Créer une alerte de métrique dans les journaux Azure Monitor
Vue d’ensemble
Notes
Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Les alertes de métrique de journaux d’activité vous permettent de tirer profit des fonctionnalités relatives aux alertes de métrique sur un ensemble prédéfini de journaux Azure Monitor. Les journaux surveillés, qui peuvent être collectés à partir d’Azure ou d’ordinateurs locaux, sont convertis en métriques, puis analysés à l’aide de règles d’alerte de métrique comme n’importe quelle autre métrique. Les journaux Log Analytics pris en charge sont les suivants :
- Compteurs de performances pour ordinateurs Windows et Linux (correspondant aux métriques d’espace de travail Log Analytics prises en charge)
- Enregistrements de pulsations pour Agent Health
- Enregistrements de la gestion des mises à jour
- Journaux d’activité sur les données d’événement
L’utilisation des alertes de métrique de journaux d’activité présente de nombreux avantages par rapport aux alertes de recherche dans les journaux basées sur une requête dans Azure. Certains de ces avantages sont listés ci-dessous :
- Les alertes de métrique proposent une fonctionnalité de surveillance en temps quasi-réel et les alertes de métrique de journaux d’activité dupliquent les données de la source du journal aux mêmes fins.
- Les alertes de métrique sont des alertes avec état, ce qui signifie qu’une notification est envoyée uniquement quand l’alerte est déclenchée et uniquement quand elle est résolue. À l’inverse, les alertes de recherche dans les journaux, qui sont des alertes sans état, se déclenchent à chaque intervalle si la condition d’alerte est remplie.
- Les alertes de métrique de journaux fournissent plusieurs dimensions, ce qui permet d’appliquer des filtres sur des valeurs spécifiques telles que les ordinateurs, le type de système d’exploitation, etc. de façon plus simple, sans avoir besoin de définir une requête complexe dans Log Analytics.
Notes
La métrique et/ou la dimension spécifique ne s’affichera que si des données correspondantes existent pour la période choisie. Ces métriques sont disponibles pour les clients qui ont des espaces de travail Azure Log Analytics.
Métriques et dimensions prises en charge pour les journaux d’activité
Les alertes de métrique prennent en charge la génération d’alertes pour les métriques qui utilisent des dimensions. Vous pouvez utiliser les dimensions pour filtrer votre métrique au niveau approprié. La liste complète des métriques prises en charge pour les journaux est équivalente à la liste des métriques de l’espace de travail Log Analytics.
Notes
Pour afficher une métrique prise en charge extraite d’un espace de travail Log Analytics via Azure Monitor – Métriques, une alerte de métrique de journal doit être créée sur cette métrique spécifique. Les dimensions choisies dans l’alerte de métrique pour journaux apparaissent uniquement pour l’exploration via Azure Monitor – Métriques.
Création d’alerte de métrique pour Log Analytics
Les données de métrique des journaux d’activité courants sont acheminées avant leur traitement dans Log Analytics, dans Azure Monitor - Métriques. Cela permet aux utilisateurs d’exploiter les fonctionnalités de la plateforme Métrique, ainsi que les alertes de métrique, et notamment de profiter de la génération d’alertes à une fréquence de 1 minute. Vous trouverez ci-dessous les méthodes de création d’une alerte de métrique pour des journaux d’activité.
Conditions préalables pour la création d’une alerte de métrique pour des journaux d’activité
Avant que la métrique pour des journaux d’activité rassemblés sur des données Log Analytics fonctionne, les éléments suivants doivent être configurés et disponibles :
- Espace de travail Log Analytics actif : un espace de travail Log Analytics actif doit être présent. Pour plus d’informations, consultez Créer un espace de travail Log Analytics dans le portail Azure.
- Agent configuré pour l’espace de travail Log Analytics : un agent doit être configuré pour les machines virtuelles Azure et/ou les machines virtuelles locales, afin d’envoyer des données à l’espace de travail Log Analytics utilisé dans l’étape précédente. Pour plus d’informations, consultez Présentation des agents Azure pour surveiller les machines virtuelles Azure.
- Solution Log Analytics prise en charge installée : une solution Log Analytics doit être configurée et doit envoyer des données à l’espace de travail Log Analytics. Les solutions prises en charge sont les compteurs de performances pour Windows et Linux, les enregistrements de pulsation pour Agent Health, la gestion des mises à jour et les données d’événement.
