Démarrage rapide : Créer des alertes avec Azure Resource Graph et Log Analytics
Article
Dans ce guide de démarrage rapide, vous apprenez à utiliser Azure Log Analytics pour créer des alertes sur des requêtes Azure Resource Graph. Vous pouvez créer des alertes avec une requête Azure Resource Graph, un espace de travail Log Analytics et des identités managées. Les conditions de l’alerte envoient des notifications à un intervalle spécifié.
Vous pouvez utiliser des requêtes afin de configurer des alertes pour vos ressources Azure déployées. Vous pouvez créer des requêtes avec des tables Azure Resource Graph, ou combiner des tables Azure Resource Graph et des données Log Analytics des journaux Azure Monitor.
Dans les exemples de cet article, créez des ressources dans le même groupe de ressources et utilisez la même région, comme USA Ouest 3. Les exemples de cet article exécutent des requêtes et créent des alertes pour les ressources Azure dans un seul locataire Azure. Les clusters Azure Data Explorer ne sont pas couverts par cet article.
Cet article comprend deux exemples d’alerte :
Azure Resource Graph : utilise la table Resources Azure Resource Graph pour créer une requête qui obtient des données pour vos ressources Azure déployées et créer une alerte.
Azure Resource Graph et Log Analytics : utilise la table Resources Azure Resource Graph et les données Log Analytics de la table Heartbeat des journaux Azure Monitor. Cet exemple utilise une machine virtuelle pour montrer comment configurer la requête et l’alerte.
Remarque
L’intégration d’alertes Azure Resource Graph à Log Analytics est en préversion publique.
Ressources déployées dans Azure, comme les machines virtuelles ou les comptes de stockage.
Pour utiliser l’exemple de requête Azure Resource Graph et Log Analytics, vous avez besoin d’au moins une machine virtuelle Azure avec l’agent Azure Monitor.
Créer un espace de travail
Créez un espace de travail Log Analytics dans l’abonnement monitoré.
Vous n’avez pas besoin de créer de machine virtuelle pour l’exemple qui utilise la table Azure Resource Graph.
Remarque
Cette section est facultative si vous avez des machines virtuelles existantes ou si vous savez comment créer une machine virtuelle. Cet exemple utilise une machine virtuelle pour montrer comment créer une requête avec une table Azure Resource Graph et des données Log Analytics.
Pour obtenir des informations de journal, quand vous connectez votre machine virtuelle à l’espace de travail Log Analytics, l’agent Azure Monitor est installé sur la machine virtuelle. Si vous n’avez pas de machine virtuelle, vous pouvez en créer une pour cet exemple. Pour éviter les coûts inutiles, supprimez la machine virtuelle dès que vous avez terminé l’exemple.
Les instructions suivantes sont les paramètres de base d’une machine virtuelle Linux. Les étapes détaillées de création d’une machine virtuelle ne sont pas couvertes dans cet article. Votre organisation peut exiger des paramètres de sécurité ou de mise en réseau différents pour les machines virtuelles.
Dans Créer une machine virtuelle, vous pouvez accepter les paramètres par défaut avec les exceptions suivantes :
Concepts de base
Groupe de ressources : demo-arg-alert-rg
Nom de la machine virtuelle : entrez le nom de la machine virtuelle, comme demovm01.
Options de disponibilité : Aucune redondance d’infrastructure nécessaire
Taille : Standard_B1s
Compte administrateur : vous devez créer des informations d’identification. Toutefois, pour cet exemple, vous n’avez pas besoin de vous connecter :
Type d’authentification : clé publique SSH
Nom d’utilisateur : créez un nom d’utilisateur
Source de la clé publique SSH : générez une nouvelle paire de clés
Nom de la paire de clés : acceptez le nom par défaut
Ports d’entrée publics : Aucun
Disques
Vérifiez que Supprimer avec la machine virtuelle est sélectionné.
Mise en réseau
Adresse IP publique : aucune
Sélectionnez Supprimer la carte réseau lors de la suppression de la machine virtuelle.
Gestion
Sélectionnez Activer l’arrêt automatique.
Sélectionnez une heure d’arrêt dans votre fuseau horaire.
Ajoutez votre adresse e-mail si vous souhaitez obtenir une notification d’arrêt.
Monitoring, Avancé et Étiquettes
Aucun changement n’est nécessaire pour cet exemple.
Sélectionnez Vérifier + créer, puis Créer.
