Erstellen oder Bearbeiten einer Regel für Protokollsuchwarnungen

  • Artikel

In diesem Artikel erfahren Sie, wie Sie eine neue Regel für Protokollsuchwarnungen erstellen oder eine vorhandene Regel für Protokollsuchwarnungen bearbeiten. Weitere Informationen zu Warnungen finden Sie in der Übersicht zu Warnungen.

Sie erstellen eine Warnungsregel, indem Sie die zu überwachenden Ressourcen, die Überwachungsdaten aus der Ressource und die Bedingungen, die sie auslösen sollen, kombinieren. Anschließend können Sie Aktionsgruppen und Warnungsverarbeitungsregeln definieren, um zu bestimmen, was geschieht, wenn eine Warnung ausgelöst wird.

Warnungen, die von diesen Warnungsregeln ausgelöst werden, enthalten eine Nutzlast, die das allgemeine Warnungsschema verwendet.

Zugreifen auf den Warnungsregel-Assistenten im Azure-Portal

Es gibt mehrere Möglichkeiten, eine neue Warnungsregel zu erstellen oder zu bearbeiten.

Erstellen oder Bearbeiten einer Warnungsregel auf der Portal-Homepage

  1. Wählen Sie im Portal die Option Überwachen>Warnungen aus.

  2. Öffnen Sie das Menü + Erstellen, und wählen Sie Warnungsregel aus.

    Screenshot, der zeigt, wie eine neue Warnungsregel erstellt wird.

Erstellen oder Bearbeiten einer Warnungsregel aus einer bestimmten Ressource

  1. Navigieren Sie im Portal zur Ressource.

  2. Wählen Sie im linken Bereich Warnungen aus, und wählen Sie dann + Erstellen>Warnungsregel aus.

    Screenshot, der zeigt, wie eine neue Warnungsregel aus einer ausgewählten Ressource erstellt wird.

Bearbeiten einer vorhandenen Warnungsregel

  1. Wählen Sie im Portal entweder auf der Startseite oder aus einer bestimmten Ressource die Option Warnungen im linken Bereich aus.

  2. Wählen Sie Warnungsregeln aus.

  3. Wählen Sie die Warnungsregel aus, die Sie bearbeiten möchten, und wählen Sie dann Bearbeiten aus.

    Screenshot zeigt die Bearbeitung einer vorhandenen Warnungsregel der Protokollsuche.

  4. Wählen Sie eine der Registerkarten für die Warnungsregel aus, um die Einstellungen zu bearbeiten.

Konfigurieren des der Warnungsregel

  1. Wählen Sie im Bereich Ressource auswählen den Bereich für Ihre Warnungsregel aus. Sie können nach Abonnement, Ressourcentyp oder Ressourcenspeicherort filtern.

  2. Wählen Sie Übernehmen.

    Screenshot mit dem Bereich zum Auswählen von Ressourcen für die Erstellung einer neuen Warnungsregel

Konfigurieren der Warnungsregelbedingungen

  1. Wählen Sie auf der Registerkarte Bedingung beim Auswählen des Felds Signalnamedie Option Benutzerdefinierte Protokollsuche aus, oder wählen Sie Alle Signale anzeigen aus, wenn Sie ein anderes Signal für die Bedingung auswählen möchten.

  2. (Optional) Wenn Sie im vorherigen Schritt Alle Signale anzeigen ausgewählt haben, verwenden Sie den Bereich Signal auswählen, um nach dem Signalnamen zu suchen oder die Liste der Signale zu filtern. Filtern nach:

    • Signaltyp: Wählen Sie Protokollsuche aus.
    • Signalquelle: Der Dienst, der die Signale für „Benutzerdefinierte Protokollsuche“ und „Protokoll (gespeicherte Abfrage)“ sendet. Wählen Sie unter Signalname den Signalnamen und anschließend Anwenden aus.

