Didacticiel : créer une alerte de recherche dans les journaux pour une ressource Azure

  • Article

Azure Monitor vous avertit de façon proactive lorsque des conditions significatives sont détectées dans vos données de surveillance. Les règles d’alerte de recherche dans les journaux créent une alerte quand une requête de journal retourne un résultat particulier. Par exemple, recevez une alerte quand un événement particulier est créé sur une machine virtuelle, ou envoyez un avertissement quand un trop grand nombre de demandes anonymes sont effectuées sur un compte de stockage.

Dans ce tutoriel, vous allez apprendre à :

  • Accéder aux requêtes de journal prédéfinies conçues pour prendre en charge des règles d’alerte pour différents types de ressources
  • Créer une règle d’alerte de recherche dans les journaux
  • Créer un groupe d’actions pour définir les détails de la notification

Prérequis

Pour suivre ce didacticiel, vous devez disposer de ce qui suit :

  • Une ressource Azure à superviser. Vous pouvez utiliser n’importe quelle ressource de votre abonnement Azure qui prend en charge les paramètres de diagnostic. Pour déterminer si une ressource prend en charge les paramètres de diagnostic, accédez à son menu dans le portail Azure et vérifiez qu’une option Paramètres de diagnostic figure dans la section Supervision du menu.

Si vous utilisez une ressource Azure autre qu’une machine virtuelle :

Si vous utilisez une machine virtuelle Azure :

Sélectionner une requête de journal et vérifier les résultats

Les données sont récupérées à partir d’un espace de travail Log Analytics à l’aide d’une requête de journal écrite en langage KQL (Kusto Query Language). Les insights et les solutions dans Azure Monitor fournissent des requêtes de journal afin de récupérer les données pour un service particulier, mais vous pouvez travailler directement avec des requêtes de journal et leurs résultats dans le Portail Azure avec Log Analytics.

Sélectionnez Journaux dans le menu de votre ressource. Log Analytics s’ouvre avec la fenêtre Requêtes qui contient des requêtes prégénérées pour votre type de ressource. Sélectionnez Alertes pour afficher les requêtes conçues pour les règles d’alerte.

Remarque

Si la fenêtre Requêtes ne s’ouvre pas, cliquez sur Requêtes en haut à droite.

Log Analytics with queries window

Sélectionnez une requête et cliquez sur Exécuter pour la charger dans l’éditeur de requête et retourner des résultats. Vous pouvez modifier la requête et la réexécuter. Par exemple, la requête Afficher les demandes anonymes pour les comptes de stockage est illustrée dans la capture d’écran suivante. Vous pouvez modifier la valeur AuthenticationType ou filtrer sur une autre colonne.

Query results

Créer une règle d’alerte

Une fois que vous avez vérifié votre requête, vous pouvez créer la règle d’alerte. Sélectionnez Nouvelle règle d’alerte pour créer une règle d’alerte basée sur la requête de journal actuelle. L’Étendue est déjà définie sur la ressource actuelle. Vous n’avez pas besoin de changer cette variable.

Create alert rule

Configurer une condition

Dans l’onglet Condition, la Requête de journal est déjà renseignée. La section Mesure définit la manière dont les enregistrements de la requête de journal sont mesurés. Si la requête n’effectue pas de résumé, la seule option consiste à Compter le nombre de Lignes de table. Si la requête comprend une ou plusieurs colonnes résumées, vous pouvez utiliser le nombre de Lignes de table ou un calcul basé sur l’une des colonnes résumées. La Granularité d’agrégation définit l’intervalle de temps sur lequel les valeurs collectées sont agrégées. Par exemple, si la granularité d’agrégation est définie sur 5 minutes, la règle d’alerte évalue les données agrégées au cours des 5 dernières minutes. Si la granularité d’agrégation est définie sur 15 minutes, la règle d’alerte évalue les données agrégées au cours des 15 dernières minutes. Il est important de choisir la granularité d’agrégation appropriée pour votre règle d’alerte, car elle peut affecter sa précision.

Alert rule condition

Configurer des dimensions

Diviser par dimension vous permet de créer des alertes distinctes pour différentes ressources. Ce paramètre est utile quand vous créez une règle d’alerte qui s’applique à plusieurs ressources. Si l’étendue est définie sur une seule ressource, ce paramètre n’est généralement pas utilisé.

