořit>pravidlo upozornění.

Vytvoření nebo úprava pravidla upozornění z konkrétního prostředku

1. Na webu Azure Portal přejděte k prostředku.
2. V levém podokně vyberte Výstrahy.
3. Vyberte + Vytvořit>pravidlo upozornění.

Úprava existujícího pravidla upozornění

1. Na webu Azure Portal vyberte z domovské stránky nebo z konkrétního prostředku upozornění v levém podokně.

2. Vyberte pravidla upozornění.

3. Vyberte pravidlo upozornění, které chcete upravit, a pak vyberte Upravit.

   

4. Pokud chcete upravit nastavení, vyberte některou z karet pravidla upozornění.

Konfigurace oboru pravidla upozornění

1. V podokně Vybrat prostředek nastavte obor pravidla upozornění. Můžete filtrovat podle předplatného, typu prostředku nebo umístění prostředku.

   

2. Vyberte Použít.

Konfigurace podmínek pravidla upozornění

1. Když na kartě Podmínka vyberete pole Název signálu, vyberte Vlastní prohledávání protokolu. Nebo vyberte Zobrazit všechny signály , pokud chcete pro podmínku zvolit jiný signál.

2. (Volitelné) Pokud jste vybrali možnost Zobrazit všechny signály v předchozím kroku, použijte podokno Vybrat signál a vyhledejte název signálu nebo vyfiltrujte seznam signálů. Filtrovat podle:

   • Typ signálu: Vyberte prohledávání protokolu.
   • Zdroj signálu: Služba, která odesílá signály vlastního prohledávání protokolu a protokolu (uložený dotaz). Vyberte název signálu a pak vyberte Použít.

3. V podokně Protokoly napište dotaz, který vrátí události protokolu, pro které chcete vytvořit výstrahu. Pokud chcete použít některý z předdefinovaných dotazů na pravidlo upozornění, rozbalte podokno Schéma a filtr vedle podokna Protokoly . Pak vyberte kartu Dotazy a vyberte jeden z dotazů.

   Mějte na paměti tato omezení pro dotazy pravidel upozornění prohledávání protokolu:

   • Dotazy pravidla prohledávání protokolu nepodporují bag_unpack(), pivot()a narrow().
   • Dotazy na pravidla upozornění prohledávání protokolu podporují pouze dotazy ago() s časovými literály .
   • AggregatedValue je vyhrazené slovo. V dotazu na pravidla upozornění prohledávání protokolu ho nemůžete použít.
   • Kombinovaná velikost všech dat ve vlastnostech pravidel upozornění prohledávání protokolu nesmí překročit 64 kB.

   

4. (Volitelné) Pokud dotazujete Azure Data Explorer nebo cluster Azure Resource Graph, pracovní prostor služby Log Analytics nemůže automaticky identifikovat sloupec s časovým razítkem události. Do dotazu doporučujeme přidat filtr časového rozsahu. Příklad:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Ukázkové dotazy na upozornění prohledávání protokolů jsou k dispozici pro Azure Data Explorer a Resource Graph.

   Dotazy napříč službami se nepodporují v cloudech státní správy. Další informace o omezeních najdete v tématu Omezení dotazů mezi službami a kombinování tabulek Azure Resource Graph s pracovním prostorem služby Log Analytics.

5. Výběrem možnosti Spustit spustíte výstrahu.

6. V části Náhled se zobrazí výsledky dotazu. Po dokončení úprav dotazu vyberte Pokračovat v upozornění na úpravy.

7. Otevře se karta Podmínka a naplní se dotazem protokolu. Ve výchozím nastavení pravidlo spočítá počet výsledků za posledních pět minut. Pokud systém zjistí souhrnné výsledky dotazu, pravidlo se automaticky aktualizuje o dané informace.

