Tutorial: Erstellen einer Protokollsuchwarnung für eine Azure-Ressource
Azure Monitor-Warnungen informieren Sie proaktiv, wenn wichtige Bedingungen in Ihren Überwachungsdaten gefunden werden. Durch Regeln für Protokollsuchwarnungen wird eine Warnung erstellt, wenn von einer Protokollabfrage ein bestimmtes Ergebnis zurückgegeben wird. So können Sie beispielsweise eine Warnung erhalten, wenn ein auf einem virtuellen Computer bestimmtes Ereignis erstellt wird, oder eine Warnung senden, wenn übermäßig viele anonyme Anforderungen an ein Speicherkonto gesendet werden.
In diesem Tutorial lernen Sie Folgendes:
- Zugreifen auf vordefinierte Protokollabfragen, die für die Unterstützung von Warnungsregeln für verschiedene Arten von Ressourcen konzipiert sind
- Erstellen einer Regel für Protokollsuchwarnungen
- Erstellen einer Aktionsgruppe zum Definieren von Benachrichtigungsdetails
Voraussetzungen
Um dieses Tutorial abzuschließen, benötigen Sie Folgendes:
- Eine zu überwachende Azure-Ressource. Sie können jede Ressource in Ihrem Azure-Abonnement verwenden, die Diagnoseeinstellungen unterstützt. Um zu überprüfen, ob eine Ressource Diagnoseeinstellungen unterstützt, navigieren Sie im Azure-Portal zum Menü der Ressource, und vergewissern Sie sich, dass im Abschnitt Überwachung des Menüs eine Option Diagnoseeinstellungen vorhanden ist.
Wenn Sie eine Azure-Ressource verwenden, bei der es sich nicht um einen virtuellen Computer handelt, benötigen Sie Folgendes:
- Eine Diagnoseeinstellung, um die Ressourcenprotokolle von Ihrer Azure-Ressource an einen Log Analytics-Arbeitsbereich zu senden. Weitere Informationen finden Sie unter Tutorial: Sammeln und Analysieren von Ressourcenprotokollen von einer Azure-Ressource.
Wenn Sie einen virtuellen Azure-Computer verwenden, benötigen Sie Folgendes:
- Eine Datensammlungsregel, um Gastprotokolle und Metriken an einen Log Analytics-Arbeitsbereich zu senden. Weitere Informationen finden Sie unter Tutorial: Sammeln von Gastprotokollen und Metriken von einem virtuellen Azure-Computer.
Auswählen einer Protokollabfrage und Überprüfen der Ergebnisse
Die Daten werden mithilfe einer in Kusto Query Language (KQL) geschriebenen Protokollabfrage aus einem Log Analytics-Arbeitsbereich abgerufen. Erkenntnisse und Lösungen in Azure Monitor stellen Protokollabfragen bereit, um Daten für einen bestimmten Dienst abzurufen, aber Sie können auch im Azure-Portal über Log Analytics direkt mit Protokollabfragen und deren Ergebnissen arbeiten.
Wählen Sie im Menü Ihrer Ressource die Option Protokolle aus. Log Analytics wird mit dem Fenster Abfragen geöffnet, das vordefinierte Abfragen für Ihren Ressourcentyp enthält. Wählen Sie Warnungen aus, um Abfragen anzuzeigen, die für Warnungsregeln entwickelt wurden.
Hinweis
Sollte das Fenster Abfragen nicht geöffnet werden, klicken Sie rechts oben auf Abfragen.
Wählen Sie eine Abfrage aus, und klicken Sie auf Ausführen, um sie im Abfrage-Editor zu laden und Ergebnisse zurückzugeben. Bei Bedarf können Sie die Abfrage ändern und erneut ausführen. Die Abfrage Anonyme Anforderungen anzeigen für Speicherkonten wird beispielsweise im folgenden Screenshot gezeigt. Sie können den Authentifizierungstyp (AuthenticationType) ändern oder nach einer anderen Spalte filtern.
Erstellen einer Warnungsregel
Nachdem Sie Ihre Abfrage überprüft haben, können Sie die Warnungsregel erstellen. Wählen Sie Neue Warnungsregel aus, um eine neue Warnungsregel zu erstellen, die auf der aktuellen Protokollabfrage basiert. Der Bereich ist bereits auf die aktuelle Ressource festgelegt. Dieser Wert muss nicht geändert werden.