  3. Schreiben Sie im Bereich Protokolle eine Abfrage, die die Protokollereignisse zurückgibt, für die Sie eine Warnung einrichten möchten. Um eine der vordefinierten Abfragen für Warnungsregeln zu verwenden, klappen Sie links neben dem Bereich Protokolle den Bereich Schema und Filter auf. Wählen Sie dann die Registerkarte Abfragen und danach eine der Abfragen aus.

Einschränkungen für Warnungsregelabfragen für die Protokollsuche:

  • In Abfragen für Regeln für Protokollsuchwarnungen werden die Plug-Ins „bag_unpack()“, „pivot()“ und „narrow()“ nicht unterstützt.

  • Das Wort „AggregatedValue“ ist ein reserviertes Wort, es kann nicht in der Abfrage für Benachrichtigungsregeln für die Protokollsuche verwendet werden.

  • Die kombinierte Größe aller Daten in den Eigenschaften der Protokollbenachrichtigungsregel darf 64 KB nicht überschreiten.

    Screenshot des Abfragebereichs beim Erstellen einer neuen Warnungsregel der Protokollsuche.

  1. (Optional) Wenn Sie einen ADX- oder ARG-Cluster abfragen, kann Log Analytics die Spalte nicht automatisch mit dem Ereigniszeitstempel identifizieren. Es wird empfohlen, der Abfrage einen Zeitbereichsfilter hinzuzufügen. Zum Beispiel:

        adx('https://help.kusto.windows.net/Samples').table    
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Screenshot der Registerkarte „Bedingung“ beim Erstellen einer neuen Warnungsregel der Protokollsuche.

    Beispiele für Abfragen für Regeln für Protokollsuchwarnungen, die ARG oder ADX abfragen, finden Sie unter Abfragebeispiele für Regeln für Protokollsuchwarnungen.

    Dies sind die Einschränkungen für die Verwendung von Kreuzabfragen:

  2. Wählen Sie Ausführen aus, um die Warnung auszuführen.

  3. Im Abschnitt Vorschau werden die Abfrageergebnisse gezeigt. Wenn Sie die Bearbeitung Ihrer Abfrage abgeschlossen haben, wählen Sie Warnungsbearbeitung fortsetzen aus.

  4. Die Registerkarte Bedingung wird mit Ihrer aufgefüllten Protokollabfrage geöffnet. Von der Regel wird standardmäßig die Anzahl von Ergebnissen in den letzten fünf Minuten gezählt. Wenn das System zusammengefasste Abfrageergebnisse erkennt, wird die Regel automatisch aktualisiert.

  5. Wählen Sie im Abschnitt Messung die Werte für diese Felder aus:

    Screenshot der Registerkarte „Messung“ beim Erstellen einer neuen Warnungsregel der Protokollsuche.

    Feld BESCHREIBUNG
    Measure Mit Protokollsuchwarnungen können zwei verschiedene Dinge gemessen werden, die für unterschiedliche Überwachungsszenarien verwendet werden können:
    Tabellenzeilen: Die Anzahl der zurückgegebenen Zeilen kann für die Arbeit mit Ereignissen wie Windows-Ereignisprotokollen, Syslog und Anwendungsausnahmen verwendet werden.
    Berechnung einer numerischen Spalte: Berechnungen basierend auf jeder beliebigen numerischen Spalte können verwendet werden, um eine beliebige Anzahl von Ressourcen einzuschließen. Ein Beispiel ist die prozentuale CPU-Auslastung.
    Aggregationstyp Die Berechnung, die an mehreren Datensätzen durchgeführt wird, um sie mithilfe der definierten Aggregationsgranularität zu einem numerischen Wert zu aggregieren. Beispiele sind Total, Average, Minimum oder Maximum.
    Aggregationsgranularität Das Intervall zum Aggregieren mehrerer Datensätze zu einem numerischen Wert.

  6. (Optional) Im Abschnitt Nach Dimensionen teilen können Sie Dimensionen verwenden, um den Kontext für die ausgelöste Warnung bereitzustellen.

    Screenshot des Abschnitts „Aufteilung nach Dimensionen“ einer neuen Warnungsregel der Protokollsuche.