8. V části Měření vyberte hodnoty pro tato pole:

   Pole	Popis
   Měřit	Upozornění prohledávání protokolů můžou měřit dvě věci, které můžete použít pro různé scénáře monitorování: Řádky tabulky: Počet vrácených řádků můžete použít k práci s událostmi, jako jsou protokoly událostí Systému Windows, Syslog a výjimky aplikací. Výpočet číselného sloupce: Výpočty založené na libovolném číselném sloupci můžete použít k zahrnutí libovolného počtu prostředků. Příkladem je procento procesoru.
   Typ agregace	Výpočet provedený u více záznamů, aby je agregoval do jedné číselné hodnoty pomocí členitosti agregace. Mezi příklady patří celkový součet, průměr, minimum a maximum.
   Členitost agregace	Interval agregace více záznamů na jednu číselnou hodnotu.

   

9. (Volitelné) V části Rozdělení podle dimenzí můžete pomocí dimenzí poskytnout kontext aktivované výstrahy.

   Dimenze jsou sloupce z výsledků dotazu, které obsahují další data. Když použijete dimenze, pravidlo upozornění seskupí výsledky dotazu podle hodnot dimenzí a vyhodnocuje výsledky každé skupiny zvlášť. Pokud je podmínka splněná, pravidlo aktivuje pro tuto skupinu výstrahu. Datová část výstrahy zahrnuje kombinaci, která výstrahu aktivovala.

   Pro každé pravidlo upozornění můžete použít až šest dimenzí. Dimenze můžou být pouze řetězcové nebo číselné sloupce. Pokud chcete použít sloupec, který není číslo nebo typ řetězce jako dimenze, musíte ho v dotazu převést na řetězec nebo číselnou hodnotu. Pokud vyberete více než jednu hodnotu dimenze, každá časová řada, která je výsledkem kombinace, aktivuje vlastní výstrahu a účtuje se samostatně.

   Příklad:

   • Dimenze můžete použít k monitorování využití procesoru na několika instancích, na kterých běží váš web nebo aplikace. Každá instance se monitoruje jednotlivě a oznámení se odesílají pro každou instanci, kde využití procesoru překračuje nakonfigurovanou hodnotu.
   • Pokud chcete, aby se podmínka použitá na více prostředků v oboru, nerozhodla se rozdělit podle dimenzí. Pokud například chcete aktivovat výstrahu, pokud alespoň pět počítačů v oboru skupiny prostředků má využití procesoru nad nakonfigurovanou hodnotou, nebudete například používat dimenze.

   Obecně platí, že pokud je oborem pravidla upozornění pracovní prostor, upozornění se v pracovním prostoru aktivují. Pokud chcete pro každý ovlivněný prostředek Azure samostatnou výstrahu, můžete:

   • Jako dimenzi použijte sloupec AZURE RESOURCE ID Azure Resource Manageru. Když použijete tuto možnost, upozornění se aktivuje v pracovním prostoru se sloupcem ID prostředku Azure jako dimenzí.

   • V vlastnosti ID prostředku Azure zadejte výstrahu jako dimenzi. Tato možnost vytvoří prostředek, který váš dotaz vrátí cíl výstrahy. Upozornění se pak aktivují u prostředku, který dotaz vrací, například virtuální počítač nebo účet úložiště, a ne na pracovní prostor.

     Pokud použijete tuto možnost, pokud pracovní prostor získá data z prostředků ve více než jednom předplatném, můžou se upozornění aktivovat u prostředků z předplatného, které se liší od předplatného pravidla upozornění.

   Vyberte hodnoty pro tato pole:

   Pole	Popis
   Název dimenze	Dimenze můžou být číselné nebo řetězcové sloupce. Dimenze se používají k monitorování konkrétních časových řad a poskytují kontext aktivovanému upozornění.
   Operátor	Operátor, který se používá pro název a hodnotu dimenze.
   Hodnoty dimenzí	Hodnoty dimenzí vycházejí z dat za posledních 48 hodin. Vyberte Přidat vlastní hodnotu a přidejte vlastní hodnoty dimenzí.
   Zahrnout všechny budoucí hodnoty	Toto pole vyberte, pokud chcete zahrnout všechny budoucí hodnoty přidané do vybrané dimenze.

