Vytvoření nebo úprava pravidla upozornění prohledávání protokolu

  • Článek

V tomto článku se dozvíte, jak vytvořit nové pravidlo upozornění prohledávání protokolu nebo upravit existující pravidlo upozornění prohledávání protokolu. Další informace o výstrahách najdete v přehledu výstrah.

Pravidlo upozornění vytvoříte tak, že zkombinujete prostředky, které se mají monitorovat, data monitorování z prostředku a podmínky, které chcete aktivovat. Potom můžete definovat skupiny akcí a pravidla zpracování výstrah a určit, co se stane při aktivaci výstrahy.

Výstrahy aktivované těmito pravidly upozornění obsahují datovou část, která používá společné schéma upozornění.

Přístup k průvodci pravidlem upozornění na webu Azure Portal

Existuje několik způsobů, jak vytvořit nebo upravit nové pravidlo upozornění.

Vytvoření nebo úprava pravidla upozornění na domovské stránce portálu

  1. Na portálu vyberte Monitorovat>výstrahy.

  2. Otevřete nabídku + Vytvořit a vyberte Pravidlo upozornění.

    Snímek obrazovky znázorňující postup vytvoření nového pravidla upozornění

Vytvoření nebo úprava pravidla upozornění z konkrétního prostředku

  1. Na portálu přejděte k prostředku.

  2. V levém podokně vyberte Výstrahy a pak vyberte + Vytvořit>pravidlo upozornění.

    Snímek obrazovky znázorňující postup vytvoření nového pravidla upozornění z vybraného prostředku

Úprava existujícího pravidla upozornění

  1. Na portálu vyberte z domovské stránky nebo z konkrétního prostředku upozornění v levém podokně.

  2. Vyberte pravidla upozornění.

  3. Vyberte pravidlo upozornění, které chcete upravit, a pak vyberte Upravit.

    Snímek obrazovky znázorňující kroky pro úpravu existujícího pravidla upozornění prohledávání protokolu

  4. Pokud chcete upravit nastavení, vyberte některou z karet pravidla upozornění.

Konfigurace oboru pravidla upozornění

  1. V podokně Vybrat prostředek nastavte obor pravidla upozornění. Můžete filtrovat podle předplatného, typu prostředku nebo umístění prostředku.

  2. Vyberte Použít.

    Snímek obrazovky znázorňující podokno vybrat prostředek pro vytvoření nového pravidla upozornění

Konfigurace podmínek pravidla upozornění

  1. Když na kartě Podmínka vyberete pole Název signálu, vyberete Vlastní prohledávání protokolu nebo vyberete Zobrazit všechny signály, pokud chcete pro podmínku zvolit jiný signál.

  2. (Volitelné) Pokud jste se rozhodli zobrazit všechny signály v předchozím kroku, pomocí podokna Vybrat signál vyhledejte název signálu nebo vyfiltrujte seznam signálů. Filtrovat podle:

    • Typ signálu: Vyberte prohledávání protokolu.
    • Zdroj signálu: Služba, která odesílá signály "Vlastní prohledávání protokolů" a "Protokol (uložený dotaz)". Vyberte název signálu a použijte.

  3. V podokně Protokoly napište dotaz, který vrátí události protokolu, pro které chcete vytvořit výstrahu. Pokud chcete použít některý z předdefinovaných dotazů na pravidlo upozornění, rozbalte podokno Schéma a filtr nalevo od podokna Protokoly . Pak vyberte kartu Dotazy a vyberte jeden z dotazů.

Omezení pro dotazy pravidla prohledávání protokolu:

  • Dotazy na pravidla upozornění prohledávání protokolů nepodporují moduly plug-in bag_unpack(), pivot() a narrow().

  • Slovo "AggregatedValue" je vyhrazené slovo, které nelze použít v dotazu na pravidla upozornění prohledávání protokolu.

  • Kombinovaná velikost všech dat ve vlastnostech pravidla upozornění protokolu nesmí překročit 64 kB.

    Snímek obrazovky znázorňující podokno Dotaz při vytváření nového pravidla upozornění prohledávání protokolu

  1. (Volitelné) Pokud dotazujete cluster ADX nebo ARG, Log Analytics nemůže automaticky identifikovat sloupec s časovým razítkem události. Do dotazu doporučujeme přidat filtr časového rozsahu. Příklad:

        adx('https://help.kusto.windows.net/Samples').table    
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Snímek obrazovky znázorňující kartu Podmínka při vytváření nového pravidla upozornění prohledávání protokolu

    Ukázkové dotazy na upozornění prohledávání protokolu, které se dotazují na ARG nebo ADX, najdete v ukázkách dotazů na upozornění prohledávání protokolu.