    Dimensionen sind Spalten aus Ihren Abfrageergebnissen, die zusätzliche Daten enthalten. Wenn Sie Dimensionen verwenden, gruppiert die Warnungsregel die Abfrageergebnisse nach den Dimensionswerten und wertet die Ergebnisse jeder Gruppe separat aus. Wenn die Bedingung erfüllt ist, löst die Regel eine Warnung für diese Gruppe aus. Die Warnungsnutzlast enthält die Kombination, die die Warnung ausgelöst hat.

    Sie können bis zu sechs Dimensionen pro Warnungsregel anwenden. Dimensionen können nur Zeichenfolgen- oder Zahlenspalten sein. Wenn Sie eine Spalte verwenden möchten, die kein Zahlen- oder Zeichenfolgentyp als Dimension ist, müssen Sie sie in eine Zeichenfolge oder einen numerischen Wert in Ihrer Abfrage konvertieren. Wenn Sie mehr als einen Dimensionswert auswählen, löst jede Zeitreihe, die sich aus der Kombination ergibt, eine eigene Warnung aus und wird separat abgerechnet.

    Beispiel:

    • Sie können Dimensionen verwenden, um die CPU-Auslastung auf mehreren Instanzen zu überwachen, auf denen Ihre Website oder App ausgeführt werden. Jede Instanz wird einzeln überwacht, und Benachrichtigungen werden für jede Instanz gesendet, bei der die CPU-Auslastung den konfigurierten Wert überschreitet.
    • Sie können sich auch dafür entscheiden, keine Teilung nach Dimensionen vorzunehmen, wenn Sie eine Bedingung auf mehrere Ressourcen in dem Bereich anwenden möchten. Sie würden Dimensionen beispielsweise nicht verwenden, wenn Sie eine Warnung auslösen möchten, wenn mindestens fünf Computer im Ressourcengruppenbereich eine CPU-Auslastung über dem konfigurierten Wert aufweisen.

    Wählen Sie Werte für diese Felder aus:

    • Spalte „Ressourcen-ID“: Wenn Ihr Warnungsregelbereich ein Arbeitsbereich ist, werden die Warnungen im Allgemeinen im Arbeitsbereich ausgelöst. Wenn Sie für jede betroffene Azure-Ressource eine separate Warnung möchten, haben Sie folgende Möglichkeiten:
      • verwenden Sie die Spalte ARM-Azure-Ressourcen-ID als Dimension (beachten Sie, dass die Warnung mit dieser Option auf dem Arbeitsbereich mit der Azure Resource ID-Spalte als Dimension ausgelöst wird.
      • Angeben als Dimension in der Azure-Ressourcen-ID-Eigenschaft, wodurch die von Ihrer Abfrage zurückgegebene Ressource zum Ziel der Warnung wird, sodass Warnungen für die von Ihrer Abfrage zurückgegebene Ressource ausgelöst werden, z. B. für einen virtuellen Computer oder ein Speicherkonto, und nicht für den Arbeitsbereich. Wenn Sie diese Option verwenden und der Arbeitsbereich Daten aus Ressourcen in mehreren Abonnements abruft, können Warnungen für Ressourcen aus einem Abonnement ausgelöst werden, das sich vom Warnungsregelabonnement unterscheidet.
    Feld BESCHREIBUNG
    Dimensionsname Dimensionen können entweder Zahlen- oder Zeichenfolgenspalten sein. Mithilfe von Dimensionen werden bestimmte Zeitreihen überwacht und Kontext für die ausgelöste Warnung bereitgestellt.
    Operator Der Operator, der für den Dimensionsnamen und -wert verwendet wird.
    Dimensionswerte Die Dimensionswerte basieren auf den Daten der vergangenen 48 Stunden. Wählen Sie „Benutzerdefinierten Wert hinzufügen“ aus, um benutzerdefinierte Dimensionswerte hinzuzufügen.
    Alle zukünftigen Werte einschließen Wählen Sie dieses Feld aus, um alle zukünftigen Werte einzuschließen, die der ausgewählten Dimension hinzugefügt werden.

