Creación o edición de una regla de alertas de búsqueda de registros

  • Artículo

En este artículo se muestra cómo crear una nueva regla de alertas de búsqueda de registros o editar una regla de alerta de búsqueda de registros existente. Para más información sobre las alertas, consulte la introducción a las alertas.

Puede crear una regla de alerta combinando los recursos que se van a supervisar, los datos de supervisión del recurso y las condiciones que quiere que activen la alerta. A continuación, puede definir grupos de acción y reglas de procesamiento de alertas para determinar qué ocurre cuando se activa una alerta.

Las alertas desencadenadas por estas reglas de alerta contienen una carga útil que usa el esquema de alerta común.

Acceso al asistente para reglas de alertas en Azure Portal

Hay varias maneras de crear o editar una nueva regla de alertas.

Creación o edición de una regla de alerta desde la página principal del portal

  1. En el portal, seleccione Monitor>Alertas.

  2. Abra el menú + Crear y seleccione Regla de alertas.

    Captura de pantalla en la que se muestran los pasos para crear una nueva regla de alertas.

Creación o edición de una regla de alerta a partir de un recurso específico

  1. En el portal, vaya al recurso.

  2. Seleccione Alertas en el panel izquierdo y, a continuación, seleccione + Crear>Regla de alertas.

    Captura de pantalla que muestra los pasos para crear una nueva regla de alertas a partir de un recurso seleccionado.

Edición de una regla de alerta existente

  1. En el portal, ya sea desde la página principal o desde un recurso específico, seleccione Alertas en el panel izquierdo.

  2. Selección de Reglas de alerta.

  3. Seleccione la regla de alertas que desea editar y, a continuación, seleccione Editar.

    Captura de pantalla que muestra los pasos para editar una regla de alerta de búsqueda de registros existente.

  4. Seleccione cualquiera de las pestañas de la regla de alertas para editar la configuración.

Configuración del ámbito de la regla de alertas

  1. En el panel Seleccionar un recurso, establezca el ámbito de la regla de alertas. Puede filtrar por suscripción, tipo de recurso o ubicación del recurso.

  2. Seleccione Aplicar.

    Captura de pantalla que muestra el panel de selección de recursos para crear una nueva regla de alertas.

Configuración de las condiciones de la regla de alertas

  1. En la pestaña Condición, al seleccionar el campo Nombre de señal, seleccione Búsqueda de registros personalizada o Ver todas las señales si desea elegir una señal diferente para la condición.

  2. (Opcional) Si ha elegido Ver todas las señales en el paso anterior, use el panel Seleccionar una señal para buscar el nombre de la señal o filtrar la lista de señales. Filtrar por:

    • Tipo de señal: seleccione búsqueda de registros.
    • Origen de señal: el servicio que envía las señales "Búsqueda de registros personalizada" y "Registro (consulta guardada)". Seleccione el nombre de señal y Aplicar.

  3. En el panel Registros, escriba una consulta que devuelva los eventos de registro para los que desea crear una alerta. Para usar una de las consultas de reglas de alertas predefinidas, expanda el panel Esquema y filtro situado a la izquierda del panel Registros. A continuación, seleccione la pestaña Consultas y seleccione una de ellas.

Limitaciones de las consultas de reglas de alertas de búsqueda de registros:

  • Las consultas de reglas de alertas de búsqueda de registros no admiten los complementos "bag_unpack()", "pivot()" y "narrow()".

  • La palabra "AggregatedValue" es una palabra reservada; no se puede usar en la consulta en las reglas de alertas de búsqueda de registros.

  • El tamaño combinado de todos los datos de las propiedades de la regla de alerta de registro no puede superar los 64 KB.

    Captura de pantalla que muestra el panel Consulta al crear una nueva regla de alertas de búsqueda de registros.

  1. (Opcional) Si está consultando un clúster de ADX o ARG, Log Analytics no podrá identificar automáticamente la columna con la marca de tiempo del evento. Se recomienda agregar un filtro de intervalo de tiempo a la consulta. Por ejemplo:

        adx('https://help.kusto.windows.net/Samples').table    
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Captura de pantalla que muestra la pestaña Condición al crear una nueva regla de alertas de búsqueda de registros.