    Toto jsou omezení pro používání křížových dotazů:

  2. Výběrem možnosti Spustit spustíte výstrahu.

  3. V části Náhled se zobrazí výsledky dotazu. Po dokončení úprav dotazu vyberte Pokračovat v úpravách upozornění.

  4. Otevře se karta Podmínka vyplněná dotazem protokolu. Ve výchozím nastavení pravidlo spočítá počet výsledků za posledních pět minut. Pokud systém zjistí souhrnné výsledky dotazu, pravidlo se automaticky aktualizuje o dané informace.

  5. V části Měření vyberte hodnoty pro tato pole:

    Snímek obrazovky znázorňující kartu Měření při vytváření nového pravidla upozornění prohledávání protokolu

    Pole Popis
    Míra Upozornění prohledávání protokolů můžou měřit dvě různé věci, které se dají použít pro různé scénáře monitorování:
    Řádky tabulky: Počet vrácených řádků lze použít k práci s událostmi, jako jsou protokoly událostí Systému Windows, Syslog a výjimky aplikací.
    Výpočet číselného sloupce: Výpočty založené na libovolném číselném sloupci lze použít k zahrnutí libovolného počtu prostředků. Příkladem je procento procesoru.
    Typ agregace Výpočet provedený u více záznamů, aby je agregoval do jedné číselné hodnoty pomocí členitosti agregace. Mezi příklady patří celkový součet, průměr, minimum nebo maximum.
    Členitost agregace Interval agregace více záznamů na jednu číselnou hodnotu.

  6. (Volitelné) V části Rozdělení podle dimenzí můžete pomocí dimenzí poskytnout kontext aktivované výstrahy.

    Snímek obrazovky znázorňující oddíl rozdělení podle dimenzí nového pravidla upozornění prohledávání protokolu

    Dimenze jsou sloupce z výsledků dotazu, které obsahují další data. Když použijete dimenze, pravidlo upozornění seskupí výsledky dotazu podle hodnot dimenzí a vyhodnocuje výsledky každé skupiny zvlášť. Pokud je podmínka splněná, pravidlo aktivuje pro tuto skupinu výstrahu. Datová část výstrahy zahrnuje kombinaci, která výstrahu aktivovala.

    Pro každé pravidlo upozornění můžete použít až šest dimenzí. Dimenze můžou být pouze řetězcové nebo číselné sloupce. Pokud chcete použít sloupec, který není číslo nebo typ řetězce jako dimenze, musíte ho v dotazu převést na řetězec nebo číselnou hodnotu. Pokud vyberete více než jednu hodnotu dimenze, každá časová řada, která je výsledkem kombinace, aktivuje vlastní výstrahu a účtuje se samostatně.

    Příklad:

    • Dimenze můžete použít k monitorování využití procesoru na několika instancích, na kterých běží váš web nebo aplikace. Každá instance se monitoruje jednotlivě a oznámení se odesílají pro každou instanci, kde využití procesoru překračuje nakonfigurovanou hodnotu.
    • Pokud chcete, aby se podmínka použitá na více prostředků v oboru, nerozhodla se rozdělit podle dimenzí. Pokud například chcete aktivovat výstrahu, pokud alespoň pět počítačů v oboru skupiny prostředků má využití procesoru nad nakonfigurovanou hodnotou, nebudete například používat dimenze.

    Vyberte hodnoty pro tato pole:

    • Sloupec ID prostředku: Obecně platí, že pokud je oborem pravidla upozornění pracovní prostor, upozornění se aktivují v pracovním prostoru. Pokud chcete pro každý ovlivněný prostředek Azure samostatnou výstrahu, můžete:
      • jako dimenzi použijte sloupec AZURE RESOURCE ID ARM (všimněte si, že pomocí této možnosti se upozornění aktivuje v pracovním prostoru se sloupcem ID prostředku Azure jako dimenzí.
      • Zadejte ho jako dimenzi ve vlastnosti ID prostředku Azure, která prostředek vrácený dotazem cíl výstrahy způsobí, takže se upozornění aktivují na prostředek vrácený vaším dotazem, například virtuálním počítačem nebo účtem úložiště, a ne v pracovním prostoru. Pokud použijete tuto možnost, pokud pracovní prostor získá data z prostředků ve více než jednom předplatném, můžou se upozornění aktivovat u prostředků z předplatného, které se liší od předplatného pravidla upozornění.
    Pole Popis
    Název dimenze Dimenze můžou být číselné nebo řetězcové sloupce. Dimenze se používají k monitorování konkrétních časových řad a poskytují kontext aktivovanému upozornění.
    Operátor Operátor použitý pro název a hodnotu dimenze.
    Hodnoty dimenzí Hodnoty dimenzí vycházejí z dat za posledních 48 hodin. Vyberte Přidat vlastní hodnotu a přidejte vlastní hodnoty dimenzí.
    Zahrnout všechny budoucí hodnoty Toto pole vyberte, pokud chcete zahrnout všechny budoucí hodnoty přidané do vybrané dimenze.

