Creación o edición de una regla de alertas de búsqueda de registros
En este artículo se muestra cómo crear una nueva regla de alertas de búsqueda de registros o editar una regla de alerta de búsqueda de registros existente en Azure Monitor. Para más información sobre las alertas, consulte la introducción a las alertas.
Las reglas de alerta combinan los recursos que se van a supervisar, los datos de supervisión del recurso y las condiciones que desea desencadenar la alerta. A continuación, puede definir grupos de acción y reglas de procesamiento de alertas para determinar qué ocurre cuando se activa una alerta.
Las alertas desencadenadas por estas reglas de alerta contienen una carga útil que usa el esquema de alerta común.
Requisitos previos
Para crear o editar una regla de alerta, debe tener los permisos siguientes:
- Permiso de lectura en el recurso de destino de la regla de alerta.
- Permiso de escritura en el grupo de recursos en el que se crea la regla de alertas. Si va a crear la regla de alerta desde el portal de Azure, esta se crea de forma predeterminada en el mismo grupo de recursos en el que reside el recurso de destino.
- Permiso de lectura en cualquier grupo de acciones asociado a la regla de alerta, si procediera.
Acceso al asistente para reglas de alertas en Azure Portal
Hay varias maneras de crear o editar una regla de alertas.
Creación o edición de una regla de alerta desde la página principal del portal
- En Azure Portal, seleccione Supervisión.
- En el panel izquierdo, seleccione Alertas.
- Seleccione + Crear>Regla de alerta.
Creación o edición de una regla de alerta a partir de un recurso específico
- En Azure Portal, vaya al recurso.
- En el panel izquierdo, seleccione Alertas.
- Seleccione + Crear>Regla de alerta.
- El ámbito de la regla de alertas se establece en el recurso seleccionado. Continúe con la configuración de las condiciones de la regla de alertas.
Edición de una regla de alerta existente
En Azure Portal, ya sea desde la página de inicio o desde un recurso específico, seleccione Alertas en el panel izquierdo.
Selección de Reglas de alerta.
Seleccione la regla de alertas que desea editar y a continuación, seleccione Editar.
Seleccione cualquiera de las pestañas de la regla de alertas para editar la configuración.
Configuración del ámbito de la regla de alertas
En el panel Seleccionar un recurso, establezca el ámbito de la regla de alertas. Puede filtrar por suscripción, tipo de recurso o ubicación del recurso.
Seleccione Aplicar.
Configuración de condiciones de regla de alertas
En la pestaña Condición, al seleccionar el campo Nombre de señal, seleccione Búsqueda de registros personalizada. O seleccione Ver todas las señales si quiere elegir una señal diferente para la condición.
(Opcional) Si ha seleccionado Ver todas las señales en el paso anterior, use el panel Seleccionar una señal para buscar el nombre de la señal o filtrar la lista de señales. Filtrar por:
- Tipo de señal: seleccione búsqueda de registros.
- Origen de señal: el servicio que envía las señales Búsqueda de registros personalizada y Registro (consulta guardada). Seleccione el nombre de la señal y, a continuación, seleccione Aplicar.
En el panel Registros, escriba una consulta que devuelva los eventos de registro para los que desea crear una alerta. Para usar una de las consultas de reglas de alerta predefinidas, expanda el panel Esquema y filtro junto al panel Registros. A continuación, seleccione la pestaña Consultas y seleccione una de ellas.
Tenga en cuenta estas limitaciones para las consultas de reglas de alertas de búsqueda de registros:
- Las consultas de reglas de alertas de búsqueda de registros no admiten
bag_unpack()
,pivot()
, ynarrow()
. - Las consultas de reglas de alerta de búsqueda de registro admiten ago() solo con literales de intervalo de tiempo.
AggregatedValue
es una palabra reservada. No se puede usar en la consulta en las reglas de alertas de búsqueda de registros.- El tamaño combinado de todos los datos de las propiedades de las reglas de alertas de búsqueda de registros no puede superar los 64 KB.