Konfigurieren der Bedingung
Auf der Registerkarte Bedingung ist die Protokollabfrage bereits ausgefüllt. Der Abschnitt Messung definiert, wie die Datensätze aus der Protokollabfrage gemessen werden. Wenn die Abfrage keine Zusammenfassung erstellt, besteht die einzige Option darin, die Anzahl von Tabellenzeilen zu zählen. Wenn die Abfrage mindestens eine zusammengefasste Spalte beinhaltet, können Sie entweder die Anzahl von Tabellenzeilen verwenden oder eine Berechnung, die auf einer der zusammengefassten Spalten basiert. Aggregation granularity (Aggregationsgranularität) definiert das Zeitintervall, für das die gesammelten Werte aggregiert werden. Wenn beispielsweise die Aggregationsgranularität auf 5 Minuten festgelegt ist, wertet die Warnungsregel die Daten aus, die in den letzten 5 Minuten aggregiert wurden. Wenn die Aggregationsgranularität auf 15 Minuten festgelegt ist, wertet die Warnungsregel die Daten aus, die in den letzten 15 Minuten aggregiert wurden. Es ist wichtig, die richtige Aggregationsgranularität für Ihre Warnungsregel auszuwählen, da sich dies auf die Genauigkeit der Warnung auswirken kann.
Hinweis
Die kombinierte Größe aller Daten in den Eigenschaften der Protokollbenachrichtigungsregel darf 64 KB nicht überschreiten. Dies kann durch zu viele Dimensionen verursacht werden, die Abfrage ist zu groß, zu viele Aktionsgruppen oder eine lange Beschreibung. Denken Sie beim Erstellen einer großen Warnungsregel daran, diese Bereiche zu optimieren.
Konfigurieren der Dimensionen
Unter Split by dimensions (Nach Dimensionen aufteilen) können Sie separate Warnungen für verschiedene Ressourcen erstellen. Diese Einstellung ist nützlich, wenn Sie eine Warnungsregel erstellen, die für mehrere Ressourcen gilt. Wenn der Bereich auf eine einzelne Ressource festgelegt ist, wird diese Einstellung in der Regel nicht verwendet.
Wenn Sie eine bestimmte Dimension in die E-Mail für die Warnungsbenachrichtigung einbeziehen möchten, können Sie die Dimension (z. B. „Computer“) angeben. E-Mail für die Warnungsbenachrichtigung enthält dann den Computernamen, der die Warnung ausgelöst hat. Die Warnungs-Engine verwendet die Warnungsabfrage, um die verfügbaren Dimensionen zu ermitteln. Wenn die gewünschte Dimension in der Dropdownliste für den Dimensionsnamen nicht angezeigt wird, liegt dies daran, dass die Warnungsabfrage diese Spalte in den Ergebnissen nicht verfügbar macht. Sie können ganz einfach die gewünschten Dimensionen hinzufügen, indem Sie Ihrer Abfrage eine Zeile „Project“ hinzufügen, die die gewünschten Spalten enthält. Sie können auch die Zeile „Zusammenfassung“ verwenden, um den Abfrageergebnissen weitere Spalten hinzuzufügen.
Konfigurieren der Warnungslogik
Konfigurieren Sie in der Warnungslogik den Operator und den Schwellenwert für den Vergleich mit dem von der Messung zurückgegebenen Wert. Ist dieser Wert „true“, wird eine Warnung erstellt. Wählen Sie einen Wert für Häufigkeit der Auswertung aus, um zu definieren, wie oft die Protokollabfrage ausgeführt und ausgewertet werden soll. Je niedriger der Wert für die Häufigkeit, desto höher die Kosten für die Warnungsregel. Wenn Sie eine Häufigkeit auswählen, werden die voraussichtlichen monatlichen Kosten sowie eine Vorschau der Abfrageergebnisse für einen gewissen Zeitraum angezeigt.
