Teilen über


Schnellstart: Erstellen von Warnungen mit Azure Resource Graph und Log Analytics

In diesem Schnellstart erfahren Sie, wie Sie Azure Log Analytics verwenden können, um Warnungen für Azure Resource Graph-Abfragen zu erstellen. Sie können Warnungen mit Azure Resource Graph-Abfragen, Log Analytics-Arbeitsbereichen und verwalteten Identitäten erstellen. Die Bedingungen der Warnung senden Benachrichtigungen in einem bestimmten Intervall.

Sie können Abfragen verwenden, um Warnungen für Ihre bereitgestellten Azure-Ressourcen einzurichten. Sie können Abfragen mithilfe von Azure Resource Graph-Tabellen erstellen oder Azure Resource Graph-Tabellen und Log Analytics-Daten aus Azure Monitor-Protokollen kombinieren.

Erstellen Sie in den Beispielen dieses Artikels Ressourcen in derselben Ressourcengruppe, und verwenden Sie dieselbe Region, z. B. USA, Westen 3. In den Beispielen in diesem Artikel werden Abfragen ausgeführt und Warnungen für Azure-Ressourcen in einem einzigen Azure-Mandanten erstellt. Azure Data Explorer-Cluster liegen außerhalb des Umfangs dieses Artikels.

Dieser Artikel enthält zwei Beispiele für Warnungen:

  • Azure Resource Graph: Verwendet die Azure Resource Graph-Tabelle Resources, um eine Abfrage zu erstellen, die Daten für Ihre bereitgestellten Azure-Ressourcen abruft und eine Warnung erstellt.
  • Azure Resource Graph und Log Analytics: Verwenden die Azure Resource Graph-Tabelle Resources und Log Analytics-Daten aus der Azure Monitor Logs-Tabelle Heartbeat. In diesem Beispiel wird eine VM verwendet, um zu zeigen, wie die Abfrage und Warnung eingerichtet werden.

Hinweis

Die Integration von Azure Resource Graph-Warnungen in Log Analytics befindet sich in der öffentlichen Vorschauphase.

Voraussetzungen

  • Sollten Sie kein Azure-Konto haben, erstellen Sie zunächst ein kostenloses Konto.
  • In Azure bereitgestellte Ressourcen wie VMs oder Speicherkonten
  • Um das Beispiel für die Azure Resource Graph- und Log Analytics-Abfrage zu verwenden, benötigen Sie mindestens eine Azure-VM mit dem Azure Monitor-Agent.

Erstellen des Arbeitsbereichs

Erstellen Sie einen Log Analytics-Arbeitsbereich in dem Abonnement, das überwacht wird.

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie in das Suchfeld Log Analytics-Arbeitsbereiche ein, und wählen Sie Log Analytics-Arbeitsbereiche aus.

    Wenn Sie Log Analytics-Arbeitsbereiche verwendet haben, können Sie diese unter Azure-Dienste auswählen.

    Screenshot: Azure-Startseite, auf der Suchfelder und Log Analytics-Arbeitsbereiche hervorgehoben sind

  3. Wählen Sie Erstellen aus:

    • Abonnement: Wählen Sie Ihr Azure-Abonnement aus.
    • Ressourcengruppe: demo-arg-alert-rg
    • Name: demo-arg-alert-workspace
    • Region: USA, Westen 3
      • Sie können eine andere Region auswählen, sollten jedoch für andere Ressourcen dieselbe Region verwenden.
  4. Wählen Sie Überprüfen und erstellen aus, und warten Sie, bis Überprüfung erfolgreich angezeigt wird.

  5. Wählen Sie Erstellen aus, um mit der Bereitstellung zu beginnen.

  6. Wählen Sie Zu Ressource wechseln aus, wenn die Bereitstellung abgeschlossen ist.

Erstellen eines virtuellen Computers

Sie müssen keine VM für das Beispiel erstellen, das die Azure Resource Graph-Tabelle verwendet.

Erstellen einer Abfrage

Erstellen Sie über den Log Analytics-Arbeitsbereich eine Azure Resource Graph-Abfrage, um die Anzahl Ihrer Azure-Ressourcen abzurufen. In diesem Beispiel wird die Azure Resource Graph-Tabelle Resources verwendet.

  1. Wählen Sie Protokolle auf der linken Seite der Seite Log Analytics-Arbeitsbereich aus. Schließen Sie das Fenster Abfragen, wenn es angezeigt wird.

  2. Verwenden Sie den folgenden Code in Neue Abfrage.

    arg("").Resources
    | count
    

    Bei Tabellennamen in Log Analytics sollte der erste Buchstabe jedes Worts muss großgeschrieben werden, z. B. Resources oder ResourceContainers. Sie können aber auch Kleinbuchstaben wie bei resources oder resourcecontainers verwenden.