- Al definir funciones personalizadas en la consulta KQL para las alertas de búsqueda de registros, es importante tener cuidado con el código de función que incluye cláusulas de tiempo relativas (por ejemplo, now()). Las funciones personalizadas con cláusulas de tiempo relativas que no están definidas en la propia consulta KQL de alerta de búsqueda de registros pueden introducir incoherencias en los resultados de la consulta, lo que podría afectar a la precisión y confiabilidad de las evaluaciones de alertas. Por lo tanto:
- Para garantizar alertas precisas y oportunas, defina siempre cláusulas de tiempo relativas directamente dentro de la consulta KQL de alerta de búsqueda de registros.
- Si se necesitan intervalos de tiempo dentro de la función, deben pasarse como parámetros y usarse en la función.
- Las consultas de reglas de alertas de búsqueda de registros no admiten
(Opcional) Si está consultando un clúster de Azure Data Explorer o Azure Resource Graph, el área de trabajo de Log Analytics no puede identificar automáticamente la columna con la marca de tiempo del evento. Se recomienda agregar un filtro de intervalo de tiempo a la consulta. Por ejemplo:
adx('https://help.kusto.windows.net/Samples').table | where MyTS >= ago(5m) and MyTS <= now()
arg("").Resources | where type =~ 'Microsoft.Compute/virtualMachines' | project _ResourceId=tolower(id), tags
Consultas de alertas de búsqueda de registros de ejemplo están disponibles para Azure Data Explorer y Resource Graph.
Las consultas entre servicios no se admiten en nubes gubernamentales. Para más información sobre las limitaciones, consulte Limitaciones de consultas entre servicios y Combinación de tablas de Azure Resource Graph con un área de trabajo de Log Analytics.
Seleccione Ejecutar para ejecutar la alerta.
En la sección Vista previa se muestran los resultados de la consulta. Cuando termine de editar la consulta, seleccione Continuar con la edición de alertas.
Se abre la pestaña Condición, y se rellena con la consulta de registro. De manera predeterminada, la regla cuenta el número de resultados de los últimos cinco minutos. Si el sistema detecta resultados resumidos de la consulta, la regla se actualiza automáticamente con esa información.
En la sección Medida, seleccione valores para estos campos:
Campo Descripción Medida Las alertas de búsqueda de registros pueden medir dos cosas que puede usar para varios escenarios de supervisión:
Filas de tabla: puede usar el número de filas devueltas para trabajar con eventos como registros de eventos de Windows, Syslog y excepciones de aplicación.
Cálculo de una columna numérica: puede usar cálculos basados en cualquier columna numérica para incluir cualquier número de recursos. Un ejemplo es el porcentaje de CPU.Tipo de agregación Cálculo que se realiza en varios registros para agregarlos a un valor numérico mediante la granularidad de la agregación. Algunos ejemplos son Total, Promedio, Mínimo, y Máximo. Granularidad de agregación Intervalo para agregar varios registros a un valor numérico. (Opcional) En la sección Dividir por dimensiones, puede usar dimensiones para ayudar a proporcionar contexto para la alerta desencadenada.
Las dimensiones son columnas de los resultados de la consulta que contienen datos adicionales. Cuando se usan dimensiones, la regla de alertas agrupa los resultados de la consulta por los valores de las dimensiones y evalúa los resultados de cada grupo por separado. Si se cumple la condición, la regla activa una alerta para ese grupo. La carga de la alerta incluye la combinación que desencadenó la alerta.
Puede aplicar hasta seis dimensiones por regla de alertas. Las dimensiones solo pueden ser columnas numéricas o de cadena. Si desea usar una columna que no sea un número o un tipo de cadena como dimensión, debe convertirla en una cadena o un valor numérico en la consulta. Si selecciona más de un valor de dimensión, cada serie temporal que se obtiene de la combinación desencadena su propia alerta y se cobra por separado.
Por ejemplo:
- Puede usar dimensiones para supervisar el uso de CPU en varias instancias que ejecutan el sitio web o la aplicación. Cada instancia se supervisa individualmente, y se envían notificaciones por cada instancia en la que el uso de la CPU supera el valor configurado.
