Solución de problemas de alertas de registro en Azure Monitor

En este artículo se indica cómo solucionar problemas habituales con las alertas de registro en Azure Monitor. Además, se proporcionan soluciones a los problemas comunes sobre la funcionalidad y la configuración de las alertas de registro.

Puede usar las alertas de registro para evaluar los registros de recursos según una frecuencia establecida mediante una consulta de Log Analytics y activar una alerta en función de los resultados. Las reglas pueden desencadenar una o varias acciones mediante grupos de acciones. Para más información sobre la funcionalidad y terminología de las alertas de registro, consulte Alertas de registro en Azure Monitor.

Nota

En este artículo no se tienen en cuenta los casos en los que Azure Portal muestra que se desencadenó una regla de alerta, pero no se recibió una notificación. Para esos casos, consulte La acción o notificación de mi alerta no funcionó como se esperaba.

No se activó la alerta de registro

Tiempo de ingesta de datos para registros

Azure Monitor procesa terabytes de registros de clientes de todo el mundo, lo que puede provocar latencia en la ingesta de registros.

Los registros son datos semiestructurados e intrínsecamente con mayor latencia que las métricas. Si advierte que hay más de cuatro minutos de retraso en las alertas activadas, debería usar alertas de métricas. Puede enviar datos al almacén de métricas desde los registros mediante alertas de métricas para registros.

El sistema vuelve a intentar la evaluación de la alerta varias veces para mitigar la latencia. Una vez que llegan los datos, se activa la alerta, lo cual en la mayoría de los casos no coincide con la hora de entrada del registro.

Las acciones están silenciadas o la regla de alertas está definida para resolverse automáticamente

Las alertas de registro ofrecen una opción para silenciar las acciones de alerta desencadenadas durante un período de tiempo establecido mediante Mute actions (Acciones silenciadas) y para activarse solo una vez por condición que se cumple mediante Automatically resolve alerts (Resolver alertas automáticamente).

Un problema común es que crea que la alerta no se activó, pero en realidad se trataba de la configuración de la regla.

Suprimir alertas

Se ha movido, cambiado de nombre o eliminado el recurso de ámbito de la alerta.

Al crear una regla de alertas, Log Analytics crea una instantánea de permisos para el identificador de usuario. Esta instantánea se guarda en la regla y contiene el recurso de ámbito de la regla, el identificador de Azure Resource Manager. Si el recurso de ámbito de la regla se mueve, se cambia de nombre o se elimina, se interrumpirán todas las reglas de alertas de registro que hacen referencia a ese recurso. Para que funcione correctamente, las reglas de alertas deben volver a crearse con el nuevo identificador de Azure Resource Manager.

Regla de alertas de unidades métricas con división mediante la API de Log Analytics heredada

Unidades métricas es un tipo de alerta de registro que se basa en resultados de series temporales resumidos. Puede usar estas reglas para agrupar por columnas para dividir las alertas. Si usa la API heredada de Log Analytics, la división no funciona según lo previsto porque no admite la agrupación.

Puede usar la versión actual de ScheduledQueryRules API para establecer la opción Agregado en en las reglas de tipo Unidades métricas, y funcionará según lo previsto. Para más información sobre cómo cambiar a la versión actual de ScheduledQueryRules API, consulte [Actualización a la API de alertas de registro actual desde la API de alertas heredada de Log Analytics]](../alerts/alerts-log-api-switch.md).

Alerta de registro activada innecesariamente

Es posible que una regla de alertas de registro configurada en Azure Monitor se desencadene de forma inesperada. En las secciones siguientes se describen algunos motivos comunes.

Alerta desencadenada por datos parciales

Azure Monitor procesa terabytes de registros de clientes de todo el mundo, lo que puede provocar latencia en la ingesta de registros.

Los registros son datos semiestructurados e intrínsecamente con mayor latencia que las métricas. Si advierte que hay errores de activación en las alertas, debería usar alertas de métricas. Puede enviar datos al almacén de métricas desde los registros mediante alertas de métricas para registros.

Las alertas de registro funcionan mejor cuando se quieren detectar datos en los registros. No funcionan tan bien cuando se quiere detectar la falta de datos en los registros, como, por ejemplo, las alertas sobre latidos de máquinas virtuales.

Existen funcionalidades integradas para evitar alertas falsas, pero pueden seguir produciéndose en datos con mucha latencia (en torno a más de 30 minutos) y en datos con picos de latencia.

La alerta de registro se deshabilitó

En las siguientes secciones se enumeran algunos de los motivos por los que Azure Monitor podría deshabilitar la regla de alertas de registro. Después de esa sección, se incluye un ejemplo del registro de actividad que se envía cuando se deshabilita una regla.

El ámbito de alerta ya no existe o se ha movido

Cuando los recursos del ámbito de una regla de alertas ya no son válidos, se produce un error en la ejecución de la regla y la facturación se detiene.

Si una alerta de registro produce un error de forma continuada durante una semana, Azure Monitor la deshabilita.