    Para ver consultas de alertas de búsqueda de registros de ejemplo que consultan ARG o ADX, consulte Ejemplos de consultas de alertas de búsqueda de registros.

    Estas son las limitaciones para usar consultas cruzadas:

  2. Seleccione Ejecutar para ejecutar la alerta.

  3. En la sección Vista previa se muestran los resultados de la consulta. Cuando haya terminado de editar la consulta, seleccione Continuar editando la alerta.

  4. Se abre la pestaña Condición, con la consulta de registro. De manera predeterminada, la regla cuenta el número de resultados de los últimos cinco minutos. Si el sistema detecta resultados resumidos de la consulta, la regla se actualiza automáticamente con esa información.

  5. En la sección Medida, seleccione valores para estos campos:

    Captura de pantalla que muestra la pestaña Medida al crear una nueva regla de alertas de búsqueda de registros.

    Campo Descripción
    Medida Las alertas de búsqueda de registros pueden medir dos cosas diferentes, que se pueden usar para distintos escenarios de supervisión:
    Filas de tabla: el número de filas devueltas se puede usar para trabajar con eventos, como registros de eventos de Windows, Syslog y excepciones de aplicación.
    Cálculo de una columna numérica: se pueden usar cálculos a partir de cualquier columna numérica para incluir cualquier número de recursos. Un ejemplo es el porcentaje de CPU.
    Tipo de agregación Cálculo que se realiza en varios registros para agregarlos a un valor numérico mediante la granularidad de la agregación. Algunos ejemplos son Total, Promedio, Mínimo y Máximo.
    Granularidad de agregación Intervalo para agregar varios registros a un valor numérico.

  6. (Opcional) En la sección Dividir por dimensiones, puede usar dimensiones para ayudar a proporcionar contexto para la alerta desencadenada.

    Captura de pantalla que muestra la sección división por dimensiones de una nueva regla de alertas de búsqueda de registros.

    Las dimensiones son columnas de los resultados de la consulta que contienen datos adicionales. Cuando se usan dimensiones, la regla de alertas agrupa los resultados de la consulta por los valores de las dimensiones y evalúa los resultados de cada grupo por separado. Si se cumple la condición, la regla activa una alerta para ese grupo. La carga de la alerta incluye la combinación que desencadenó la alerta.

    Puede aplicar hasta seis dimensiones por regla de alertas. Las dimensiones solo pueden ser cadenas o columnas numéricas. Si desea usar una columna que no sea un número o un tipo de cadena como dimensión, debe convertirla en una cadena o un valor numérico en la consulta. Si selecciona más de un valor de dimensión, cada serie temporal que se obtiene de la combinación desencadena su propia alerta y se cobra por separado.

    Por ejemplo:

    • Puede usar dimensiones para supervisar el uso de CPU en varias instancias que ejecutan el sitio web o la aplicación. Cada instancia se supervisa individualmente, y se envían notificaciones por cada instancia en la que el uso de la CPU supera el valor configurado.
    • Puede decidir no dividir por dimensiones cuando desee que una condición se aplique a varios recursos del ámbito. Por ejemplo, no utilizaría dimensiones si desea activar una alerta si al menos cinco máquinas en el ámbito del grupo de recursos tienen un uso de CPU superior al valor configurado.

    Seleccione los valores de estos campos:

    • Columna de id. de recurso: en general, si el ámbito de la regla de alertas es un área de trabajo, las alertas se activan en el área de trabajo. Si desea una alerta independiente para cada recurso de Azure afectado, puede hacer lo siguiente:
      • use la columna id. de recurso de Azure de ARM como dimensión (tenga en cuenta que, con esta opción, la alerta se activará en el área de trabajo con la columna id. de recurso de Azure como dimensión.
      • Especifíquelo como una dimensión en la propiedad de id. de recurso de Azure, que hace que el recurso que devuelve su consulta sea el destino de la alerta, por lo que las alertas se activan en el recurso que devuelve su consulta, como una máquina virtual o una cuenta de almacenamiento, en lugar de en el área de trabajo. Al usar esta opción, si el área de trabajo obtiene datos de recursos en más de una suscripción, las alertas se pueden desencadenar en recursos de una suscripción diferente de la suscripción de la regla de alertas.
    Campo Descripción
    Nombre de dimensión Las dimensiones pueden ser columnas numéricas o de cadena. Las dimensiones se usan para supervisar series temporales específicas y proporcionan contexto a la alerta desencadenada.
    Operador Operador utilizado en el nombre y el valor de la dimensión.
    Valores de dimensión Los valores de dimensión se basan en los datos de las últimas 48 horas. Seleccione Agregar valor personalizado para agregar valores de dimensión personalizados.
    Incluir todos los valores futuros Seleccione este campo para incluir los valores futuros agregados a la dimensión seleccionada.