- Puede decidir no dividir por dimensiones cuando desee que una condición se aplique a varios recursos del ámbito. Por ejemplo, no utilizaría dimensiones si desea activar una alerta si al menos cinco máquinas en el ámbito del grupo de recursos tienen un uso de CPU superior al valor configurado.
En general, si el ámbito de la regla de alerta es un área de trabajo, las alertas se activan en el área de trabajo. Si desea una alerta independiente para cada recurso de Azure afectado, puede hacer lo siguiente:
Use la columna Azure Resource Manager Identificador de recurso de Azure como dimensión. Al usar esta opción, la alerta se activa en el área de trabajo con la columna Identificador de recurso de Azure como dimensión.
Especifique la alerta como dimensión en la propiedad Azure Resource ID. Esta opción hace que el recurso que la consulta devuelva el destino de la alerta. A continuación, las alertas se activan en el recurso que devuelve la consulta, como una máquina virtual o una cuenta de almacenamiento, en lugar del área de trabajo.
Al usar esta opción, si el área de trabajo obtiene datos de recursos de más de una suscripción, las alertas se pueden desencadenar en recursos de una suscripción diferente de la suscripción de regla de alertas.
Seleccione los valores de estos campos:
Campo Descripción Nombre de dimensión Las dimensiones pueden ser columnas numéricas o de cadena. Las dimensiones se usan para supervisar series temporales específicas y proporcionan contexto a la alerta desencadenada. Operador Operador que se usa en el nombre y el valor de la dimensión. Valores de la dimensión Los valores de dimensión se basan en los datos de las últimas 48 horas. Seleccione Agregar valor personalizado para agregar valores de dimensión personalizados. Incluir todos los valores futuros Seleccione este campo para incluir los valores futuros agregados a la dimensión seleccionada. En la sección Lógica de alerta, seleccione valores para estos campos:
Campo Descripción Operador Los resultados de la consulta se transforman en un número. En este campo, seleccione el operador que se va a usar para comparar el número con respecto al umbral. Valor del umbral Valor numérico para el umbral. Frecuencia de evaluación Con qué frecuencia se ejecuta la consulta. Puede establecerlo en cualquier lugar de un minuto a un día (24 horas). Nota:
La frecuencia no es una hora específica en la que se ejecuta la alerta todos los días. Es la frecuencia con la que se ejecuta la regla de alertas.
Hay algunas limitaciones para usar una frecuencia de regla de alerta de un minuto. Al establecer la frecuencia de la regla de alertas en un minuto, se realiza una manipulación interna para optimizar la consulta. Esta manipulación puede provocar un error en la consulta si contiene operaciones no admitidas. Las razones más comunes por las que no se admite una consulta son:
- La consulta contiene la operación
search
,union
, otake
(límite). - La consulta contiene la función
ingestion_time()
. - La consulta usa el patrón
adx
. - La consulta llama a una función que llama a otras tablas.
Consultas de alertas de búsqueda de registros de ejemplo están disponibles para Azure Data Explorer y Resource Graph.
- La consulta contiene la operación
(Opcional) En la sección Opciones avanzadas, puede especificar el número de errores y el período de evaluación de alertas necesario para desencadenar una alerta. Por ejemplo, si establece Granularidad de agregación en 5 minutos, puede especificar que desea desencadenar una alerta solo si se produjeron tres errores (15 minutos) en la última hora. La directiva empresarial de la aplicación determina esta configuración.
Seleccione los valores de estos campos en Número de infracciones que desencadenarán la alerta:
Campo Descripción Número de infracciones El número de infracciones que desencadena la alerta. Período de evaluación El período de tiempo en el que se produce el número de infracciones. Invalidar el intervalo de tiempo de consulta Si desea que el período de evaluación de alertas sea diferente del intervalo de tiempo de consulta, escriba un intervalo de tiempo aquí.