- Solutions Log Analytics configurées pour envoyer des journaux d’activité : une solution Log Analytics doit avoir les journaux d’activité/données correspondant aux métriques prises en charge pour les espaces de travail Log Analytics activés. Par exemple, le compteur % Available Memory (% de mémoire disponible) doit d’abord être configuré dans la solution Compteurs de performances.
Configuration d’une alerte de métrique pour des journaux d’activité
Vous pouvez créer et gérer des alertes de métrique à l’aide du portail Azure, de modèles Resource Manager, de l’API REST, de PowerShell et d’Azure CLI. Étant donné que les alertes de métrique pour les journaux d’activité sont une variante des alertes de métrique, une fois que les conditions préalables sont remplies, vous pouvez créer une alerte de métrique pour les journaux d’activité de l’espace de travail Log Analytics spécifié. Toutes les caractéristiques et fonctionnalités des alertes de métrique sont également applicables aux alertes de métrique pour les journaux d’activité, notamment le schéma de charge utile, les limites de quota applicables et les prix facturés.
Pour obtenir des exemples et des informations détaillées, consultez Création et gestion des alertes de métrique. Pour les alertes de métrique pour des journaux d’activité, suivez les instructions relatives à la gestion des alertes de métrique et vérifiez les points suivants :
- La cible de l’alerte de métrique est un espace de travail Log Analytics valide.
- Le signal choisi pour l’alerte de métrique pour l’espace de travail Log Analytics sélectionné est de type Métrique.
- Filtrage d’une ressource ou de conditions spécifiques à l’aide de filtres de dimension ; les métriques de journaux d’activité sont multidimensionnelles.
- Lors de la configuration de Signal Logic (Logique du signal), une alerte unique peut être créée pour s’étendre à plusieurs valeurs de dimension (comme Ordinateur).
- Si vous n’utilisez pas le portail Azure pour créer une alerte de métrique pour l’espace de travail Log Analytics sélectionné, l’utilisateur doit commencer par créer manuellement une règle explicite pour convertir les données de journal d’activité en métrique à l’aide d’Azure Monitor - Règles de requête planifiées.
Notes
Lors de la création d’une alerte de métrique de journal via le portail Azure, une règle correspondante pour la conversion de données de journal en métrique par le biais d’Azure Monitor - Règles de requête planifiées est automatiquement créée en arrière-plan, sans qu’une action ou intervention de l’utilisateur ne soit nécessaire. Pour créer une alerte de métrique de journaux d'activité autrement qu’avec le Portail Azure, consultez la section Modèle de ressource pour les alertes de métrique de journaux d’activité sur les exemples de méthodes de création d’une règle de conversion de journal en métrique basée sur ScheduledQueryRule avant la création d’une alerte de métrique, sinon il n’y aura pas de données pour l’alerte de métrique de journaux d’activité créée.
Modèle de ressource pour les alertes de métrique pour des journaux d’activité
Comme indiqué précédemment, le processus de création des alertes de métrique de journaux d’activité est double :
- Création d’une règle pour l’extraction de métriques de journaux d’activité pris en charge à l’aide de l’API scheduledQueryRule
- Créer une alerte de métrique pour une métrique extraite d’un journal d’activité (à l’étape 1) et de l’espace de travail Log Analytics en tant que ressource cible
Alertes de métrique pour les journaux d’activité avec un seuil statique
Pour obtenir le même résultat, vous pouvez utiliser l’exemple de modèle Azure Resource Manager ci-dessous, quand la création d’une alerte de métrique de seuil statique dépend de la réussite de la création de la règle d’extraction de métriques à partir de journaux d’activité par le biais de scheduledQueryRule.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the rule to convert log to metric"
}
},
"convertRuleDescription": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Description for log converted to metric"
}
},
"convertRuleRegion": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the region used by workspace"
}
},
"convertRuleStatus": {
"type": "string",
"defaultValue": "true",
"metadata": {
"description": "Specifies whether the log conversion rule is enabled"
}
},
"convertRuleMetric": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric once extraction done from logs."
}
},
"alertName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the alert"
}
},
"alertDescription": {
"type": "string",
"defaultValue": "This is a metric alert",
"metadata": {
"description": "Description of alert"
}
},
"alertSeverity": {
"type": "int",
"defaultValue": 3,
"allowedValues": [
0,
1,
2,
3,
4
],
"metadata": {
"description": "Severity of alert {0,1,2,3,4}"
}
},
"isEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether the alert is enabled"
}
},
"resourceId": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Full Resource ID of the resource emitting the metric that will be used for the comparison. For example: /subscriptions/00000000-0000-0000-0000-0000-00000000/resourceGroups/ResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"metricName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric used in the comparison to activate the alert."