   

10. V části Logika upozornění vyberte hodnoty pro tato pole:

    Pole	Popis
    Operátor	Výsledky dotazu se transformují na číslo. V tomto poli vyberte operátor, který chcete použít k porovnání čísla s prahovou hodnotou.
    Prahová hodnota	Číselná hodnota pro prahovou hodnotu.
    Frekvence vyhodnocování	Jak často se dotaz spouští. Můžete ho nastavit kdekoli od jedné minuty do jednoho dne (24 hodin).

    

    Poznámka:

    Frekvence není konkrétní čas, kdy se výstraha spouští každý den. Jak často se pravidlo upozornění spouští.

    Používání frekvence pravidel upozornění na jednu minutu má určitá omezení. Když nastavíte frekvenci pravidla upozornění na jednu minutu, bude provedena interní manipulace s optimalizací dotazu. Tato manipulace může způsobit selhání dotazu, pokud obsahuje nepodporované operace. Mezi nejčastější důvody, proč se dotaz nepodporuje, patří:

    • Dotaz obsahuje searchoperaci , unionnebo take (limit).
    • Dotaz obsahuje ingestion_time() funkci.
    • Dotaz používá adx vzor.
    • Dotaz volá funkci, která volá jiné tabulky.

    Ukázkové dotazy na upozornění prohledávání protokolů jsou k dispozici pro Azure Data Explorer a Resource Graph.

11. (Volitelné) V části Upřesnit možnosti můžete zadat počet selhání a období vyhodnocení výstrahy, které je nutné k aktivaci výstrahy. Pokud například nastavíte úroveň agregace na 5 minut, můžete určit, že chcete aktivovat výstrahu pouze v případě, že v poslední hodině došlo k třem selháním (15 minut). Toto nastavení určuje firemní zásady vaší aplikace.

    Vyberte hodnoty pro tato pole v části Počet porušení, která mají výstrahu aktivovat:

    Pole	Popis
    Počet porušení	Počet porušení, která aktivují výstrahu.
    Zkušební období	Časové období, ve kterém dochází k počtu porušení.
    Přepsání časového rozsahu dotazů	Pokud chcete, aby se období vyhodnocení výstrahy liší od časového rozsahu dotazu, zadejte sem časový rozsah. Časový rozsah upozornění je omezen na maximálně dva dny. I když dotaz obsahuje ago příkaz s časovým rozsahem delším než dvěma dny, použije se dvoudenní maximální časový rozsah. I když například text dotazu obsahuje ago(7d), dotaz prohledává pouze dva dny dat. Pokud dotaz vyžaduje více dat než vyhodnocení výstrahy, můžete časový rozsah změnit ručně. Pokud dotaz obsahuje ago příkaz, změní se automaticky na dva dny (48 hodin).

    

    Poznámka:

    Pokud jste vy nebo váš správce přiřadili upozornění služby Azure Log Search pro pracovní prostory služby Log Analytics, měli byste použít klíče spravované zákazníkem, musíte vybrat Možnost Zkontrolovat propojené úložiště pracovního prostoru. Pokud ne, vytvoření pravidla se nezdaří, protože nesplňuje požadavky zásad.

12. Graf Náhled zobrazuje výsledky vyhodnocení dotazů v průběhu času. Můžete změnit období grafu nebo vybrat jinou časovou řadu, která byla výsledkem jedinečného rozdělení výstrahy podle dimenzí.

    

13. Vyberte Hotovo. Od tohoto okamžiku můžete kdykoli vybrat tlačítko Zkontrolovat a vytvořit .

Konfigurace akcí pravidla upozornění

Na kartě Akce vyberte nebo vytvořte požadované skupiny akcí.

Konfigurace podrobností pravidla upozornění

1. Na kartě Podrobnosti v části Podrobnosti projektu vyberte hodnoty předplatného a skupiny prostředků.

2. V části Podrobnosti pravidla upozornění:

   1. Vyberte hodnotu Závažnost.

   2. Zadejte hodnoty pro název pravidla upozornění a popis pravidla upozornění.

      Poznámka:

      Pravidlo, které používá identitu, nemůže mít středník (;) znak v hodnotě názvu pravidla upozornění.