Un intervalo de tiempo de alerta está limitado a un máximo de dos días. Incluso si la consulta contiene un comandoago
con un intervalo de tiempo de más de dos días, se aplica el intervalo de tiempo máximo de dos días. Por ejemplo, incluso si el texto de la consulta contieneago(7d)
, la consulta solo examina hasta dos días de datos. Si consulta necesita más datos que la evaluación de alertas, puede cambiar el intervalo de tiempo manualmente. Si la consulta contiene un comandoago
, cambia automáticamente a dos días (48 horas).Nota:
Si usted o el administrador han asignado la directiva de Azure Alertas de Azure Log Search a través de áreas de trabajo de Log Analytics deben usar claves administradas por el cliente, debe seleccionar Comprobar el almacenamiento vinculado del área de trabajo. Si no lo hace, se producirá un error en la creación de la regla porque no cumplirá los requisitos de la directiva.
En el gráfico vista previa se muestran los resultados de las evaluaciones de consultas a lo largo del tiempo. Puede cambiar el período del gráfico o seleccionar series temporales diferentes resultado de la división de una alerta única por dimensiones.
Seleccione Listo. Una vez que haya configurado las condiciones de la regla de alertas, establezca los detalles de la misma para completar la creación de la alerta u, opcionalmente, agregue acciones y etiquetas a la regla de alertas.
Configuración de las acciones de regla de alertas
En la pestaña Acciones, es posible seleccionar o crear grupos de acciones para la regla de alertas.
Configuración de los detalles de la regla de alertas
En la pestaña Detalles, en Detalles del proyecto, seleccione los valores de Suscripción y Grupo de recursos.
En Detalles de la regla de alertas:
Seleccione el valor Gravedad.
Escriba los valores de Nombre de regla de alerta y Descripción de la regla de alerta.
Nota:
Una regla que usa una identidad no puede tener el punto y coma (;) carácter en el valor de nombre de la regla de alerta.
Seleccione el valor Region.
En la sección Identidad, seleccione la identidad que usa la regla de alertas de búsqueda de registros para la autenticación cuando envíe la consulta de registro.
Tenga en cuenta estos puntos al seleccionar una identidad:
- Se requiere una identidad administrada si va a enviar una consulta a Azure Data Explorer o Resource Graph.
- Use una identidad administrada si desea poder ver o editar los permisos asociados a la regla de alertas.
- Si no usa una identidad administrada, los permisos de la regla de alertas se basan en los permisos del último usuario para editar la regla, en el momento en que se editó por última vez la regla.
- Use una identidad administrada para ayudarle a evitar un caso en el que la regla no funcione según lo previsto porque el usuario que editó por última vez la regla no tenía permisos para todos los recursos agregados al ámbito de la regla.
La identidad asociada a la regla debe tener estos permisos:
- Si la consulta accede a un área de trabajo de Log Analytics, la identidad debe tener asignada una rol de lector para todas las áreas de trabajo a las que acceda la consulta. Si va a crear alertas de búsqueda de registros centradas en recursos, la regla de alertas podría tener acceso a varias áreas de trabajo y la identidad debe tener un rol de lector en todos ellos.
- Si está consultando un clúster de Azure Data Explorer o Resource Graph, deberá agregar el rol de lector para todas los orígenes de datos a los que acceda la consulta. Por ejemplo, si la consulta está centrada en los recursos, necesita un rol de lector en ese recurso.
- Si la consulta es acceder a un clúster remoto de Azure Data Explorer, se debe asignar la identidad:
- Un rol de lector para todos los orígenes de datos a los que accede la consulta. Por ejemplo, si la consulta llama a un clúster remoto de Azure Data Explorer mediante la función
adx()
, necesita un rol de lector en ese clúster de Azure Data Explorer. - Rol de visor de bases de datos para todas las bases de datos a las que accede la consulta.
- Un rol de lector para todos los orígenes de datos a los que accede la consulta. Por ejemplo, si la consulta llama a un clúster remoto de Azure Data Explorer mediante la función
Para obtener información detallada sobre las identidades administradas, consulte Identidades administradas para recursos de Azure.