  7. V části Logika upozornění vyberte hodnoty pro tato pole:

    Snímek obrazovky znázorňující část logiky upozornění v novém pravidlu prohledávání protokolu

    Pole Popis
    Operátor Výsledky dotazu se transformují na číslo. V tomto poli vyberte operátor, který chcete použít k porovnání čísla s prahovou hodnotou.
    Prahová hodnota Číselná hodnota pro prahovou hodnotu.
    Frekvence hodnocení Jak často se dotaz spouští. Můžete nastavit kdekoli od jedné minuty do jednoho dne (24 hodin).

    Poznámka:

    Pro použití četnosti pravidel upozornění na jednu minutu platí určitá omezení. Když nastavíte frekvenci pravidla upozornění na jednu minutu, bude provedena interní manipulace s optimalizací dotazu. Tato manipulace může způsobit selhání dotazu, pokud obsahuje nepodporované operace. Nejčastější důvody, proč se dotaz nepodporuje, jsou následující:

    • Dotaz obsahuje operace hledání, sjednocení * nebo přijetí (omezení)
    • Dotaz obsahuje funkci ingestion_time().
    • Dotaz používá vzor adx .
    • Dotaz volá funkci, která volá jiné tabulky.

    Ukázkové dotazy na upozornění prohledávání protokolu, které se dotazují na ARG nebo ADX, najdete v ukázkách dotazů na upozornění prohledávání protokolu.

  8. (Volitelné) V části Upřesnit možnosti můžete zadat počet selhání a období vyhodnocení výstrahy potřebné k aktivaci výstrahy. Pokud například nastavíte členitost agregace na 5 minut, můžete určit, že chcete aktivovat výstrahu pouze v případě tří selhání (15 minut) za poslední hodinu. Toto nastavení určuje vaše firemní zásady vaší aplikace.

    Snímek obrazovky znázorňující část Upřesnit možnosti nového pravidla upozornění prohledávání protokolu

    Vyberte hodnoty pro tato pole v části Počet porušení, která mají výstrahu aktivovat:

    Pole Popis
    Počet porušení Počet porušení, která aktivují výstrahu.
    Zkušební období Časové období, ve kterém dochází k počtu porušení.
    Přepsání časového rozsahu dotazů Pokud chcete, aby se období vyhodnocení výstrahy lišily od časového rozsahu dotazu, zadejte sem časový rozsah.
    Časový rozsah upozornění je omezen na maximálně dva dny. I když dotaz obsahuje příkaz ago s časovým rozsahem delším než dvěma dny, použije se dvoudenní maximální časový rozsah. Například i v případě, že text dotazu obsahuje před(7d), dotaz prohledává pouze až dva dny dat. Pokud dotaz vyžaduje více dat než vyhodnocení výstrahy, můžete časový rozsah změnit ručně. Pokud dotaz obsahuje příkaz před , změní se automaticky na 2 dny (48 hodin).

    Poznámka:

    Pokud jste vy nebo váš správce přiřadili upozornění služby Azure Policy Azure Log Search přes pracovní prostory služby Log Analytics, měli byste použít klíče spravované zákazníkem, musíte vybrat Možnost Zkontrolovat propojené úložiště pracovního prostoru. Pokud ne, vytvoření pravidla se nezdaří, protože nesplňuje požadavky zásad.

  9. Graf Náhled zobrazuje výsledky vyhodnocení dotazů v průběhu času. Můžete změnit období grafu nebo vybrat jinou časovou řadu, která byla výsledkem jedinečného rozdělení výstrahy podle dimenzí.