}
},
"operator": {
"type": "string",
"defaultValue": "GreaterThan",
"allowedValues": [
"Equals",
"NotEquals",
"GreaterThan",
"GreaterThanOrEqual",
"LessThan",
"LessThanOrEqual"
],
"metadata": {
"description": "Operator comparing the current value with the threshold value."
}
},
"threshold": {
"type": "string",
"defaultValue": "0",
"metadata": {
"description": "The threshold value at which the alert is activated."
}
},
"timeAggregation": {
"type": "string",
"defaultValue": "Average",
"allowedValues": [
"Average",
"Minimum",
"Maximum",
"Total"
],
"metadata": {
"description": "How the data that is collected should be combined over time."
}
},
"windowSize": {
"type": "string",
"defaultValue": "PT5M",
"metadata": {
"description": "Period of time used to monitor alert activity based on the threshold. Must be between five minutes and one day. ISO 8601 duration format."
}
},
"evaluationFrequency": {
"type": "string",
"defaultValue": "PT1M",
"metadata": {
"description": "how often the metric alert is evaluated represented in ISO 8601 duration format"
}
},
"actionGroupId": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The ID of the action group that is triggered when the alert is activated or deactivated"
}
}
},
"variables": {
"convertRuleSourceWorkspace": {
"SourceId": "/subscriptions/1234-56789-1234-567a/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"resources": [
{
"name": "[parameters('convertRuleName')]",
"type": "Microsoft.Insights/scheduledQueryRules",
"apiVersion": "2018-04-16",
"location": "[parameters('convertRuleRegion')]",
"properties": {
"description": "[parameters('convertRuleDescription')]",
"enabled": "[parameters('convertRuleStatus')]",
"source": {
"dataSourceId": "[variables('convertRuleSourceWorkspace').SourceId]"
},
"action": {
"odata.type": "Microsoft.WindowsAzure.Management.Monitoring.Alerts.Models.Microsoft.AppInsights.Nexus.DataContracts.Resources.ScheduledQueryRules.LogToMetricAction",
"criteria": [{
"metricName": "[parameters('convertRuleMetric')]",
"dimensions": []
}
]
}
}
},
{
"name": "[parameters('alertName')]",
"type": "Microsoft.Insights/metricAlerts",
"location": "global",
"apiVersion": "2018-03-01",
"tags": {},
"dependsOn":["[resourceId('Microsoft.Insights/scheduledQueryRules',parameters('convertRuleName'))]"],
"properties": {
"description": "[parameters('alertDescription')]",
"severity": "[parameters('alertSeverity')]",
"enabled": "[parameters('isEnabled')]",
"scopes": ["[parameters('resourceId')]"],
"evaluationFrequency":"[parameters('evaluationFrequency')]",
"windowSize": "[parameters('windowSize')]",
"criteria": {
"odata.type": "Microsoft.Azure.Monitor.SingleResourceMultipleMetricCriteria",
"allOf": [
{
"name" : "1st criterion",
"metricName": "[parameters('metricName')]",
"dimensions":[],
"operator": "[parameters('operator')]",
"threshold" : "[parameters('threshold')]",
"timeAggregation": "[parameters('timeAggregation')]"
}
]
},
"actions": [
{
"actionGroupId": "[parameters('actionGroupId')]"
}
]
}
}
]
}
Supposons que le code JSON ci-dessus soit enregistré sous le nom metricfromLogsAlertStatic.json, nous pouvons l’associer à un fichier JSON de paramètre pour la création basée sur le modèle de ressource. Vous trouverez ci-dessous un exemple de fichier JSON de paramètre :
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"value": "TestLogtoMetricRule"
},
"convertRuleDescription": {
"value": "Test rule to extract metrics from logs via template"
},
"convertRuleRegion": {
"value": "West Central US"
},
"convertRuleStatus": {
"value": "true"
},
"convertRuleMetric": {
"value": "Average_% Idle Time"
},
"alertName": {
"value": "TestMetricAlertonLog"
},
"alertDescription": {
"value": "New multi-dimensional metric alert created via template"
},
"alertSeverity": {
"value":3
},
"isEnabled": {
"value": true
},
"resourceId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
},
"metricName":{
"value": "Average_% Idle Time"
},
"operator": {
"value": "GreaterThan"
},
"threshold":{
"value": "1"
},
"timeAggregation":{
"value": "Average"
},
"actionGroupId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/microsoft.insights/actionGroups/actionGroupName"
}
}
}
En supposant que le fichier de paramètre ci-dessus est enregistré sous le nom metricfromLogsAlertStatic.parameters.json, vous pouvez créer une alerte de métrique pour des journaux d’activité à l’aide du modèle de ressource pour la création dans le portail Azure.