Seleccione una de las siguientes opciones para la identidad que usa la regla de alertas:
Opción de identidad Descripción None Los permisos de regla de alerta se basan en los permisos del último usuario que editó la regla, en el momento en que se editó la regla. Habilitación de una identidad administrada asignada por el sistema Azure crea una nueva identidad dedicada para esta regla de alertas. Esta identidad no tiene permisos y se elimina automáticamente cuando se elimina la regla. Después de crear la regla, debe asignar permisos a esta identidad para acceder al área de trabajo y a los orígenes de datos necesarios para la consulta. Para obtener más información sobre las asignaciones de permisos, consulte Asignar roles de Azure mediante Azure Portal. No se admiten las reglas de alertas de búsqueda de registros que usan almacenamiento vinculado. Habilitar la identidad administrada asignada por el usuario Antes de crear la regla de alertas, cree una identidad y asígnele los permisos adecuados para la consulta de registro. Se trata de una identidad de Azure normal. Puede usar la misma identidad en varias reglas de alertas. La identidad no se elimina cuando se elimina el la regla. Al seleccionar este tipo de identidad, se abre un panel para seleccionar la identidad asociada para la regla. (Opcional) En la sección Opciones avanzadas, puede establecer varias opciones:
Campo Descripción Habilitar tras la creación Seleccione esta opción para que la regla de alerta empiece a ejecutarse en cuanto termine de crearla. Resolver alertas automáticamente Seleccione esta opción para que la alerta sea con estado. Cuando una alerta tiene estado, la alerta se resuelve cuando la condición ya no se cumple para un intervalo de tiempo específico. El intervalo de tiempo difiere en función de la frecuencia de la alerta:
1 minuto: la condición de alerta no se cumple durante 10 minutos.
5 a 15 minutos: la condición de alerta no se cumple durante tres períodos de frecuencia.
15 minutos a 11 horas: la condición de alerta no se cumple durante dos períodos de frecuencia.
11 a 12 horas: la condición de alerta no se cumple durante un período de frecuencia.
Tenga en cuenta que las alertas de búsqueda de registros con estado tienen estas limitaciones.Silenciar acciones Seleccione esta opción para establecer un período de tiempo para esperar antes de que las acciones de alerta se desencadenen de nuevo. En el campo Silenciar acciones para que aparece, seleccione la cantidad de tiempo que se esperará una vez que se active una alerta antes de desencadenar acciones. Comprobación del almacenamiento vinculado al área de trabajo Seleccione esta opción si está configurado el almacenamiento vinculado del área de trabajo para las alertas. Si no se configura ningún almacenamiento vinculado, no se crea la regla. -
(Opcional) En la sección Propiedades personalizadas, si esta regla de alerta contiene grupos de acciones, puede añadir sus propias propiedades para incluirlas en la carga útil de la notificación de alerta. Puede usar estas propiedades en las acciones a las que llama el grupo de acciones, como por un webhook, una función de Azure o una acción de aplicación lógica.
Las propiedades personalizadas se especifican como pares clave-valor mediante texto estático, un valor dinámico extraído de la carga de alerta o una combinación de ambos.
El formato para extraer un valor dinámico de la carga de alerta es:
${<path to schema field>}
. Por ejemplo:${data.essentials.monitorCondition}
.Use el formato de esquema de alerta común para especificar el campo de la carga útil, independientemente de si los grupos de acciones configurados para la regla de alertas usan el esquema común.
Nota:
- Las propiedades personalizadas se agregan a la carga de la alerta, pero no aparecen en la plantilla de correo electrónico ni en los detalles de la alerta en Azure Portal.
En los ejemplos siguientes se usan valores de Propiedades personalizadas para usar datos de una carga que usa el esquema de alerta común.
En este ejemplo se crea una etiqueta Detalles adicionales con datos relacionados con la hora de inicio de la ventana y la hora de finalización de la ventana:
- Nombre:
Additional Details
- Valor:
Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
- Resultado:
AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z
En este ejemplo se agregan datos relacionados con el motivo de resolver o desencadenar la alerta:
- Nombre:
Alert ${data.essentials.monitorCondition} reason
- Valor:
${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
- Resultados potenciales:
Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585
Configuración de etiquetas de regla de alertas
En la pestaña Etiquetas, es posible configurar opcionalmente las etiquetas necesarias en el recurso de la regla de alertas.
Revisión y creación de la regla de alertas
En la pestaña Revisar y crear, se valida la regla. Si hay un problema, vuelva atrás y corríjalo.
Cuando se supere la validación y se haya revisado la configuración, seleccione el botón Crear.