Wenn die Messung also beispielsweise auf Tabellenzeilen basiert, kann die Warnungslogik Größer als 0 verwendet werden, um anzugeben, dass mindestens ein Datensatz zurückgegeben wurde. Wenn es sich bei der Messung um einen Spaltenwert handelt, muss die Logik möglicherweise größer oder kleiner als ein bestimmter Schwellenwert sein. Im folgenden Beispiel sucht die Protokollabfrage nach anonymen Anforderungen für ein Speicherkonto. Wenn eine anonyme Anforderung gemacht wird, sollten wir eine Warnung auslosen. In diesem Fall wird die Warnung ausgelöst, wenn eine einzelne Zeile zurückgegeben wird. Die Warnungslogik muss also Größer als 0 lauten.
Konfigurieren von Aktionen
Aktionsgruppen definieren eine Reihe von Aktionen, die beim Auslösen einer Warnung durchgeführt werden sollen, etwa Senden einer E-Mail oder einer SMS-Nachricht.
Um Aktionen zu konfigurieren, wählen Sie die Registerkarte Aktionen aus.
Klicken Sie auf Aktionsgruppen auswählen, um der Warnungsregel eine Aktionsgruppe hinzuzufügen.
Ist in Ihrem Abonnement noch keine Aktionsgruppe zum Auswählen enthalten, klicken Sie auf Aktionsgruppe erstellen, um eine neue Aktionsgruppe zu erstellen.
Wählen Sie ein Abonnement und eine Ressourcengruppe für die Aktionsgruppe aus, geben Sie unter Name der Aktionsgruppe einen Namen ein, der im Portal angezeigt wird, und geben Sie unter Anzeigename einen Namen ein, der in E-Mail- und SMS-Benachrichtigungen angezeigt wird.
Wählen Sie die Registerkarte Benachrichtigungen aus, und fügen Sie eine oder mehrere Methoden hinzu, um die entsprechenden Personen zu benachrichtigen, wenn die Warnung ausgelöst wird.
Konfigurieren der Details
Wählen Sie die Registerkarte Details aus, und konfigurieren Sie verschiedene Einstellungen für die Warnungsregel.
- Name der Warnungsregel: Geben Sie einen aussagekräftigen Namen an, da dieser beim Auslösen der Warnung angezeigt wird.
- Geben Sie optional eine Beschreibung der Warnungsregel ein, die in den Details der Warnung enthalten ist.
- Abonnement und Ressourcengruppe, in denen die Warnungsregel gespeichert wird. Hierbei muss es sich nicht um dieselbe Ressourcengruppe handeln, in der sich die überwachte Ressource befindet.
- Schweregrad für die Warnung. Mit dem Schweregrad können Warnungen mit einer ähnlichen relativen Wichtigkeit gruppiert werden. Der Schweregrad Fehler ist für einen nicht reagierenden virtuellen Computer geeignet.
- Lassen Sie unter Erweiterte Optionen das Kontrollkästchen Beim Erstellen aktivieren aktiviert.
- Lassen Sie unter Erweiterte Optionen das Kontrollkästchen Warnungen automatisch auflösen aktiviert. Dadurch wird die Warnung als zustandsbehaftet festgelegt, was bedeutet, dass die Warnung aufgelöst wird, wenn die Bedingung nicht mehr erfüllt ist.
Klicken Sie auf Warnungsregel erstellen, um die Warnungsregel zu erstellen.
Anzeigen der Warnung
Wenn eine Warnung ausgelöst wird, werden Benachrichtigungen in ihren Aktionsgruppen gesendet. Darüber hinaus können Sie die Warnung im Azure-Portal anzeigen.
Wählen Sie im Ressourcenmenü die Option Warnungen aus. Wenn für die Ressourcen offene Warnungen vorhanden sind, sind sie in der Ansicht enthalten.
Klicken Sie auf einen Schweregrad, um die Warnungen mit diesem Schweregrad anzuzeigen. Wählen Sie Benutzerantwort aus, und deaktivieren Sie Geschlossen, um nur offene Warnungen anzuzeigen.
Klicken Sie auf den Namen einer Warnung, um ihre Details anzuzeigen.
Nächste Schritte
Nachdem Sie nun gelernt haben, wie Sie eine Protokollsuchwarnung für eine Azure-Ressource erstellen, können Sie sich als Nächstes mit Arbeitsmappen zum Erstellen interaktiver Visualisierungen von Überwachungsdaten befassen.