   3. Vyberte hodnotu Oblast.

3. V části Identita vyberte identitu, kterou pravidlo upozornění prohledávání protokolu používá k ověřování při odesílání dotazu protokolu.

   Při výběru identity mějte na paměti tyto body:

   • Spravovaná identita se vyžaduje, pokud odesíláte dotaz do Azure Data Exploreru nebo Do Resource Graphu.
   • Spravovanou identitu použijte, pokud chcete mít možnost zobrazit nebo upravit oprávnění přidružená k pravidlu upozornění.
   • Pokud spravovanou identitu nepoužíváte, oprávnění pravidla upozornění jsou založená na oprávněních posledního uživatele k úpravám pravidla v době poslední úpravy pravidla.
   • Spravovaná identita vám pomůže vyhnout se případu, kdy pravidlo nefunguje podle očekávání, protože uživatel, který pravidlo naposledy upravil, neměl oprávnění pro všechny prostředky přidané do oboru pravidla.

   Identita přidružená k pravidlu musí mít tyto role:

   • Pokud dotaz přistupuje k pracovnímu prostoru služby Log Analytics, musí být identitě přiřazena role čtenáře pro všechny pracovní prostory, ke kterým dotaz přistupuje. Pokud vytváříte upozornění prohledávání protokolu zaměřené na prostředky, pravidlo upozornění může přistupovat k více pracovním prostorům a identita musí mít ve všech těchto pracovních prostorech roli čtenáře.
   • Pokud dotazujete cluster Azure Data Exploreru nebo Resource Graphu, musíte přidat roli čtenáře pro všechny zdroje dat, ke kterým dotaz přistupuje. Pokud je například dotaz orientovaný na prostředek, potřebuje u něj roli čtenáře.
   • Pokud dotaz přistupuje ke vzdálenému clusteru Azure Data Exploreru, musí být identita přiřazená:
     • Role čtenáře pro všechny zdroje dat, ke kterým dotaz přistupuje. Pokud například dotaz volá vzdálený cluster Azure Data Exploreru pomocí adx() funkce, potřebuje v tomto clusteru Azure Data Exploreru roli čtenáře.
     • Role prohlížeče databází pro všechny databáze, ke kterým dotaz přistupuje.

   Podrobné informace o spravovaných identitách najdete v tématu Spravované identity pro prostředky Azure.

   Vyberte jednu z následujících možností pro identitu, kterou pravidlo upozornění používá:

   Možnost Identita	Popis
   Nic	Oprávnění k pravidlu upozornění jsou založená na oprávněních posledního uživatele, který pravidlo upravil v době úprav pravidla.
   Povolení spravované identity přiřazené systémem	Azure pro toto pravidlo upozornění vytvoří novou vyhrazenou identitu. Tato identita nemá žádná oprávnění a při odstranění pravidla se automaticky odstraní. Po vytvoření pravidla musíte této identitě přiřadit oprávnění pro přístup k potřebnému pracovnímu prostoru a zdrojům dat pro dotaz. Další informace o přiřazování oprávnění najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal. Pravidla upozornění prohledávání protokolu, která používají propojené úložiště, se nepodporují.
   Povolení spravované identity přiřazené uživatelem	Před vytvořením pravidla upozornění vytvoříte identitu a přiřadíte jí příslušná oprávnění pro dotaz protokolu. Jedná se o běžnou identitu Azure. Jednu identitu můžete použít v několika pravidlech upozornění. Identita se při odstranění pravidla neodstraní. Když vyberete tento typ identity, otevře se podokno pro výběr přidružené identity pravidla.

