Tutorial: Creación de una alerta de búsqueda de registros para un recurso de Azure

  • Artículo

Las alertas de Azure Monitor le informan de forma proactiva cuando se detectan condiciones importantes en los datos que se supervisan. Las reglas de alertas de búsqueda de registros crean una alerta cuando una consulta de registro devuelve un resultado determinado. Por ejemplo, si recibe una alerta cuando se crea un evento determinado en una máquina virtual o se envía una advertencia cuando se realizan solicitudes anónimas excesivas a una cuenta de almacenamiento.

En este tutorial aprenderá a:

  • Acceso a consultas de registro precompilado diseñadas para admitir reglas de alertas para diferentes tipos de recursos
  • Creación de una regla de alertas de búsqueda de registros
  • Crear un grupo de acciones para definir los detalles de la notificación.

Requisitos previos

Para completar este tutorial, necesita lo siguiente:

  • Un recurso de Azure para supervisar. Puede usar cualquier recurso de la suscripción de Azure que admita la configuración de diagnóstico. Para determinar si un recurso es compatible con la configuración de diagnóstico, vaya a su menú en Azure Portal y busque la opción Configuración de diagnóstico en la sección Supervisión del menú.

Si usa cualquier recurso de Azure que no sea una máquina virtual:

Si va a usar una máquina virtual de Azure:

Selección de una consulta de registro y comprobación de los resultados

Los datos se recuperan de un área de trabajo de Log Analytics mediante una consulta de registro escrita en el lenguaje de consulta de Kusto (KQL). La información y las soluciones de Azure Monitor proporcionan consultas de registro para recuperar datos de un servicio determinado, pero puede trabajar directamente con las consultas de registro y sus resultados en Azure Portal con Log Analytics.

Seleccione Registros en el menú del recurso. Log Analytics se abre con la ventana Consultas, que incluye consultas creadas previamente para el tipo de recurso. Seleccione Alertas para ver las consultas diseñadas para las reglas de alertas.

Nota:

Si la ventana Consultas no se abre, haga clic en Consultas en la parte superior derecha.

Ventana de Log Analytics con consultas

Seleccione una consulta y haga clic en Ejecutar para cargarla en el editor de consultas y que devuelva resultados. Es posible que quiera modificar la consulta y volver a ejecutarla. Por ejemplo, en la captura de pantalla siguiente se muestra la consulta Mostrar solicitudes anónimas para cuentas de almacenamiento. Es posible que quiera modificar el valor de authenticationType o filtrar por una columna diferente.

Resultados de la consulta

Crear regla de alertas

Una vez que compruebe la consulta, puede crear la regla de alerta. Seleccione Nueva regla de alertas para crear una nueva regla de alertas basada en la consulta de registro actual. El ámbito ya está establecido en el recurso actual. No es necesario que cambie este valor.

Crear regla de alertas

Configuración de condiciones

En la pestaña Condición, la consulta de registro ya está rellenada. La sección Medida define cómo se miden los registros de la consulta del registro. Si la consulta no hace un resumen, la única opción es contar el número de filas de tabla. Si la consulta incluye una o varias columnas resumidos, tiene la opción de usar el número de filas de tabla o un cálculo basado en cualquiera de las columnas resumidas. La granularidad de agregación define el intervalo de tiempo durante el cual se agregan los valores recopilados. Por ejemplo, si la granularidad de agregación se establece en 5 minutos, la regla de alerta evalúa los datos agregados en los últimos 5 minutos. Si la granularidad de agregación se establece en 15 minutos, la regla de alerta evalúa los datos agregados en los últimos 15 minutos. Es importante elegir la granularidad de agregación adecuada para la regla de alerta, ya que puede afectar a la precisión de la alerta.

Nota:

El tamaño combinado de todos los datos de las propiedades de la regla de alerta de registro no puede superar los 64 KB. Esto puede deberse a que haya demasiadas dimensiones, a que la consulta sea demasiado grande, a que haya demasiados grupos de acciones o a que la descripción sea muy larga. Al crear una regla de alerta grande, recuerde optimizar estas áreas.

Condición de regla de alerta

Configuración de dimensiones

Dividir por dimensiones le permite crear alertas independientes para distintos recursos. Esta configuración es útil cuando se crea una regla de alertas que se aplica a varios recursos. Con el ámbito establecido en un único recurso, esta configuración normalmente no se usa.