Vous êtes invité à générer une nouvelle paire de clés. Sélectionnez Télécharger la clé privée et créer une ressource. Une fois la machine virtuelle terminée, supprimez le fichier de clé privée de votre ordinateur.
Sélectionnez Accéder à la ressource une fois la machine virtuelle déployée.
Remarque
Cette section est facultative si vous savez comment connecter une machine virtuelle à un espace de travail Log Analytics et à l’agent Azure Monitor.
Configurez une règle de collecte de données pour surveiller la machine virtuelle.
Dans le champ de recherche Azure, entrez règles de collecte de données, puis sélectionnez Règles de collecte de données.
Sélectionnez Créer :
Nom de la règle : entrez un nom tel que demo-data-collection-rule.
Abonnement : sélectionnez votre abonnement.
Groupe de ressources : sélectionnez demo-arg-alert-rg.
Région : USA Ouest 3.
Type de plateforme : sélectionnez Tout.
Sélectionnez Suivant : Ressources :
Sélectionnez Ajouter des ressources.
Abonnement : sélectionnez votre abonnement.
Étendue : sélectionnez votre groupe de ressources et le nom de la machine virtuelle.
Sélectionnez Appliquer.
Sélectionnez Suivant : Collecter et livrer :
Sélectionnez Ajouter une source de données.
Type de source de données : sélectionnez Compteurs de performances.
Sélectionnez Suivant : Destination et Ajouter une destination :
Type de destination : journaux Azure Monitor.
Abonnement : sélectionnez votre abonnement.
Compte ou espace de noms : sélectionnez votre espace de travail Log Analytics, demo-arg-alert-workspace.
Sélectionnez Ajouter une source de données.
Sélectionnez Review + create (Vérifier + créer), puis Create (Créer).
Une fois le déploiement terminé, sélectionnez Accéder à la ressource.
Vérifiez que la surveillance est configurée pour la machine virtuelle :
Accédez à votre règle de collecte de données et passez en revue la configuration :
Sources de données : affiche les compteurs de performances des sources de données et les journaux Azure Monitor de destination.
Ressources : affiche la machine virtuelle, le groupe de ressources et l’abonnement.
Accédez à votre espace de travail Log Analytics demo-arg-alert-workspace. Sélectionnez Paramètres>Agents>Serveurs Linux et vérifiez que votre ordinateur Linux est connecté à l’agent Linux Azure Monitor. L’affichage de l’agent peut prendre plusieurs minutes.
Accédez à votre machine virtuelle et sélectionnez Paramètres>Extensions + applications et vérifiez que AzureMonitorLinuxAgent indique que le provisionnement a réussi.
À partir de l’espace de travail Log Analytics, créez une requête Azure Resource Graph pour obtenir le nombre de vos ressources Azure. Cet exemple utilise la table Azure Resource Graph Resources.
Sélectionnez Journaux à gauche de la page Espace de travail Log Analytics. Fermez la fenêtre Requêtes si elle est affichée.
Utilisez le code suivant dans la nouvelle requête :
arg("").Resources
| count
Les noms de table dans Log Analytics doivent être en casse mixte, c’est-à-dire que la première lettre de chaque mot doit être en majuscule, par exemple, Resources ou ResourceContainers. Vous pouvez également utiliser des minuscules, par exemple, resources ou resourcecontainers.
Sélectionnez Exécuter.
Le champ Résultats affiche le Nombre de ressources dans votre abonnement Azure. Notez ce nombre, car vous en avez besoin pour la condition de la règle d’alerte. Quand vous exécutez manuellement la requête, le nombre est basé sur l’identité de l’utilisateur, alors qu’une alerte déclenchée utilise une identité managée. Il est possible que le nombre varie selon que vous utilisez une exécution manuelle ou une alerte déclenchée.
Supprimez le nombre de votre requête.
arg("").Resources
À partir de l’espace de travail Log Analytics, créez une requête Azure Resource Graph pour obtenir les dernières informations de pulsation de votre machine virtuelle. Cet exemple utilise la table Azure Resource Graph Resources et les données Log Analytics de la table Heartbeat des journaux Azure Monitor.
Accédez à votre espace de travail Log Analytics demo-arg-alert-workspace.
Sélectionnez Journaux à gauche de la page Espace de travail Log Analytics. Fermez la fenêtre Requêtes si elle est affichée.
Utilisez le code suivant dans la nouvelle requête :
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
Les noms de table dans Log Analytics doivent être en casse mixte, c’est-à-dire que la première lettre de chaque mot doit être en majuscule, par exemple, Resources ou ResourceContainers. Vous pouvez également utiliser des minuscules, par exemple, resources ou resourcecontainers.