    Snímek obrazovky s náhledem nového pravidla upozornění

  10. Vyberte Hotovo. Od tohoto okamžiku můžete kdykoli vybrat tlačítko Zkontrolovat a vytvořit .

Konfigurace akcí pravidla upozornění

  1. Na kartě Akce vyberte nebo vytvořte požadované skupiny akcí.

    Snímek obrazovky znázorňující kartu Akce při vytváření nového pravidla upozornění

Konfigurace podrobností pravidla upozornění

  1. Na kartě Podrobnosti definujte podrobnosti projektu.

    • Vyberte předplatné.
    • Vyberte skupinu prostředků.

  2. Definujte podrobnosti pravidla upozornění.

    Snímek obrazovky znázorňující kartu Podrobnosti při vytváření nového pravidla upozornění prohledávání protokolu

    1. Vyberte závažnost.

    2. Zadejte hodnoty pro název pravidla upozornění a popis pravidla upozornění.

      Poznámka:

      Všimněte si, že pravidlo, které používá identitu , nesmí mít v názvu pravidla upozornění znak ;.

    3. Vyberte oblast.

    4. V části Identita vyberte, kterou identitu používá pravidlo upozornění prohledávání protokolu k odeslání dotazu protokolu. Tato identita se používá k ověřování, když pravidlo upozornění spustí dotaz protokolu.

      Při výběru identity mějte na paměti tyto věci:

      • Spravovaná identita se vyžaduje, pokud odesíláte dotaz do Azure Data Exploreru (ADX) nebo do Azure Resource Graphu (ARG).
      • Spravovanou identitu použijte, pokud chcete mít možnost zobrazit nebo upravit oprávnění přidružená k pravidlu upozornění.
      • Pokud spravovanou identitu nepoužíváte, oprávnění pravidla upozornění jsou založená na oprávněních posledního uživatele k úpravě pravidla v době poslední úpravy pravidla.
      • Spravovaná identita vám pomůže vyhnout se případu, kdy pravidlo nefunguje podle očekávání, protože uživatel, který pravidlo naposledy upravil, neměl oprávnění pro všechny prostředky přidané do oboru pravidla.

      Identita přidružená k pravidlu musí mít tyto role:

      • Pokud dotaz přistupuje k pracovnímu prostoru služby Log Analytics, musí být identitě přiřazena role Čtenář pro všechny pracovní prostory, ke kterým dotaz přistupuje. Pokud vytváříte upozornění prohledávání protokolu zaměřené na prostředky, pravidlo upozornění může přistupovat k více pracovním prostorům a identita musí mít na všech těchto pracovních prostorech roli čtenáře.
      • Pokud dotazujete cluster ADX nebo ARG, musíte přidat roli Čtenář pro všechny zdroje dat, ke které dotaz přistupuje. Pokud je například dotaz zaměřený na prostředky, potřebuje pro dané prostředky roli čtenáře.
      • Pokud dotaz přistupuje ke vzdálenému clusteru Azure Data Exploreru, musí být identita přiřazená:
        • Role čtenáře pro všechny zdroje dat, ke které dotaz přistupuje. Pokud například dotaz volá vzdálený cluster Azure Data Exploreru pomocí funkce adx(), potřebuje v tomto clusteru ADX roli čtenáře.
        • Prohlížeč databáze pro všechny databáze, ke které dotaz přistupuje.

      Podrobné informace o spravovaných identitách najdete v tématu spravované identity pro prostředky Azure.

      Vyberte jednu z následujících možností pro identitu používanou pravidlem upozornění:

      Identita Popis
      Nic Oprávnění k pravidlu upozornění jsou založená na oprávněních posledního uživatele, který pravidlo upravil v době úprav pravidla.
      Spravovaná identita přiřazená systémem Azure pro toto pravidlo upozornění vytvoří novou vyhrazenou identitu. Tato identita nemá žádná oprávnění a při odstranění pravidla se automaticky odstraní. Po vytvoření pravidla musíte této identitě přiřadit oprávnění pro přístup k pracovnímu prostoru a zdrojům dat potřebným pro dotaz. Další informace o přiřazování oprávnění najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
      Spravovaná identita přiřazená uživatelem Před vytvořením pravidla upozornění vytvoříte identitu a přiřadíte jí příslušná oprávnění pro dotaz protokolu. Jedná se o běžnou identitu Azure. Jednu identitu můžete použít v několika pravidlech upozornění. Identita se při odstranění pravidla neodstraní. Když vyberete tento typ identity, otevře se podokno pro výběr přidružené identity pravidla.