Vous pouvez également utiliser la commande Azure PowerShell ci-dessous :
New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile metricfromLogsAlertStatic.json TemplateParameterFile metricfromLogsAlertStatic.parameters.json
Ou déployez le modèle de ressource avec Azure CLI :
az deployment group create --resource-group myRG --template-file metricfromLogsAlertStatic.json --parameters @metricfromLogsAlertStatic.parameters.json
Alertes de métrique pour les journaux d’activité avec des seuils dynamiques
Pour obtenir le même résultat, vous pouvez utiliser l’exemple de modèle Azure Resource Manager ci-dessous, quand la création d’une alerte de métrique de seuil dynamique dépend de la réussite de la création de la règle d’extraction de métriques à partir de journaux d’activité par le biais de scheduledQueryRule.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the rule to convert log to metric"
}
},
"convertRuleDescription": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Description for log converted to metric"
}
},
"convertRuleRegion": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the region used by workspace"
}
},
"convertRuleStatus": {
"type": "string",
"defaultValue": "true",
"metadata": {
"description": "Specifies whether the log conversion rule is enabled"
}
},
"convertRuleMetric": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric once extraction done from logs."
}
},
"alertName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the alert"
}
},
"alertDescription": {
"type": "string",
"defaultValue": "This is a metric alert",
"metadata": {
"description": "Description of alert"
}
},
"alertSeverity": {
"type": "int",
"defaultValue": 3,
"allowedValues": [
0,
1,
2,
3,
4
],
"metadata": {
"description": "Severity of alert {0,1,2,3,4}"
}
},
"isEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether the alert is enabled"
}
},
"resourceId": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Full Resource ID of the resource emitting the metric that will be used for the comparison. For example: /subscriptions/00000000-0000-0000-0000-0000-00000000/resourceGroups/ResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"metricName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric used in the comparison to activate the alert."
}
},
"operator": {
"type": "string",
"defaultValue": "GreaterOrLessThan",
"allowedValues": [
"GreaterThan",
"LessThan",
"GreaterOrLessThan"
],
"metadata": {
"description": "Operator comparing the current value with the threshold value."
}
},
"alertSensitivity": {
"type": "string",
"defaultValue": "Medium",
"allowedValues": [
"High",
"Medium",
"Low"
],
"metadata": {
"description": "Tunes how 'noisy' the Dynamic Thresholds alerts will be: 'High' will result in more alerts while 'Low' will result in fewer alerts."
}
},
"numberOfEvaluationPeriods": {
"type": "string",
"defaultValue": "4",
"metadata": {
"description": "The number of periods to check in the alert evaluation."
}
},
"minFailingPeriodsToAlert": {
"type": "string",
"defaultValue": "3",
"metadata": {
"description": "The number of unhealthy periods to alert on (must be lower or equal to numberOfEvaluationPeriods)."
}
},
"timeAggregation": {
"type": "string",
"defaultValue": "Average",
"allowedValues": [
"Average",
"Minimum",
"Maximum",
"Total"
],
"metadata": {
"description": "How the data that is collected should be combined over time."
}
},
"windowSize": {
"type": "string",
"defaultValue": "PT5M",
"metadata": {
"description": "Period of time used to monitor alert activity based on the threshold. Must be between five minutes and one day. ISO 8601 duration format."