  7. Wählen Sie im Abschnitt Warnungslogik die Werte für diese Felder aus:

    Screenshot des Abschnitts „Warnungslogik“ einer neuen Warnungsregel der Protokollsuche.

    Feld BESCHREIBUNG
    Operator Die Abfrageergebnisse werden in eine Zahl transformiert. Wählen Sie in diesem Feld den Operator aus, der zum Vergleichen der Zahl mit dem Schwellenwert verwendet werden soll.
    Schwellenwert Ein Zahlenwert für den Schwellenwert.
    Häufigkeit der Auswertung Die Häufigkeit der Ausführung der Abfrage. Kann von einer Minute bis zu einem Tag (24 Stunden) festgelegt werden.

    Hinweis

    Es gibt einige Einschränkungen bei der Verwendung einer Warnungsregelfrequenz von einer Minute. Wenn Sie die Warnungsregelfrequenz auf eine Minute festlegen, wird eine interne Manipulation zur Optimierung der Abfrage durchgeführt. Diese Manipulation kann dazu führen, dass die Abfrage fehlschlägt, wenn sie nicht unterstützte Vorgänge enthält. Im Folgenden finden Sie die häufigsten Gründe, warum eine Abfrage nicht unterstützt wird:

    • Die Abfrage enthält die Vorgänge search, union * oder take (limit).
    • Die Abfrage enthält die Funktion ingestion_time().
    • Die Abfrage verwendet das Muster adx.
    • Die Abfrage ruft eine Funktion auf, die andere Tabellen aufruft.

    Beispiele für Abfragen für Regeln für Protokollsuchwarnungen, die ARG oder ADX abfragen, finden Sie unter Abfragebeispiele für Regeln für Protokollsuchwarnungen

  8. (Optional) Im Abschnitt „Erweiterte Optionen“ können Sie die Anzahl der Fehler und den Zeitraum für die Warnungsauswertung angeben, die zum Auslösen einer Warnung erforderlich sind. Wenn Sie beispielsweise die Aggregationsgranularität auf fünf Minuten festlegen, können Sie angeben, dass Sie nur eine Warnung auslösen möchten, wenn in der letzten Stunde drei Fehler (15 Minuten) aufgetreten sind. Diese Einstellung hängt von der Geschäftsrichtlinie Ihrer Anwendung ab.

    Screenshot des Abschnitts „Erweiterte Optionen“ einer neuen Warnungsregel der Protokollsuche.

    Wählen Sie Werte für diese Felder unter „Anzahl von Verstößen zum Auslösen der Warnung“ aus:

    Feld BESCHREIBUNG
    Anzahl von Verstößen Die Anzahl von Verstößen, die die Warnung auslösen.
    Auswertungszeitraum Der Zeitraum, in dem die Anzahl der Verstöße auftritt.
    Zeitbereich für das Außerkraftsetzen der Abfrage Wenn Sie möchten, dass der Zeitraum für die Warnungsauswertung von dem für die Abfrage abweicht, geben Sie hier einen Zeitbereich ein.
    Der Zeitbereich für Warnungen ist auf maximal zwei Tage begrenzt. Der maximale Zeitbereich von zwei Tagen gilt auch, wenn die Abfrage einen Befehl vom Typ ago mit einem Zeitbereich von mehr als zwei Tagen enthält. Wenn der Abfragetext also beispielsweise ago(7d) enthält, werden trotzdem nur Daten für bis zu zwei Tage überprüft. Wenn die Abfrage mehr Daten erfordert als durch die Warnungsbewertung angegeben, können Sie den Zeitbereich manuell ändern. Wenn die Abfrage einen ago-Befehl enthält, wird der Bereich automatisch in 2 Tage (48 Stunden) geändert.