  3. (Volitelné) V části Upřesnit možnosti můžete nastavit několik možností:

    Pole Popis
    Povolit při vytváření Vyberte pravidlo upozornění, které se má spustit, jakmile ho vytvoříte.
    Automatické řešení výstrah (Preview) Výběrem nastavíte stav výstrahy. Když je výstraha stavová, výstraha se vyřeší, když už není splněná podmínka pro konkrétní časový rozsah. Časový rozsah se liší v závislosti na frekvenci upozornění:
    1 minuta: Podmínka upozornění není splněna po dobu 10 minut.
    5–15 minut: Podmínka upozornění není splněna po dobu tří intervalů četnosti.
    15 minut – 11 hodin: Podmínka upozornění není splněná pro dvě intervaly četnosti.
    11 až 12 hodin: Podmínka upozornění není splněna po dobu jedné frekvence.

    Upozornění prohledávání stavových protokolů mají tato omezení:
    – můžou aktivovat až 300 upozornění na vyhodnocení.
    – můžete mít maximálně 5 000 upozornění s podmínkou fired upozornění.
    Ztlumení akcí Vyberte, pokud chcete nastavit dobu čekání, než se znovu aktivují akce upozornění. Pokud toto políčko zaškrtnete, zobrazí se pole Ztlumit akce pro pole, ve které se vybere doba čekání po aktivaci výstrahy před opětovnou aktivací akcí.
    Kontrola propojeného úložiště pracovního prostoru Vyberte, jestli je nakonfigurované propojené úložiště pracovního prostoru s pracovním prostorem pro výstrahy. Pokud není nakonfigurované žádné propojené úložiště, pravidlo se nevytvořilo.

  4. (Volitelné) Pokud toto pravidlo upozornění obsahuje skupiny akcí, můžete v části Vlastní vlastnosti přidat vlastní vlastnosti, které chcete zahrnout do datové části oznámení výstrahy. Tyto vlastnosti můžete použít v akcích volaných skupinou akcí, jako je webhook, funkce Azure nebo akce aplikace logiky.

    Vlastní vlastnosti se zadají jako páry klíč:hodnota pomocí statického textu, dynamické hodnoty extrahované z datové části výstrahy nebo kombinace obou.

    Formát pro extrakci dynamické hodnoty z datové části výstrahy je: ${<path to schema field>}. Příklad: ${data.essentials.monitorCondition}.

    Pomocí formátu běžného schématu upozornění určete pole v datové části bez ohledu na to, jestli skupiny akcí nakonfigurované pro pravidlo upozornění používají společné schéma.

    Poznámka:

    • Běžné schéma přepíše vlastní konfigurace. Nemůžete použít jak vlastní vlastnosti, tak společné schéma.
    • Vlastní vlastnosti se přidají do datové části upozornění, ale nezobrazují se v e-mailové šabloně ani v podrobnostech upozornění na webu Azure Portal.
    • Upozornění služby Service Health nepodporují vlastní vlastnosti.

    Snímek obrazovky znázorňující oddíl vlastních vlastností při vytváření nového pravidla upozornění

    V následujících příkladech se hodnoty ve vlastních vlastnostech používají k využití dat z datové části, která používá společné schéma upozornění:

    Příklad 1

    Tento příklad vytvoří značku Další podrobnosti s daty týkajícími se času spuštění okna a času ukončení okna.

    • Název: "Další podrobnosti"
    • Hodnota: "Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
    • Výsledek: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

    Příklad 2 Tento příklad přidá data týkající se důvodu vyřešení nebo aktivaci výstrahy.

    • Název: Důvod upozornění ${data.essentials.monitorCondition}
    • Hodnota: ${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Hodnota je ${data.alertContext.condition.allOf[0].metricValue}"
    • Výsledek: Ukázkové výsledky můžou vypadat přibližně takto:
      • "Důvod řešení upozornění: Procento cpu GreaterThan5 Vyřešeno. Hodnota je 3,585"
      • "Alert Fired reason": "Percentage CPU GreaterThan5 Fired. Hodnota je 10,585"

Konfigurace značek pravidel upozornění

  1. Na kartě Značky nastavte všechny požadované značky prostředku pravidla upozornění.

    Snímek obrazovky znázorňující kartu Značky při vytváření nového pravidla upozornění

Kontrola a vytvoření pravidla upozornění

  1. Na kartě Zkontrolovat a vytvořit se pravidlo ověří a upozorní vás na případné problémy.

  2. Po úspěšném ověření a kontrole nastavení klikněte na tlačítko Vytvořit.

    Snímek obrazovky znázorňující kartu Revize a vytvoření při vytváření nového pravidla upozornění

Další kroky