Vous pouvez utiliser d’autres plages horaires pour le TimeGenerated. Par exemple, au lieu de minutes comme 15m, utilisez des heures comme 12h, 24h, 48h.
Sélectionnez Exécuter.
La requête doit renvoyer la dernière pulsation, l’état d’alimentation, le nom et l’ID de ressource de la machine virtuelle. Si le champ Résultats est vide, passez aux étapes suivantes. Dans le cas de nouvelles configurations, il peut être nécessaire d’attendre 30 minutes pour que les données de surveillance soient disponibles pour la requête et les alertes.
Dans l’espace de travail Log Analytics, sélectionnez Nouvelle règle d’alerte. La requête de votre espace de travail Log Analytics est copiée dans la règle d’alerte. La page Créer une règle d’alerte a plusieurs onglets qui doivent être mis à jour pour créer l’alerte.
Étendue
Vérifiez que l’étendue est définie par défaut sur votre espace de travail Log Analytics nommé demo-arg-alert-workspace.
Uniquement si votre étendue n’est pas définie sur la valeur par défaut, procédez comme suit :
Accédez à l’onglet Étendue et sélectionnez Sélectionner une étendue.
En bas de l’écran Ressources sélectionnées, supprimez l’étendue actuelle.
Sélectionnez l’option Sélectionner l’étendue.
Développez demo-arg-alert-rg à partir de la liste des ressources, puis sélectionnez demo-arg-alert-workspace.
Sélectionnez Appliquer.
Sélectionnez Suivant : Condition.
Condition
Le formulaire contient plusieurs champs à renseigner :
Nom du signal : recherche personnalisée dans les journaux
Requête de recherche : affiche le code de la requête
Si vous avez modifié l’étendue, vous devez ajouter la requête à partir de la section Créer une requête.
Mesure
Mesure : Lignes de table
Type d’agrégation : Nombre
Précision de l’agrégation : 5 minutes
Logique d'alerte
Opérateur : Supérieur à
Valeur de seuil : utilisez un nombre inférieur au nombre renvoyé par le nombre de ressources.
Par exemple, si votre nombre de ressources est 50, utilisez 45. Cette valeur déclenche l’alerte quand elle évalue vos ressources, car votre nombre de ressources est supérieur à la valeur de seuil.
Fréquence de l’évaluation : 5 minutes
Sélectionnez Suivant : Actions.
Actions
Sélectionnez Créer un groupe d’actions :
Abonnement: Sélectionnez votre abonnement Azure.
Groupe de ressources : demo-arg-alert-rg
Région : l’option Global permet au service des groupes d’actions de sélectionner l’emplacement.
Nom du groupe d’actions : demo-arg-alert-action-group
Nom d’affichage : demo-action (la limite est de 12 caractères)
Sélectionnez Suivant : Notifications :
Type de notification : sélectionnez E-mail/SMS/Push/Voix.
Nom : email-alert
Cochez la case E-mail et tapez votre adresse e-mail.
Cliquez sur OK.
Sélectionnez Vérifier + créer, vérifiez que le récapitulatif est correct, puis sélectionnez Créer. Vous êtes redirigé vers l’onglet Actions de la page Créer une règle d’alerte. Le Nom du groupe d’actions affiche le groupe d’actions que vous avez créé. Vous recevez une notification par e-mail pour confirmer que vous avez été ajouté au groupe d’actions.
Sélectionnez Suivant : Détails.
Détails
Utilisez les informations suivantes sous l’onglet Détails :
Abonnement: Sélectionnez votre abonnement Azure.
Groupe de ressources : demo-arg-alert-rg
Gravité : acceptez la valeur par défaut 3 - Information.
Nom de la règle d’alerte : demo-arg-alert-rule
Description de la règle d’alerte : Alerte par e-mail pour le nombre de ressources Azure
Région : USA Ouest 3
Identité : sélectionnez Identité managée affectée par le système.
Sélectionnez Vérifier + créer, vérifiez que le récapitulatif est correct, puis sélectionnez Créer. Vous êtes redirigé vers la page Journaux de votre espace de travail Log Analytics.
Attribuer un rôle
Attribuez le rôle Lecteur Log Analytics à l’identité managée affectée par le système afin qu’elle ait l’autorisation de déclencher des alertes qui envoient des notifications par e-mail.