}
},
"evaluationFrequency": {
"type": "string",
"defaultValue": "PT1M",
"metadata": {
"description": "how often the metric alert is evaluated represented in ISO 8601 duration format"
}
},
"actionGroupId": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The ID of the action group that is triggered when the alert is activated or deactivated"
}
}
},
"variables": {
"convertRuleSourceWorkspace": {
"SourceId": "/subscriptions/1234-56789-1234-567a/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"resources": [
{
"name": "[parameters('convertRuleName')]",
"type": "Microsoft.Insights/scheduledQueryRules",
"apiVersion": "2018-04-16",
"location": "[parameters('convertRuleRegion')]",
"properties": {
"description": "[parameters('convertRuleDescription')]",
"enabled": "[parameters('convertRuleStatus')]",
"source": {
"dataSourceId": "[variables('convertRuleSourceWorkspace').SourceId]"
},
"action": {
"odata.type": "Microsoft.WindowsAzure.Management.Monitoring.Alerts.Models.Microsoft.AppInsights.Nexus.DataContracts.Resources.ScheduledQueryRules.LogToMetricAction",
"criteria": [{
"metricName": "[parameters('convertRuleMetric')]",
"dimensions": []
}
]
}
}
},
{
"name": "[parameters('alertName')]",
"type": "Microsoft.Insights/metricAlerts",
"location": "global",
"apiVersion": "2018-03-01",
"tags": {},
"dependsOn":["[resourceId('Microsoft.Insights/scheduledQueryRules',parameters('convertRuleName'))]"],
"properties": {
"description": "[parameters('alertDescription')]",
"severity": "[parameters('alertSeverity')]",
"enabled": "[parameters('isEnabled')]",
"scopes": ["[parameters('resourceId')]"],
"evaluationFrequency":"[parameters('evaluationFrequency')]",
"windowSize": "[parameters('windowSize')]",
"criteria": {
"odata.type": "Microsoft.Azure.Monitor.MultipleResourceMultipleMetricCriteria",
"allOf": [
{
"criterionType": "DynamicThresholdCriterion",
"name" : "1st criterion",
"metricName": "[parameters('metricName')]",
"dimensions":[],
"operator": "[parameters('operator')]",
"alertSensitivity": "[parameters('alertSensitivity')]",
"failingPeriods": {
"numberOfEvaluationPeriods": "[parameters('numberOfEvaluationPeriods')]",
"minFailingPeriodsToAlert": "[parameters('minFailingPeriodsToAlert')]"
},
"timeAggregation": "[parameters('timeAggregation')]"
}
]
},
"actions": [
{
"actionGroupId": "[parameters('actionGroupId')]"
}
]
}
}
]
}
Supposons que le code JSON ci-dessus soit enregistré sous le nom metricfromLogsAlertDynamic.json, nous pouvons l’associer à un fichier JSON de paramètre pour la création basée sur le modèle de ressource. Vous trouverez ci-dessous un exemple de fichier JSON de paramètre :
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"value": "TestLogtoMetricRule"
},
"convertRuleDescription": {
"value": "Test rule to extract metrics from logs via template"
},
"convertRuleRegion": {
"value": "West Central US"
},
"convertRuleStatus": {
"value": "true"
},
"convertRuleMetric": {
"value": "Average_% Idle Time"
},
"alertName": {
"value": "TestMetricAlertonLog"
},
"alertDescription": {
"value": "New multi-dimensional metric alert created via template"
},
"alertSeverity": {
"value":3
},
"isEnabled": {
"value": true
},
"resourceId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
},
"metricName":{
"value": "Average_% Idle Time"
},
"operator": {
"value": "GreaterOrLessThan"
},
"alertSensitivity": {
"value": "Medium"
},
"numberOfEvaluationPeriods": {
"value": "4"
},
"minFailingPeriodsToAlert": {
"value": "3"
},
"timeAggregation":{
"value": "Average"
},
"actionGroupId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/microsoft.insights/actionGroups/actionGroupName"
}
}
}
En supposant que le fichier de paramètre ci-dessus est enregistré sous le nom metricfromLogsAlertDynamic.parameters.json, vous pouvez créer une alerte de métrique pour les journaux d’activité à l’aide du modèle de ressource pour la création dans le portail Azure.
Vous pouvez également utiliser la commande Azure PowerShell ci-dessous :
New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile metricfromLogsAlertDynamic.json TemplateParameterFile metricfromLogsAlertDynamic.parameters.json
Ou déployez le modèle de ressource avec Azure CLI :
az deployment group create --resource-group myRG --template-file metricfromLogsAlertDynamic.json --parameters @metricfromLogsAlertDynamic.parameters.json
Étapes suivantes
- En savoir plus sur les alertes de métrique.
- Découvrez les alertes de recherche dans les journaux dans Azure.
- En savoir plus sur les alertes dans Azure.