  7. En la sección Lógica de alerta, seleccione valores para estos campos:

    Captura de pantalla que muestra la sección Lógica de alertas de una nueva regla de alertas de búsqueda de registros.

    Campo Descripción
    Operador Los resultados de la consulta se transforman en un número. En este campo, seleccione el operador que se va a usar para comparar el número con respecto al umbral.
    Valor del umbral Valor numérico para el umbral.
    Frecuencia de evaluación Con qué frecuencia se ejecuta la consulta. Se puede establecer en cualquier valor entre un minuto y un día (24 horas).

    Nota:

    Hay algunas limitaciones para usar una frecuencia de regla de alertas de un minuto. Al establecer la frecuencia de la regla de alertas en un minuto, se realiza una manipulación interna para optimizar la consulta. Esta manipulación puede provocar un error en la consulta si contiene operaciones no admitidas. A continuación se muestran las razones más comunes por las que no se admite una consulta:

    • La consulta contiene las operaciones buscar, unión * o tomar (limitar)
    • La consulta contiene la función ingestion_time()
    • La consulta usa el patrón adx
    • La consulta llama a una función que llama a otras tablas

    Para ver consultas de alertas de búsqueda de registros de ejemplo que consultan ARG o ADX, consulte Ejemplos de consultas de alertas de búsqueda de registros.

  8. (Opcional) En la sección Opciones avanzadas, puede especificar el número de errores y el período de evaluación de alerta necesario para desencadenar una alerta. Por ejemplo, si establece Granularidad de agregación en 5 minutos, puede especificar que solo desea desencadenar una alerta si se produjeron tres errores (15 minutos) en la última hora. La directiva de negocio de la aplicación determina esta configuración.

    Captura de pantalla que muestra la sección Opciones avanzadas de una nueva regla de alertas de búsqueda de registros.

    Seleccione los valores de estos campos en Número de infracciones que desencadenarán la alerta:

    Campo Descripción
    Número de infracciones El número de infracciones que desencadena la alerta.
    Período de evaluación El período de tiempo en el que se produce el número de infracciones.
    Reemplazar intervalo de tiempo de consulta Si desea que el período de evaluación de alertas sea diferente al intervalo de tiempo de consulta, escriba un intervalo de tiempo aquí.
    Un intervalo de tiempo de alerta está limitado a un máximo de dos días. Incluso si la consulta contiene un comando ago con un intervalo de tiempo de más de dos días, se aplica el intervalo de tiempo máximo de dos días. Por ejemplo, incluso si el texto de la consulta contiene ago(7d), la consulta solo examina hasta dos días de datos. Si consulta necesita más datos que la evaluación de alertas, puede cambiar el intervalo de tiempo manualmente. Si la consulta contiene un comando ago, se cambiará automáticamente a 2 días (48 horas).

    Nota:

    Si usted o el administrador han asignado la directiva de Azure Las alertas de búsqueda de registros de Azure sobre áreas de trabajo de Log Analytics deben usar claves administradas por el cliente, debe seleccionar la opción Comprobación del almacenamiento vinculado al área de trabajo. Si no lo hace, se producirá un error en la creación de la regla porque no cumplirá los requisitos de la directiva.

  9. En el gráfico de Vista previa se muestran los resultados de las evaluaciones de consulta a lo largo del tiempo. Puede cambiar el período del gráfico o seleccionar series temporales diferentes resultado de la división de una alerta única por dimensiones.

    Captura de pantalla en la que se muestra una vista previa de una nueva regla de alertas.

  10. Seleccione Listo. Desde este punto en adelante, puede seleccionar el botón Revisar y crear en cualquier momento.

Configuración de las acciones de regla de alertas

  1. En la pestaña Acciones, seleccione o cree los grupos de acciones necesarios.

    Captura de pantalla que muestra la pestaña de acciones al crear una nueva regla de alertas.