    Screenshot: Log Analytics-Arbeitsbereich mit einer Abfrage der Tabelle „Resources“, in dem Protokolle und die Schaltfläche „Run“ hervorgehoben sind

  3. Ausführen auswählen.

    Unter Ergebnisse wird die Anzahl der Ressourcen in Ihrem Azure-Abonnement angezeigt. Notieren Sie sich diese Zahl, da Sie sie für die Bedingung der Warnungsregel benötigen. Wenn Sie die Abfrage manuell ausführen, basiert die Anzahl auf der Benutzeridentität, und eine ausgelöste Warnung verwendet eine verwaltete Identität. Es ist möglich, dass die Anzahl zwischen einer manuellen Ausführung oder einer ausgelösten Warnung variiert.

  4. Entfernen Sie die Anzahl aus Ihrer Abfrage.

    arg("").Resources
    

Erstellen einer Warnungsregel

Wählen Sie im Log Analytics-Arbeitsbereich Neue Warnungsregel aus. Die Abfrage aus Ihrem Log Analytics-Arbeitsbereich wird in die Warnungsregel kopiert. Warnungsregel erstellen enthält mehrere Registerkarten, die aktualisiert werden müssen, um die Warnung zu erstellen.

Screenshot: Seite „Log Analytics-Arbeitsbereich“, auf der die neue Warnungsregel hervorgehoben ist

Bereich

Vergewissern Sie sich, dass der Bereich standardmäßig auf Ihren Log Analytics-Arbeitsbereich demo-arg-alert-workspace festgelegt ist.

Führen Sie die folgenden Schritte nur dann aus, wenn Ihr Bereich nicht auf die Standardeinstellung festgelegt ist:

  1. Wechseln Sie zur Registerkarte Bereich, und wählen Sie Bereich auswählen aus.
  2. Löschen Sie am unteren Rand des Bildschirms Ausgewählte Ressourcen den aktuellen Bereich.
  3. Wählen Sie die Option Bereich auswählen aus.
  4. Erweitern Sie demo-arg-alert-rg in der Liste der Ressourcen, und wählen Sie demo-arg-alert-workspace aus.
  5. Wählen Sie Übernehmen.
  6. Wählen Sie Weiter: Bedingung aus.

Bedingung

Das Formular enthält mehrere auszufüllende Felder:

  • Signalname: benutzerdefinierte Protokollsuche
  • Suchabfrage: Zeigt den Abfragecode an.
    • Wenn Sie den Bereich geändert haben, müssen Sie die Abfrage aus dem Abschnitt Abfrage erstellen hinzufügen.

Verbrauchsberechnung

  • Measure: Tabellenzeilen
  • Aggregationstyp: Count (Anzahl)
  • Aggregationsgranularität: 5 Minuten

Warnungslogik

  • Operator: Größer als
  • Schwellenwert: Verwenden Sie eine Zahl, die kleiner als die von der Ressourcenanzahl zurückgegebene Zahl ist.
    • Wenn die Ressourcenanzahl beispielsweise 50 war, verwenden Sie 45. Dieser Wert löst die entsprechende Warnung aus, wenn Ihre Ressourcen ausgewertet wird, da die Anzahl der Ressourcen den Schwellenwert übersteigt.
  • Häufigkeit der Auswertung: 5 Minuten

Wählen Sie Weiter: Aktionen aus.

Aktionen

Wählen Sie Aktionsgruppe erstellen aus:

  • Abonnement: Wählen Sie Ihr Azure-Abonnement.
  • Ressourcengruppe: demo-arg-alert-rg
  • Region: Global ermöglicht dem Aktionsgruppendienst, den Standort auszuwählen.
  • Name der Aktionsgruppe: demo-arg-alert-action-group
  • Anzeigename: demo-action (maximal 12 Zeichen)

Wählen Sie Weiter: Benachrichtigungen aus:

  • Benachrichtigungstyp: Wählen Sie E-Mail/SMS/Push/Sprachanruf aus.
  • Name: email-alert
  • Aktivieren Sie das Kontrollkästchen E-Mail, und geben Sie Ihre E-Mail-Adresse ein.
  • Klicken Sie auf OK.

Wählen Sie Überprüfen und erstellen aus, überprüfen Sie, ob die Zusammenfassung korrekt ist, und wählen Sie dann Erstellen aus. Sie kehren zur Registerkarte Aktionen der Seite Warnungsregel erstellen zurück. Der Aktionsgruppenname zeigt die von Ihnen erstellte Aktionsgruppe an. Sie erhalten eine E-Mail-Benachrichtigung, um zu bestätigen, dass Sie der Aktionsgruppe hinzugefügt wurden.

Wählen Sie Weiter: Details aus.