Sélectionnez Monitoring>Alertes dans l’espace de travail Log Analytics. Sélectionnez OK si vous voyez l’invite Vos modifications non enregistrées seront ignorées.
Sélectionnez Règles d’alerte.
Sélectionnez demo-arg-alert-rule.
Sélectionnez Paramètres>Identité>Affectée par le système :
État : activé
ID d’objet : affiche le GUID de votre application d’entreprise (principal de service) dans Microsoft Entra ID.
Autorisation : sélectionnez Attributions de rôle Azure :
Vérifiez que votre abonnement est sélectionné.
Sélectionnez Ajouter une attribution de rôle :
Étendue : Abonnement
Abonnement : sélectionnez le nom de votre abonnement Azure.
Rôle : Lecteur Log Analytics
Cliquez sur Enregistrer.
Le rôle Lecteur Log Analytics prend quelques minutes pour s’afficher dans la page Attributions de rôle Azure. Sélectionnez Actualiser pour mettre à jour la page.
Utilisez le bouton Précédent de votre navigateur pour revenir à l’Identité, puis sélectionnez Vue d’ensemble pour revenir à la règle d’alerte. Sélectionnez le lien vers votre groupe de ressources nommé demo-arg-alert-rg.
Bien qu’il ne soit pas couvert par cet article, pour un cluster Azure Data Explorer, ajoutez le rôle Lecteur à l’identité managée affectée par le système. Pour plus d’informations, à la fin de cet article, sélectionnez le lien Attributions de rôles pour les clusters Azure Data Explorer.
Dans l’espace de travail Log Analytics, sélectionnez Nouvelle règle d’alerte. La requête de votre espace de travail Log Analytics est copiée dans la règle d’alerte. La page Créer une règle d’alerte a plusieurs onglets qui doivent être mis à jour.
Étendue
Vérifiez que l’étendue est définie par défaut sur votre espace de travail Log Analytics nommé demo-arg-alert-workspace.
Uniquement si votre étendue n’est pas définie sur la valeur par défaut, procédez comme suit :
Accédez à l’onglet Étendue et sélectionnez Sélectionner une étendue.
En bas de l’écran Ressources sélectionnées, supprimez l’étendue actuelle.
Développez demo-arg-alert-rg à partir de la liste des ressources, puis sélectionnez demo-arg-alert-workspace.
Sélectionnez Appliquer.
Sélectionnez Suivant : Condition.
Condition
Le formulaire contient plusieurs champs à renseigner :
Nom du signal : recherche personnalisée dans les journaux
Requête de recherche : affiche le code de la requête
Si vous avez modifié l’étendue, vous devez ajouter la requête à partir de la section Créer une requête.
Mesure
Mesure : Lignes de table
Type d’agrégation : Nombre
Précision de l’agrégation : 5 minutes
Logique d'alerte
Opérateur : Inférieur à
Valeur de seuil : 2
Fréquence de l’évaluation : 5 minutes
Sélectionnez Suivant : Actions.
Actions
Sélectionnez Créer un groupe d’actions :
Abonnement: Sélectionnez votre abonnement Azure.
Groupe de ressources : demo-arg-alert-rg
Région : l’option Global permet au service des groupes d’actions de sélectionner l’emplacement.
Nom du groupe d’actions : demo-arg-la-alert-action-group
Nom d’affichage : demo-argla (la limite est de 12 caractères)
Sélectionnez Suivant : Notifications :
Type de notification : sélectionnez E-mail/SMS/Push/Voix
Nom : email-alert-arg-la
Cochez la case E-mail et tapez votre adresse e-mail
Sélectionnez OK.
Sélectionnez Vérifier + créer, vérifiez que le récapitulatif est correct, puis sélectionnez Créer. Vous êtes redirigé vers l’onglet Actions de la page Créer une règle d’alerte. Le Nom du groupe d’actions affiche le groupe d’actions que vous avez créé. Vous recevez une notification par e-mail pour confirmer que vous avez été ajouté au groupe d’actions.
Sélectionnez Suivant : Détails.
Détails
Utilisez les informations suivantes sous l’onglet Détails :
Abonnement: Sélectionnez votre abonnement Azure.
Groupe de ressources : demo-arg-alert-rg
Gravité : sélectionnez 2 - Avertissement.
Nom de la règle d’alerte : demo-arg-la-alert-rule
Description de la règle d’alerte : Alerte par e-mail pour la requête ARG-LA de la machine virtuelle Azure
Région : USA Ouest 3
Identité : sélectionnez Identité managée affectée par le système
Sélectionnez Vérifier + créer, vérifiez que le récapitulatif est correct, puis sélectionnez Créer. Vous êtes redirigé vers la page Journaux de votre espace de travail Log Analytics.