Configuración de los detalles de regla de alertas

  1. En la pestaña Detalles, defina los detalles de proyecto.

    • Seleccione la Suscripción.
    • Seleccione el Grupo de recursos.

  2. Defina los detalles de la regla de alerta.

    Captura de pantalla que muestra la pestaña Detalles al crear una nueva regla de alertas de búsqueda de registros.

    1. Seleccione la Gravedad.

    2. Escriba valores para el Nombre de la regla de alerta y la Descripción de la regla de alerta.

      Nota:

      Observe que la regla que usa Identity no puede tener el carácter ";" en el nombre de la regla de alerta

    3. Seleccione la región.

    4. En la sección Identidad, seleccione la identidad que usa la regla de alertas de búsqueda de registros para enviar la consulta de registro. Esta identidad se usa para autenticar cuando la regla de alertas ejecuta la consulta de registro.

      Tenga en cuenta lo siguiente al seleccionar una identidad:

      • Se requiere una identidad administrada si envía una consulta a Azure Data Explorer.
      • Use una identidad administrada si desea poder ver o editar los permisos asociados a la regla de alertas.
      • Si no usa una identidad administrada, los permisos de la regla de alertas se basan en los permisos del último usuario para editar la regla cuando esta se editó por última vez.
      • Use una identidad administrada para ayudarle a evitar un caso en el que la regla no funcione según lo previsto porque el usuario que la editó por última vez no tenía permisos para todos los recursos agregados al ámbito de la regla.

      La identidad asociada a la regla debe tener estos permisos:

      • Si la consulta está accediendo a un área de trabajo de Log Analytics, la identidad debe tener asignado un rol Lector para todas las áreas de trabajo a las que accede la consulta. Si está creando alertas de búsqueda de registros centradas en recursos, la regla de alertas puede acceder a varias áreas de trabajo. Además, la identidad debe tener un rol de lector en todos ellos.
      • Si está consultando un clúster de ADX o ARG, debe agregar el rol Lector para todos los orígenes de datos a los que accede la consulta. Por ejemplo, si la consulta está centrada en los recursos, necesita un rol de lector en esos recursos.
      • Si la consulta es acceder a un clúster remoto de Azure Data Explorer, se debe asignar la identidad:
        • Rol Lector para todos los orígenes de datos a los que accede la consulta. Por ejemplo, si la consulta llama a un clúster remoto de Azure Data Explorer mediante la función adx(), necesita el rol Lector en ese clúster de ADX.
        • Vista de base de datos para todas las bases de datos a las que accede la consulta.

      Para obtener más información sobre las identidades administradas, consulte Identidades administradas para los recursos de Azure.

      Seleccione una de las siguientes opciones para la identidad usada por la regla de alertas:

      Identidad Descripción
      Ninguno Los permisos de las reglas de alertas se basan en los permisos del último usuario que editó la regla cuando esta se editó por última vez.
      Identidad administrada asignada por el sistema Azure crea una nueva identidad dedicada para esta regla de alertas. Esta identidad no tiene permisos y se elimina automáticamente cuando se elimina la regla. Después de crear la regla, debe asignarle permisos a esta identidad para acceder al área de trabajo y a los orígenes de datos necesarios para la consulta. Para obtener más información sobre las asignaciones de permisos, consulte Asignar roles de Azure mediante Azure Portal.
      Identidad administrada asignada por el usuario Antes de crear la regla de alertas, cree una identidad y asígnele los permisos adecuados para la consulta de registro. Se trata de una identidad de Azure normal. Puede usar la misma identidad en varias reglas de alertas. La identidad no se elimina cuando se elimina el la regla. Al seleccionar este tipo de identidad, se abre un panel para seleccionar la identidad asociada para la regla.

  3. (Opcional) En la sección Opciones avanzadas, puede establecer varias opciones:

    Campo Descripción
    Habilitar tras la creación Seleccione esta opción para que la regla de alerta empiece a ejecutarse en cuanto haya terminado de crearla.
    Resolución automática de alertas (versión preliminar) Seleccione esta opción para que la alerta tenga estado. Cuando una alerta tiene estado, la alerta se resuelve cuando la condición ya no se cumple para un intervalo de tiempo específico. El intervalo de tiempo difiere en función de la frecuencia de la alerta:
    1 minuto: la condición de alerta no se cumple durante 10 minutos.
    5 a 15 minutos: la condición de alerta no se cumple durante tres períodos de frecuencia.
    15 minutos a 11 horas: la condición de alerta no se cumple durante dos períodos de frecuencia.
    11 a 12 horas: la condición de alerta no se cumple durante un período de frecuencia.