   

4. (Volitelné) V části Upřesnit možnosti můžete nastavit několik možností:

   Pole	Popis
   Povolit při vytváření	Tuto možnost vyberte, pokud chcete, aby pravidlo upozornění začalo běžet hned po jeho vytvoření.
   Automatické řešení výstrah	Tuto možnost vyberte, pokud chcete nastavit stav výstrahy. Když je výstraha stavová, výstraha se vyřeší, když už není splněná podmínka pro konkrétní časový rozsah. Časový rozsah se liší v závislosti na frekvenci upozornění: 1 minuta: Podmínka upozornění není splněna po dobu 10 minut. 5 až 15 minut: Podmínka upozornění není splněna po dobu tří intervalů četnosti. 15 minut až 11 hodin: Podmínka upozornění není splněná pro dvě období četnosti. 11 až 12 hodin: Podmínka upozornění není splněna po dobu jedné frekvence. Upozornění prohledávání stavových protokolů mají tato omezení.
   Ztlumení akcí	Tuto možnost vyberte, pokud chcete nastavit dobu čekání, než se znovu aktivují akce upozornění. V zobrazeném poli Ztlumit akce vyberte dobu čekání po aktivaci výstrahy, než se znovu aktivuje akce.
   Kontrola propojeného úložiště pracovního prostoru	Tuto možnost vyberte, pokud je nakonfigurované propojené úložiště pracovního prostoru pro výstrahy. Pokud není nakonfigurované žádné propojené úložiště, pravidlo se nevytvořilo.

5. (Volitelné) Pokud toto pravidlo upozornění obsahuje skupiny akcí, můžete v části Vlastní vlastnosti přidat vlastní vlastnosti, které chcete zahrnout do datové části oznámení výstrahy. Tyto vlastnosti můžete použít v akcích, které skupina akcí volá, jako je webhook, funkce Azure nebo akce aplikace logiky.

   Vlastní vlastnosti se zadají jako páry klíč/hodnota pomocí statického textu, dynamické hodnoty extrahované z datové části výstrahy nebo kombinace obojího.

   Formát pro extrakci dynamické hodnoty z datové části výstrahy je: ${<path to schema field>}. Například: ${data.essentials.monitorCondition}.

   Pomocí formátu běžného schématu upozornění určete pole v datové části bez ohledu na to, jestli skupiny akcí nakonfigurované pro pravidlo upozornění používají společné schéma.

   Poznámka:

   • Běžné schéma upozornění přepíše vlastní konfigurace. Nemůžete použít jak vlastní vlastnosti, tak společné schéma.
   • Vlastní vlastnosti se přidají do datové části upozornění, ale nezobrazují se v e-mailové šabloně ani v podrobnostech upozornění na webu Azure Portal.
   • Upozornění služby Azure Service Health nepodporují vlastní vlastnosti.

   

   Následující příklady používají hodnoty ve vlastních vlastnostech k využití dat z datové části, která používá společné schéma upozornění.

   Tento příklad vytvoří značku Další podrobnosti s daty týkajícími se času spuštění okna a času ukončení okna:

   • Název: Additional Details
   • Hodnota: Evaluation windowStartTime: \${data.alertContext.condition.windowStartTime}. windowEndTime: \${data.alertContext.condition.windowEndTime}
   • Výsledek: AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z

   Tento příklad přidá data týkající se důvodu vyřešení nebo aktivaci výstrahy:

   • Název: Alert \${data.essentials.monitorCondition} reason
   • Hodnota: \${data.alertContext.condition.allOf[0].metricName} \${data.alertContext.condition.allOf[0].operator} \${data.alertContext.condition.allOf[0].threshold} \${data.essentials.monitorCondition}. The value is \${data.alertContext.condition.allOf[0].metricValue}
   • Potenciální výsledky:
     • Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
     • Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585

Konfigurace značek pravidel upozornění

Na kartě Značky nastavte všechny požadované značky prostředku pravidla upozornění.

Kontrola a vytvoření pravidla upozornění

1. Na kartě Zkontrolovat a vytvořit se pravidlo ověří. Pokud dojde k problému, vraťte se a opravte ho.

2. Po úspěšném ověření a kontrole nastavení klikněte na tlačítko Vytvořit.

   

Související obsah

• Získání ukázek dotazů na upozornění prohledávání protokolu
• Zobrazení a správa instancí upozornění