Attribuer un rôle
Attribuez le rôle Lecteur Log Analytics à l’identité managée affectée par le système afin qu’elle ait l’autorisation de déclencher des alertes qui envoient des notifications par e-mail.
Sélectionnez Monitoring>Alertes dans l’espace de travail Log Analytics. Sélectionnez OK si vous voyez l’invite Vos modifications non enregistrées seront ignorées.
Sélectionnez Règles d’alerte.
Sélectionnez demo-arg-la-alert-rule.
Sélectionnez Paramètres>Identité>Affectée par le système :
État : activé
ID d’objet : affiche le GUID de votre application d’entreprise (principal de service) dans Microsoft Entra ID.
Autorisation : sélectionnez Attributions de rôle Azure
Vérifiez que votre abonnement est sélectionné.
Sélectionnez Ajouter une attribution de rôle :
Étendue : Abonnement
Abonnement : sélectionnez le nom de votre abonnement Azure.
Rôle : Lecteur Log Analytics
Cliquez sur Enregistrer.
Le rôle Lecteur Log Analytics prend quelques minutes pour s’afficher dans la page Attributions de rôle Azure. Sélectionnez Actualiser pour mettre à jour la page.
Utilisez le bouton Précédent de votre navigateur pour revenir à l’Identité, puis sélectionnez Vue d’ensemble pour revenir à la règle d’alerte. Sélectionnez le lien vers votre groupe de ressources nommé demo-arg-alert-rg.
Bien qu’il ne soit pas couvert par cet article, pour un cluster Azure Data Explorer, ajoutez le rôle Lecteur à l’identité managée affectée par le système. Pour plus d’informations, à la fin de cet article, sélectionnez le lien Attributions de rôles pour les clusters Azure Data Explorer.
Une fois que le rôle est attribué à votre règle d’alerte, vous commencez à recevoir un e-mail pour les messages d’alerte. La règle a été créée pour envoyer des alertes toutes les cinq minutes et la première alerte arrive au bout de quelques minutes.
Vous pouvez également voir l’alerte dans le portail Azure :
Accédez au groupe de ressources demo-arg-alert-rg.
Sélectionnez demo-arg-alert-workspace dans votre liste de ressources.
Sélectionnez Monitoring>Alertes.
Une liste des alertes s’affiche.
Une fois que le rôle est attribué à votre règle d’alerte, vous commencez à recevoir un e-mail pour les messages d’alerte. La règle a été créée pour envoyer des alertes toutes les cinq minutes et la première alerte arrive au bout de quelques minutes.
Vous pouvez également voir l’alerte dans le portail Azure :
Accédez au groupe de ressources demo-arg-alert-rg.
Sélectionnez votre machine virtuelle.
Sélectionnez Monitoring>Alertes.
Une liste des alertes s’affiche.
Pour une nouvelle configuration, les informations de journal utilisées pour créer les alertes peuvent être disponibles au bout de 30 minutes. Pendant ce temps, vous pouvez constater que la règle d’alerte de la machine virtuelle affiche des alertes dans les alertes de surveillance de l’espace de travail. Lorsque les informations de journal de la machine virtuelle sont disponibles, les alertes sont affichées dans les alertes de surveillance de la machine virtuelle.
Nettoyer les ressources
Si vous voulez conserver la configuration de l’alerte tout en empêchant l’alerte de se déclencher et d’envoyer des notifications par e-mail, vous pouvez la désactiver. Accédez à votre règle d’alerte demo-arg-alert-rule ou demo-arg-la-alert-rule, puis sélectionnez Désactiver.
Si vous n’avez pas besoin de cette alerte ou des ressources que vous avez créées dans cet exemple, supprimez le groupe de ressources en effectuant les étapes suivantes :
Accédez à votre groupe de ressources demo-arg-alert-rg.
Sélectionnez Supprimer le groupe de ressources.
Tapez le nom du groupe de ressources pour confirmer.
Sélectionnez Supprimer.
Si vous avez créé une machine virtuelle, supprimez la clé privée que vous avez téléchargée sur votre ordinateur pendant le déploiement. Le nom de fichier porte l’extension .pem.
Contenu connexe
Pour plus d’informations sur le langage de requête ou sur l’exploration des ressources, consultez les articles suivants.