    Hinweis

    Wenn Sie oder andere Administrator*innen, denen die Azure Policy-Richtlinie Warnungen der Azure-Protokollsuche über Log Analytics-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel verwenden zugewiesen wurde, müssen Sie unter Mit Arbeitsbereich verknüpften Speicher überprüfen auswählen. Andernfalls schlägt die Regelerstellung fehl, da sie die Richtlinienanforderungen nicht erfüllt.

  9. Im Diagramm Vorschau werden die Ergebnisse von Abfrageauswertungen im Zeitverlauf angezeigt. Sie können den Diagrammzeitraum ändern oder andere Zeitreihen auswählen, die sich aus der individuellen Warnungsaufteilung nach Dimensionen ergeben haben.

    Screenshot der Vorschau einer Textdatei

  10. Wählen Sie Fertig aus. Ab diesem Zeitpunkt können Sie jederzeit die Schaltfläche Überprüfen + erstellen auswählen.

Konfigurieren der Warnungsregelaktionen

  1. Wählen Sie auf der Registerkarte Aktionen die erforderlichen Aktionsgruppen aus, oder erstellen Sie sie.

    Screenshot der Registerkarte „Aktionen“ beim Erstellen einer neuen Protokollwarnungsregel

Konfigurieren der Warnungsregeldetails

  1. Legen Sie auf der Registerkarte Details die Projektdetails fest.

    • Wählen Sie das Abonnement aus.
    • Wählen Sie die Ressourcengruppe aus.

  2. Legen Sie die Warnungsregeldetails fest.

    Screenshot der Registerkarte „Details“ beim Erstellen einer neuen Warnungsregel der Protokollsuche.

    1. Wählen Sie den Schweregrad aus.

    2. Geben Sie Werte für Name der Warnungsregel und Beschreibung der Warnungsregel ein.

      Hinweis

      Beachten Sie, dass die Regel, die Identität verwendet, nicht das Zeichen „;“ im Namen der Warnungsregel aufweisen kann

    3. Wählen Sie die Region aus.

    4. Wählen Sie im Abschnitt Identität aus, welche Identität von der Regel für Protokollsuchwarnungen zum Senden der Protokollabfrage verwendet wird. Diese Identität wird für die Authentifizierung verwendet, wenn die Warnungsregel die Protokollabfrage ausführt.

      Beachten Sie bei der Auswahl einer Identität folgendes:

      • Eine verwaltete Identität ist erforderlich, wenn Sie eine Abfrage an Azure Data Explorer (ADX) oder Azure Resource Graph (ARG) senden.
      • Verwenden Sie eine verwaltete Identität, wenn Sie die Berechtigungen anzeigen oder bearbeiten möchten, die der Warnungsregel zugeordnet sind.
      • Wenn Sie keine verwaltete Identität verwenden, basieren die Warnungsregelberechtigungen auf den Berechtigungen der letzten Benutzerin bzw. des letzten Benutzers zum Bearbeiten der Regel zum Zeitpunkt der letzten Bearbeitung der Regel.
      • Verwenden Sie eine verwaltete Identität, um einen Fall zu vermeiden, in dem die Regel nicht wie erwartet funktioniert, da die Benutzerin bzw. der Benutzer, die/der die Regel zuletzt bearbeitet hat, nicht über Berechtigungen für alle Ressourcen verfügte, die dem Regelbereich hinzugefügt wurden.

      Die der Regel zugeordnete Identität muss über die folgenden Rollen verfügen:

