Inicio rápido: Creación de alertas con Azure Resource Graph y Log Analytics
Artigo
En este inicio rápido, aprenderá a usar Azure Log Analytics para crear alertas en consultas de Azure Resource Graph. Puede crear alertas con la consulta de Azure Resource Graph, el área de trabajo de Log Analytics y las identidades administradas. Las condiciones de la alerta envían notificaciones en un intervalo especificado.
Puede usar consultas para configurar alertas para los recursos de Azure implementados. Puede crear consultas mediante tablas de Azure Resource Graph o puede combinar tablas de Azure Resource Graph y datos de Log Analytics de los registros de Azure Monitor.
En los ejemplos de este artículo, se crean recursos en el mismo grupo de recursos y se usa la misma región, como Oeste de EE. UU. 3. En los ejemplos de este artículo se ejecutan consultas y se crean alertas para los recursos de Azure en un solo inquilino de Azure. Los clústeres de Azure Data Explorer están fuera del ámbito de este artículo.
En este artículo se incluyen dos ejemplos de alertas:
Azure Resource Graph: usa la tabla de Azure Resource Graph Resources para crear una consulta que obtenga datos de los recursos de Azure implementados y cree una alerta.
Azure Resource Graph y Log Analytics: usa la tabla de Azure Resource Graph Resources y los datos de Log Analytics de la tabla de registros Heartbeat de Azure Monitor. En este ejemplo se usa una máquina virtual para mostrar cómo configurar la consulta y la alerta.
Nota:
La integración de alertas de Azure Resource Graph con Log Analytics está en versión preliminar pública.
Requisitos previos
Antes de comenzar, si no tiene una cuenta de Azure, cree una gratuita.
Recursos implementados en Azure, como máquinas virtuales o cuentas de almacenamiento.
Para usar el ejemplo de la consulta de Azure Resource Graph y Log Analytics, necesita al menos una máquina virtual de Azure con el agente de Azure Monitor.
Crear área de trabajo
Cree un área de trabajo de Log Analytics en la suscripción que se está supervisando.
No es necesario crear una máquina virtual para el ejemplo que usa la tabla de Azure Resource Graph.
Nota:
Esta sección es opcional si tiene máquinas virtuales existentes o sabe cómo crear una máquina virtual. En este ejemplo se usa una máquina virtual para mostrar cómo crear una consulta mediante una tabla de Azure Resource Graph y datos de Log Analytics.
Para obtener información de registro, al conectar la máquina virtual al área de trabajo de Log Analytics, el agente de Azure Monitor se instala en la máquina virtual. Si no tiene una máquina virtual, puede crear una para este ejemplo. Para evitar costos innecesarios, elimine la máquina virtual cuando haya terminado con el ejemplo.
Las instrucciones siguientes son para la configuración básica de una máquina virtual Linux. Los pasos detallados sobre cómo crear una máquina virtual están fuera del ámbito de este artículo. Es posible que la organización requiera una configuración de red o seguridad diferente para las máquinas virtuales.
En Crear una máquina virtual, se puede aceptar la configuración predeterminada con las siguientes excepciones:
Conceptos básicos
Grupo de recursos: demo-arg-alert-rg.
nombre de máquina virtual: escriba un nombre de máquina virtual, como demovm01.
Opciones de disponibilidad: no se requiere redundancia de la infraestructura.
Tamaño: Standard_B1s
Cuenta de administrador: debe crear credenciales, pero para este ejemplo, no es necesario iniciar sesión:
Tipo de autenticación: clave pública SSH
Nombre de usuario: crear un nombre de usuario
Origen de clave pública SSH: generar nuevo par de claves
Nombre del par de claves: aceptar el nombre predeterminado
Puertos de entrada públicos: ninguno.
Discos
Compruebe que la opción Eliminar con la máquina virtual está seleccionada.
Redes
IP pública: ninguna
Seleccione Eliminar NIC al eliminar la VM.
Administración
Seleccione Habilitar el apagado automático.
Seleccione una hora de apagado en la zona horaria.
Agregue la dirección de correo electrónico si desea recibir una notificación de apagado.