    Tenga en cuenta que las alertas de búsqueda de registros con estado tienen estas limitaciones:
    - pueden desencadenar hasta 300 alertas por evaluación.
    - puede tener un máximo de 5 000 alertas con la condición de alerta fired.
    Silenciar acciones Seleccione esta opción para establecer el período de tiempo que se esperará antes de que se vuelvan a desencadenar las acciones de alerta. Si activa esta casilla, aparece el campo Silenciar acciones durante para seleccionar la cantidad de tiempo que se esperará después de que se desencadene una alerta antes de volver a desencadenar acciones.
    Comprobación del almacenamiento vinculado al área de trabajo Seleccione si el almacenamiento vinculado del área de trabajo de registros para las alertas está configurado. Si no se configura ningún almacenamiento vinculado, no se crea la regla.

  4. (Opcional) En la sección Propiedades personalizadas, si esta regla de alerta contiene grupos de acciones, puede añadir sus propias propiedades para incluirlas en la carga útil de la notificación de alerta. Puede usar estas propiedades en las acciones llamadas por el grupo de acciones, como por ejemplo mediante un webhook, una función de Azure o acciones de la aplicación lógica.

    Las propiedades personalizadas se especifican como pares clave:valor mediante texto estático, un valor dinámico extraído de la carga de alertas o una combinación de ambos.

    El formato para extraer un valor dinámico de la carga de alerta es: ${<path to schema field>}. Por ejemplo: ${data.essentials.monitorCondition}.

    Use el formato de esquema de alerta común para especificar el campo de la carga útil, independientemente de si los grupos de acciones configurados para la regla de alertas usan el esquema común.

    Nota:

    • El esquema común sobrescribe configuraciones personalizadas. No puede usar a la vez las propiedades personalizadas y el esquema común.
    • Las propiedades personalizadas se agregan a la carga de la alerta, pero no aparecen en la plantilla de correo electrónico ni en los detalles de la alerta en Azure Portal.
    • Las alertas de Service Health no admiten propiedades personalizadas.

    Captura de pantalla que muestra la sección de propiedades personalizadas de creación de una nueva regla de alertas.

    En los ejemplos siguientes, los valores de las propiedades personalizadas se usan para utilizar datos de una carga que usa el esquema de alertas común:

    Ejemplo 1

    Este ejemplo crea una etiqueta "Detalles adicionales" con datos sobre la "hora de inicio de la ventana" y la "hora de finalización de la ventana".

    • Nombre: "detalles adicionales"
    • Valor: "Evaluación de windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
    • Resultado: "información adicional:evaluación de windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

    Ejemplo 2 En este ejemplo se agregan los datos relacionados con el motivo de resolución o activación de la alerta.

    • Nombre: "Alerta con razón ${data.essentials.monitorCondition}"
    • Valor: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. El valor es ${data.alertContext.condition.allOf[0].metricValue}"
    • Resultado: los resultados de ejemplo podrían ser similares a los siguientes:
      • "Alerta con razón resuelta: porcentaje de CPU GreaterThan5 resuelto. El valor es 3.585"
      • "Motivo del desencadenador de la alerta": "Porcentaje de CPU GreaterThan5 desencadenado. El valor es 10.585"

Configuración de etiquetas de regla de alertas

  1. En la pestaña Etiquetas, configure las etiquetas necesarias en el recurso de la regla de alertas.

    Captura de pantalla que muestra la pestaña de etiquetas al crear una nueva regla de alertas.

Revisión y creación de la regla de alertas

  1. En la pestaña Revisar y crear, la regla se valida y le comunica si hay algún problema.

  2. Cuando se supere la validación y se haya revisado la configuración, seleccione el botón Crear.

    Captura de pantalla que muestra la pestaña Revisar y crear al crear una nueva regla de alertas.

Pasos siguientes