      • Wenn die Abfrage auf einen Log Analytics-Arbeitsbereich zugreift, muss der Identität die Rolle „Leserin/Leser“ für alle Arbeitsbereiche zugewiesen werden, auf die von der Abfrage zugegriffen wird. Beim Erstellen von ressourcenzentrierten Protokollsuchwarnungen kann die Warnungsregel auf mehrere Arbeitsbereiche zugreifen, und die Identität muss die Rolle „Leser“ in allen haben.
      • Wenn Sie einen ADX- oder ARG-Cluster abfragen, müssen Sie die Leser-Rolle für alle Datenquellen hinzufügen, auf die von der Abfrage zugegriffen wird. Wenn die Abfrage beispielsweise ressourcenorientiert ist, benötigt sie eine Leserrolle für diese Ressourcen.
      • Wenn die Abfrage auf einen Azure Data Explorer-Remotecluster zugreift, muss die Identität zugewiesen werden:
        • Rolle „Leserin/Leser“ für alle Datenquellen, auf die über die Abfrage zugegriffen wird. Wenn die Abfrage beispielsweise einen Azure Data Explorer-Remotecluster mithilfe der Funktion adx() aufruft, benötigt sie die Rolle „Leserin/Leser“ für diesen ADX-Cluster.
        • Datenbank-Viewer für alle Datenbanken, auf die die Abfrage zugreift.

      Weitere Informationen zu verwalteten Identitäten finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

      Wählen Sie eine der folgenden Optionen für die von der Warnungsregel verwendete Identität aus:

      Identität BESCHREIBUNG
      Keine Warnungsregelberechtigungen basieren auf den Berechtigungen der letzten Benutzerin bzw. des letzten Benutzers, der die Regel zum Zeitpunkt der Bearbeitung der Regel bearbeitet hat.
      Systemzugewiesene verwaltete Identität Azure erstellt eine neue dedizierte Identität für diese Warnungsregel. Diese Identität verfügt über keine Berechtigungen und wird automatisch gelöscht, wenn die Regel gelöscht wird. Nach dem Erstellen der Regel müssen Sie dieser Identität Berechtigungen zuweisen, um auf den Arbeitsbereich und die Datenquellen zuzugreifen, die für die Abfrage erforderlich sind. Weitere Informationen zum Zuweisen von Berechtigungen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
      Benutzerseitig zugewiesene verwaltete Identität Bevor Sie die Warnungsregel erstellen, erstellen Sie eine Identität, und weisen Sie ihr die entsprechenden Berechtigungen für die Protokollabfrage zu. Dies ist eine reguläre Azure-Identität. Sie können eine Identität in mehreren Warnungsregeln verwenden. Die Identität wird gelöscht, wenn die Regel gelöscht wird. Wenn Sie diesen Identitätstyp auswählen, wird ein Bereich geöffnet, in dem Sie die zugeordnete Identität für die Regel auswählen können.

  3. (Optional) Im Abschnitt Erweiterte Optionen können Sie mehrere Optionen festlegen:

    Feld Beschreibung
    Beim Erstellen aktivieren Wählen Sie aus, dass die Warnungsregel sofort nach ihrer Erstellung ausgeführt werden soll.
    Warnungen automatisch auflösen (Vorschau) Wählen Sie dies aus, um die Warnung zustandsbehaftet zu machen. Wenn eine Warnung zustandsbehaftet ist, wird sie aufgelöst, wenn die Bedingung für einen bestimmten Zeitraum nicht mehr erfüllt ist. Der Zeitraum unterscheidet sich je nach Häufigkeit der Warnung:
    1 Minute: Die Warnungsbedingung wird 10 Minuten nicht erfüllt.
    5–15 Minuten: Die Warnungsbedingung wird in drei Häufigkeitszeiträumen nicht erfüllt.
    15 Minuten bis 11 Stunden: Die Warnungsbedingung wird in zwei Häufigkeitszeiträumen nicht erfüllt.
    11 bis 12 Stunden: Die Warnungsbedingung wird in einem Häufigkeitszeitraum nicht erfüllt.

    Beachten Sie, dass zustandsbehaftete Protokollsuchwarnungen die folgenden Einschränkungen haben:
    – Sie können bis zu 300 Warnungen pro Auswertung auslösen.
    – Sie können maximal 5000 Warnungen mit der fired-Warnungsbedingung enthalten.
    Aktionen unterdrücken Aktivieren Sie diese Option, um eine Wartezeit festzulegen, bevor erneut Warnungsaktionen ausgelöst werden. Wenn Sie dieses Kontrollkästchen aktivieren, wird das Feld Aktionen unterdrücken für angezeigt, in dem Sie die Zeitspanne auswählen können, die nach Auslösen einer Warnung gewartet werden soll, bevor erneut Aktionen ausgelöst werden.
    Mit Arbeitsbereich verknüpften Speicher überprüfen Wählen Sie diese Option aus, wenn Protokolle für mit dem Arbeitsbereich verknüpften Speicher für Warnungen konfiguriert sind. Wenn kein verknüpfter Speicher konfiguriert ist, wird die Regel nicht erstellt.