Alert rule dimensions

Si vous avez besoin de certaines dimensions incluses dans l’e-mail de notification d’alerte, vous pouvez le spécifier (par exemple, "Ordinateur"). L’e-mail de notification d’alerte inclura alors le nom de l’ordinateur qui a déclenché l’alerte. Le moteur d’alerte utilise la requête d’alerte pour déterminer les dimensions disponibles. Si la dimension souhaitée dans la liste déroulante « Nom de la dimension » n’apparaît pas, c’est parce que la requête d’alerte n’expose pas cette colonne dans les résultats. Vous pouvez facilement ajouter les dimensions souhaitées en ajoutant une ligne Projet à votre requête qui inclut les colonnes que vous souhaitez utiliser. Vous pouvez également utiliser la ligne Résumer pour ajouter des colonnes supplémentaires aux résultats de requête.

Screenshot showing the Alert rule dimensions with a dimension called Computer set.

Configurer une logique d’alerte

Dans la logique d’alerte, configurez l’Opérateur et la Valeur de seuil à comparer à la valeur retournée par la mesure. Une alerte est créée quand cette valeur est True. Sélectionnez une valeur pour la Fréquence d’évaluation qui définit la fréquence d’exécution et d’évaluation de la requête de journal. Le coût de la règle d’alerte augmente quand la fréquence est basse. Quand vous sélectionnez une fréquence, le coût mensuel estimé s’affiche en plus d’un aperçu des résultats de la requête sur une période donnée.

Par exemple, si la mesure est Lignes de table, la logique d’alerte peut être Supérieure à 0, ce qui indique qu’au moins un enregistrement a été retourné. Si la mesure est une valeur de colonnes, la logique doit peut-être être supérieure ou inférieure à une valeur de seuil en particulier. Dans l’exemple suivant, la requête de journal recherche les requêtes anonymes dans un compte de stockage. Si une requête anonyme est effectuée, nous devons déclencher une alerte. Dans ce cas, une seule ligne retournée déclenche l’alerte et la logique d’alerte doit être Supérieure à 0.

Alert logic

Configurer les actions

Les groupes d’actions définissent un ensemble d’actions à entreprendre lorsqu’une alerte est déclenchée, par exemple l’envoi d’un e-mail ou d’un SMS.

Pour configurer des actions, sélectionnez l’onglet Actions.

Screenshot that shows the Actions tab highlighted.

Cliquez sur Sélectionner des groupes d’actions pour en ajouter un à la règle d’alerte.

Screenshot that shows the Select action groups button.

Si vous ne possédez pas encore de groupe d’actions dans votre abonnement, cliquez sur Créer un groupe d’actions pour en créer un.

Create action group

Sélectionnez un Abonnement et un Groupe de ressources pour le groupe d’actions. Ensuite, donnez-lui un Nom de groupe d'actions qui s’affichera sur le portail et un Nom d'affichage qui apparaîtra dans les notifications par e-mail et par SMS.

Action group basics

Sélectionnez l’onglet Notifications et ajoutez une ou plusieurs méthodes de notification des personnes concernées lorsque l’alerte est déclenchée.

Action group notifications

Configuration des détails

Sélectionnez l’onglet Détails et configurez différents paramètres de la règle d’alerte.

  • Nom de la règle d’alerte qui doit être descriptif, car il s’affiche lorsque l’alerte est déclenchée.
  • Vous pouvez également fournir une description de règle d'alerte qui est incluse dans les détails de l’alerte.
  • Configurez l’Abonnement et le Groupe de ressources dans lesquels la règle d’alerte sera enregistrée. Il ne doit pas nécessairement s’agir du même groupe de ressources que celui de la ressource en cours de monitoring.
  • Configurez la Gravité de l’alerte. Elle permet de regrouper les alertes présentant une importance relative similaire. Une gravité de niveau Erreur est appropriée pour une machine virtuelle qui ne répond pas.
  • Sous Options avancées, activez la case à cocher Activer lors de la création.
  • Sous Options avancées, maintenez la case Résoudre automatiquement les alertes cochée. Cela change l’alerte en alerte avec état, ce qui signifie que l’alerte est résolue lorsque la condition n’est plus remplie.

Alert rule details

Cliquez sur Créer une règle d’alerte pour créer la règle d’alerte.

Voir l’alerte

Quand une alerte se déclenche, elle envoie des notifications dans ses groupes d’actions. Vous pouvez également afficher l’alerte dans le portail Azure.

Sélectionnez Alertes dans le menu de la ressource. S’il existe des alertes ouvertes pour les ressources, elles sont incluses dans l’affichage.

Alerts view

Cliquez sur une gravité pour voir les alertes correspondantes. Cochez Réponse de l’utilisateur et décochez Fermé pour afficher uniquement les alertes ouvertes.

Screenshot that shows the User response filter.

Cliquez sur le nom d’une alerte pour voir ses détails.

Alert detail

Étapes suivantes

Maintenant que vous avez appris à créer une alerte de recherche dans les journaux pour une ressource Azure, consultez les classeurs pour créer des visualisations interactives des données d’analyse.

Classeurs Azure Monitor