La consulta que se usa en una alerta de registro no es válida

Cuando se crea una regla de alertas de registro, se valida la consulta para comprobar si la sintaxis es correcta. En ocasiones, sin embargo, la consulta proporcionada en la regla de alertas de registro puede empezar a fallar. Estos son algunos de los motivos habituales:

Azure Advisor le advierte acerca de este comportamiento. Agrega una recomendación sobre la regla de alertas de registro afectada. La categoría usada es "Alta disponibilidad" con impacto medio y la descripción "Reparar la regla de alerta de registro para garantizar la supervisión".

Se alcanzó la cuota de la regla de alerta

Para más información sobre el número de reglas de alerta de búsqueda de registros por suscripción y los límites máximos de recursos, consulte Límites de servicio de Azure Monitor.

Si ha alcanzado el límite de cuota, los siguientes pasos pueden ayudar a resolver el problema.

  1. Elimine o deshabilite las reglas de alertas de búsqueda de registros que ya no se usan.

  2. Use la división de alertas por dimensiones para reducir el número de reglas. Estas reglas pueden supervisar muchos recursos y casos de detección.

  3. Si necesita aumentar el límite de cuota, abra una solicitud de soporte técnico y proporcione la siguiente información:

    • Los identificadores de suscripción y de recurso para los que tiene que aumentar los límites de cuota.
    • El motivo del aumento de la cuota.
    • El tipo de recurso para el que se va a aumentar la cuota como, por ejemplo, Log Analytics o Application Insights.
    • El límite de cuota solicitado.

Para comprobar el uso actual de las nuevas reglas de alertas de registro

Desde Azure Portal

  1. En la pantalla Alertas de Azure Monitor, seleccione Reglas de alertas.
  2. En el control desplegable Suscripción, filtre por la suscripción que desee. (Asegúrese de que no filtra por un grupo de recursos, tipo de recurso o recurso específico).
  3. En el control desplegable Tipo de señal, seleccione Búsqueda de registros.
  4. Compruebe que el control desplegable Estado esté establecido en Habilitado.

El número total de reglas de alerta de búsqueda de registros aparece encima de la lista de reglas.

Desde la API

Ejemplo de registro de actividad cuando la regla está deshabilitada

Si se produce un error en la consulta durante siete días de forma continuada, Azure Monitor deshabilita la alerta de registro y deja de facturar la regla. Puede ver la hora exacta en que Azure Monitor deshabilitó la alerta de registro en el registro de actividad de Azure.

Consulte este ejemplo:

{
    "caller": "Microsoft.Insights/ScheduledQueryRules",
    "channels": "Operation",
    "claims": {
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/ScheduledQueryRules"
    },
    "correlationId": "abcdefg-4d12-1234-4256-21233554aff",
    "description": "Alert: test-bad-alerts is disabled by the System due to : Alert has been failing consistently with the same exception for the past week",
    "eventDataId": "f123e07-bf45-1234-4565-123a123455b",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2019-03-22T04:18:22.8569543Z",
    "id": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Insights/ScheduledQueryRules/disable/action",
        "localizedValue": "Microsoft.Insights/ScheduledQueryRules/disable/action"
    },
    "resourceGroupName": "<Resource Group>",
    "resourceProviderName": {
        "value": "MICROSOFT.INSIGHTS",
        "localizedValue": "Microsoft Insights"
    },
    "resourceType": {
        "value": "MICROSOFT.INSIGHTS/scheduledqueryrules",
        "localizedValue": "MICROSOFT.INSIGHTS/scheduledqueryrules"
    },
    "resourceId": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-03-22T04:18:22.8569543Z",
    "subscriptionId": "<SubscriptionId>",
    "properties": {
        "resourceId": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
        "subscriptionId": "<SubscriptionId>",
        "resourceGroup": "<ResourceGroup>",
        "eventDataId": "12e12345-12dd-1234-8e3e-12345b7a1234",
        "eventTimeStamp": "03/22/2019 04:18:22",
        "issueStartTime": "03/22/2019 04:18:22",
        "operationName": "Microsoft.Insights/ScheduledQueryRules/disable/action",
        "status": "Succeeded",
        "reason": "Alert has been failing consistently with the same exception for the past week"
    },
    "relatedEvents": []
}

Error de validación de sintaxis de consulta

Si recibe un mensaje de error que indica "Couldn't validate the query syntax because the service can't be reached" (No se pudo validar la sintaxis de consulta porque no se puede acceder al servicio), podría tratarse de:

  • Un error de sintaxis de consulta.
  • Un problema al conectarse al servicio que valida la consulta.

Siga los pasos que se indican a continuación para resolver el problema:

  1. Pruebe a ejecutar la consulta en los registros de Azure Monitor y corrija los problemas de sintaxis.
  2. Si la sintaxis de consulta es válida, compruebe la conexión al servicio.
  • Vacíe la caché DNS en el equipo local; para ello, abra un símbolo del sistema y ejecute el siguiente comando: ipconfig /flushdns. Después, compruebe de nuevo la conexión. Si sigue teniendo el mismo mensaje de error, pruebe el paso siguiente.
  • Copie y pegue esta dirección URL en el navegador: https://api.loganalytics.io/v1/version. Si se produce un error, póngase en contacto con el administrador de TI para permitir las direcciones IP asociadas a api.loganalytics.io, que se enumeran aquí.

Pasos siguientes