  4. (Optional) Wenn diese Warnungsregel Aktionsgruppen enthält, können Sie im Abschnitt Benutzerdefinierte Eigenschaften eigene Eigenschaften hinzufügen, die in die Nutzdaten der Warnmeldung aufgenommen werden. Sie können diese Eigenschaften in den von der Aktionsgruppe, z. B. von einem Webhook, einer Azure-Funktion oder Logik-App-Aktionen, aufgerufenen Aktionen verwenden.

    Die benutzerdefinierten Eigenschaften werden als Schlüssel-Wert-Paare angegeben, wobei entweder statischer Text, ein dynamischer Wert aus der Warnungsnutzlast oder eine Kombination aus beidem verwendet wird.

    Das Format zum Extrahieren eines dynamischen Werts aus der Warnungsnutzlast ist: ${<path to schema field>}. Z. B.: ${data.essentials.monitorCondition}.

    Verwenden Sie das Format des allgemeinen Warnungsschemas, um das Feld in der Nutzlast anzugeben, unabhängig davon, ob die Aktionsgruppen, die für die Warnungsregel konfiguriert sind, das allgemeine Schema verwenden.

    Hinweis

    • Benutzerdefinierte Konfigurationen werden vom allgemeinen Schema überschrieben. Es ist nicht möglich, sowohl benutzerdefinierte Eigenschaften als auch das allgemeine Schema zu verwenden.
    • Benutzerdefinierte Eigenschaften werden der Nutzlast der Warnung hinzugefügt, jedoch nicht in der E-Mail-Vorlage oder in den Warnungsdetails im Azure-Portal angezeigt.
    • Service Health-Warnungen unterstützen keine benutzerdefinierten Eigenschaften.

    Screenshot des Abschnitts „Benutzerdefinierte Eigenschaften“ zum Erstellen einer neuen Warnungsregel.

    In den folgenden Beispielen werden Werte in den benutzerdefinierten Eigenschaften verwendet, um Daten aus einer Nutzlast zu nutzen, die das allgemeine Warnungsschema verwendet:

    Beispiel 1

    In diesem Beispiel wird ein Tag „Additional Details“ mit Daten zu „windowStartTime“ und „windowEndTime“ erstellt.

    • Name: "Additional Details"
    • Wert: "Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
    • Ergebnis: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

    Beispiel 2 In diesem Beispiel werden die Daten zum Grund für das Auflösen der Warnung hinzugefügt.

    • Name: "Alert ${data.essentials.monitorCondition} reason"
    • Wert: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}"
    • Ergebnis: Beispielergebnisse könnten etwa wie folgt aussehen:
      • "Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585"
      • „Grund für Alarmauslösung“: "Percentage CPU GreaterThan5 Fired. The value is 10.585"

Konfigurieren von Warnungsregel-Tags

  1. Legen Sie auf der Registerkarte Tags alle erforderlichen Tags für die Warnungsregelressource fest.

    Screenshot der Registerkarte „Tags“ beim Erstellen einer neuen Warnungsregel

Überprüfen und Erstellen der Warnungsregel

  1. Auf der Registerkarte Überprüfen + erstellen wird die Regel überprüft, und Sie werden über ggf. vorhandene Probleme informiert.

  2. Wenn die Überprüfung erfolgreich ist und Sie die Einstellungen geprüft haben, wählen Sie die Schaltfläche Erstellen aus.

    Screenshot der Registerkarte „Überprüfen und erstellen“ beim Erstellen einer neuen Warnungsregel

Nächste Schritte