Details

Verwenden Sie die folgenden Informationen auf der Registerkarte Details:

  • Abonnement: Wählen Sie Ihr Azure-Abonnement.
  • Ressourcengruppe: demo-arg-alert-rg
  • Schweregrad: Übernehmen Sie den Standardwert 3 – Informativ.
  • Name der Warnungsregel: demo-arg-alert-rule
  • Beschreibung der Warnungsregel: E-Mail-Warnung für die Anzahl der Azure-Ressourcen
  • Region: USA, Westen 3
  • Identität: Wählen Sie Systemseitig zugewiesene verwaltete Identität aus.

Wählen Sie Überprüfen und erstellen aus, überprüfen Sie, ob die Zusammenfassung korrekt ist, und wählen Sie dann Erstellen aus. Sie kehren zur Seite Protokolle Ihres Log Analytics-Arbeitsbereichs zurück.

Zuweisen einer Rolle

Weisen Sie der systemseitig zugewiesenen verwalteten Identität die Rolle Log Analytics-Leser zu, damit sie berechtigt ist, Warnungen auszulösen, die E-Mail-Benachrichtigungen senden.

  1. Wählen Sie Überwachen>Warnungen im Log Analytics-Arbeitsbereich aus. Wählen Sie OK aus, wenn Sie darauf hingewiesen werden, dass Ihre nicht gespeicherten Bearbeitungen verworfen werden.
  2. Wählen Sie Warnungsregeln aus.
  3. Wählen Sie demo-arg-alert-rule aus.
  4. Wählen Sie Einstellungen>Identität>Systemseitig zugewiesen aus:
    • Status: Ein
    • Objekt-ID: Zeigt die GUID für Ihre Unternehmensanwendung (Dienstprinzipal) in Microsoft Entra ID an
    • Berechtigung: Wählen Sie Azure-Rollenzuweisungen aus:
      • Überprüfen Sie, ob Ihr Abonnement ausgewählt ist.
      • Wählen Sie Rollenzuweisung hinzufügen aus.
      • Bereich: Abonnement
      • Abonnement: Wählen Sie Ihr Azure-Abonnement aus.
      • Rolle: Log Analytics-Leser
  5. Wählen Sie Speichern aus.

Es dauert ein paar Minuten, bis die Rolle Log Analytics-Leser auf der Seite Azure-Rollenzuweisungen angezeigt wird. Wählen Sie zum Aktualisieren der Seite die Option Aktualisieren aus.

Verwenden Sie die Schaltfläche „Zurück“ Ihres Browsers, um zu Identität zurückzukehren, und wählen Sie dann Übersicht aus, um zur Warnungsregel zurückzukehren. Wählen Sie den Link zu Ihrer Ressourcengruppe demo-arg-alert-rg aus.

Es gehört zwar nicht zum Umfang dieses Artikels, doch fügen Sie bei einem Azure Data Explorer-Cluster der systemseitig zugewiesenen verwalteten Identität die Rolle Reader hinzu. Weitere Informationen finden Sie am Ende dieses Artikels unter dem Link Rollenzuweisungen für Azure Data Explorer-Cluster.

Überprüfen von Warnungen

Nachdem die Rolle Ihrer Warnungsregel zugewiesen wurde, empfangen Sie E-Mails für Warnmeldungen. Die Regel wurde dafür konfiguriert, Benachrichtigungen alle fünf Minuten zu senden. Es dauert ein paar Minuten, bis Sie die erste Warnung erhalten.

Darüber hinaus können Sie die Warnungen im Azure-Portal anzeigen:

  1. Wechseln Sie zur Ressourcengruppe demo-arg-alert-rg.

  2. Wählen Sie demo-arg-alert-workspace in der Ressourcenliste aus.

  3. Wählen Sie Überwachung>Warnungen aus.

  4. Eine Liste der Warnungen wird angezeigt.

    Screenshot: Log Analytics-Arbeitsbereich, in dem eine Liste der ausgelösten Warnungen angezeigt wird

Bereinigen von Ressourcen

Wenn Sie die Warnungskonfiguration beibehalten möchten, die Warnung jedoch nicht mehr ausgelöst werden und E-Mail-Benachrichtigungen senden soll, können Sie sie deaktivieren. Wechseln Sie zu Ihrer Warnungsregel demo-arg-alert-rule oder demo-arg-la-alert-rule, und wählen Sie Deaktivieren aus.

Wenn Sie die Warnung oder die Ressourcen nicht mehr benötigen, die Sie in diesem Beispiel erstellt haben, löschen Sie die Ressourcengruppe mit den folgenden Schritten:

  1. Wechseln Sie zur Ressourcengruppe demo-arg-alert-rg.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie den Namen der Ressourcengruppe zur Bestätigung ein.
  4. Klicken Sie auf Löschen.

Wenn Sie eine VM erstellt haben, löschen Sie den privaten Schlüssel, den Sie während der Bereitstellung auf Ihren Computer heruntergeladen haben. Der Dateiname hat die Erweiterung .pem.

Weitere Informationen zur Abfragesprache oder zu Ressourcen finden Sie in den folgenden Artikeln.