Dimensiones de regla de alerta

Si necesita que se incluyan ciertas dimensiones en el correo electrónico de notificación de alerta, puede especificar una dimensión (por ejemplo, "Equipo"), el correo electrónico de notificación de alerta incluirá el nombre del equipo que desencadenó la alerta. El motor de alertas usa la consulta de alertas para determinar las dimensiones disponibles. Si no ve la dimensión que desea en la lista desplegable del "Nombre de dimensión", se debe a que la consulta de alerta no expone esa columna en los resultados. Puede agregar fácilmente las dimensiones que quiera agregando una línea Project a la consulta que incluya las columnas que desea usar. También puede usar la línea Summarize para agregar más columnas a los resultados de la consulta.

Captura de pantalla que muestra las dimensiones de la regla de alertas con una dimensión llamada Computer set.

Configuración de la lógica de alertas

En la lógica de alertas, configure los valores Operador y Umbral para compararlos con el valor que devuelva la medida. Se crea una alerta cuando este valor es "true". Seleccione un valor para la Frecuencia de evaluación que defina la frecuencia con la que se ejecuta y evalúa la consulta de registro. El costo de la regla de alerta aumenta con una frecuencia menor. Al seleccionar una frecuencia, se muestra el costo mensual estimado además de una vista previa de los resultados de la consulta durante un período de tiempo.

Por ejemplo, si la medida es Filas de tabla, la lógica de alerta puede ser Mayor que 0, ya que indica que se devolvió al menos un registro. Si la medida es un valor de columnas, es posible que la lógica tenga que ser mayor o menor que un valor de umbral determinado. En el ejemplo siguiente, la consulta de registro busca solicitudes anónimas a una cuenta de almacenamiento. Si se hace una solicitud anónima, deberíamos desencadenar una alerta. En este caso, una sola fila devuelta desencadenaría la alerta, por lo que la lógica de alerta debe ser Mayor que 0.

Lógica de alerta

Configuración de acciones

Los grupos de acciones definen un conjunto de acciones que se deben realizar cuando se desencadena una alerta, como el envío de un correo electrónico o un mensaje SMS.

Para configurar acciones, seleccione la pestaña Acciones.

Captura de pantalla que muestra la pestaña Acciones resaltada.

Para agregar un grupo de acciones a la regla de alertas, seleccione Agregar grupos de acciones.

Captura de pantalla que muestra el botón Seleccionar grupos de acciones.

Si aún no tiene un grupo de acciones en la suscripción para seleccionar, haga clic en Crear grupo de acciones para crear uno nuevo.

Creación de un grupo de acciones

Seleccione una suscripción y un grupo de recursos para el grupo de acciones y asígnele un nombre de grupo de acciones que aparecerá en el portal y un nombre para mostrar que aparecerá en las notificaciones por correo electrónico y SMS.

Conceptos básicos del grupo de acciones

Seleccione la pestaña Notificaciones y agregue uno o varios métodos para notificar a las personas adecuadas cuando se active la alerta.

Notificaciones del grupo de acciones

Configuración de detalles

Seleccione la pestaña Detalles y configure diferentes opciones para la regla de alertas.

  • Nombre de la regla de alerta, que debe ser descriptivo, ya que se mostrará cuando se active la alerta.
  • Opcionalmente, proporcione una descripción de la regla de alerta que se incluya en los detalles de la alerta.
  • Suscripción y Grupo de recursos donde se almacenará la regla de alerta. No es necesario que esté en el mismo grupo de recursos que el recurso que está supervisando.
  • Gravedad de la alerta. La gravedad le permite agrupar alertas con una importancia relativa similar. Una gravedad de Error es adecuada para una máquina virtual que no responde.
  • En Opciones avanzadas, mantenga activada la casilla Habilitar tras la creación.
  • En Opciones avanzadas, mantenga activada la casilla para Resolver automáticamente las alertas. Esto hará que la alerta tenga estado, lo que significa que se resolverá cuando la condición ya no se cumpla.

Detalles de la regla de alertas

Haga clic en Crear regla de alerta para crear la regla de alerta.

Visualización de la alerta

Cuando se activa una alerta, envía cualquier notificación en sus grupos de acción. También puede visualizar la alerta en Azure Portal.

Seleccione Alertas en el menú del recurso. Si hay alertas abiertas para los recursos, se incluyen en la vista.

Visualización de alertas

Haga clic en una gravedad para mostrar las alertas con esa gravedad. Seleccione la respuesta de usuario y anule la selección de Cerrado para ver solo las alertas abiertas.

Captura de pantalla que muestra el filtro Respuesta de usuario.

Haga clic en el nombre de una alerta para ver sus detalles.

Detalles de la alerta

Pasos siguientes

Ahora que ha aprendido a crear una alerta de búsqueda de registros para un recurso de Azure, consulte los libros para crear visualizaciones interactivas de datos de supervisión.

Libros de Azure Monitor