Supervisión, Avanzado y Etiquetas
No se necesitan cambios para este ejemplo.
Seleccione Revisar y crear y, a continuación, Crear.
Se le pedirá Generar un nuevo par de claves. Seleccione Descargar la clave privada y Crear recurso. Cuando haya terminado con la máquina virtual, elimine el archivo de clave privada del equipo.
Seleccione Ir al recurso después de implementar la máquina virtual.
Nota:
Esta sección es opcional si sabe cómo conectar una máquina virtual a un área de trabajo de Log Analytics y al agente de Azure Monitor.
Configure una regla de recopilación de datos para supervisar la máquina virtual.
En el campo de búsqueda de Azure, escriba reglas de recopilación de datos y seleccione Reglas de recopilación de datos.
Seleccione Crear:
Nombre de regla: escriba un nombre como regla-recopilación-datos-demo.
Suscripción: seleccione su suscripción.
Grupo de recursos: seleccione demo-arg-alert-rg.
Región: Oeste de EE. UU. 3.
Tipo de plataforma: seleccione Todos.
Seleccione Siguiente: recursos:
Seleccione Add resources (Agregar recursos).
Suscripción: seleccione su suscripción.
Ámbito: seleccione el grupo de recursos y el nombre de la máquina virtual.
Seleccione Aplicar.
Seleccione Siguiente: recopilar y entregar:
Seleccione Add data source(Agregar origen de datos).
Tipo de origen de datos: seleccione Contadores de rendimiento.
Seleccione Siguiente: destino y Agregar destino:
Tipo de destino: registros de Azure Monitor.
Suscripción: seleccione su suscripción.
Cuenta o espacio de nombres: seleccione el área de trabajo de Log Analytics, demo-arg-alert-workspace.
Seleccione Add data source(Agregar origen de datos).
Seleccione Revisar y crear y, a continuación, Crear.
Seleccione Ir al recurso cuando la implementación finalice.
Compruebe que la supervisión esté configurada para la máquina virtual:
Vaya a la regla de recopilación de datos y revise la Configuration:
Orígenes de datos: muestra los contadores de rendimiento del origen de datos y los registros de Azure Monitor de destino.
Recursos: muestra la máquina virtual, el grupo de recursos y la suscripción.
Vaya al área de trabajo de Log Analytics demo-arg-alert-workspace. Seleccione Configuración>Agentes>Servidores de Linux y asegúrese de que el equipo Linux esté conectado al agente de Linux de Azure Monitor. El agente podría tardar unos minutos en mostrarse.
Vaya a la máquina virtual y seleccione Configuración>Extensiones y aplicaciones y compruebe que el AzureMonitorLinuxAgentaprovisionamiento se ha realizado correctamente.
En el área de trabajo de Log Analytics, cree una consulta de Azure Resource Graph para obtener un recuento de los recursos de Azure. En este ejemplo se usa la tabla Azure Resource Graph Resources.
Seleccione Registros en el lado izquierdo de la página del área de trabajo de Log Analytics. Cierre la ventana Consultas si se mostrase.
Use el código siguiente en la nueva consulta:
arg("").Resources
| count
Los nombres de tabla de Log Analytics deben escribirse en mayúsculas y minúsculas con la primera letra de cada palabra en mayúsculas, como Resources o ResourceContainers. También puede usar minúsculas como resources o resourcecontainers.
Seleccione Ejecutar.
Los resultados muestran el recuento de recursos de la suscripción de Azure. Tome nota de ese número porque lo necesita para la condición de la regla de alerta. Al ejecutar manualmente la consulta, el recuento se basa en la identidad del usuario y una alerta desencadenada usa una identidad administrada. Es posible que el recuento pueda variar entre una ejecución manual o una alerta desencadenada.
Quite el recuento de la consulta.
arg("").Resources
En el área de trabajo de Log Analytics, cree una consulta de Azure Resource Graph para obtener la última información de latido de la máquina virtual. En este ejemplo se usan la tabla de Azure Resource Graph Resources y los datos de Log Analytics de la tabla de registros Heartbeat de Azure Monitor.
Vaya al área de trabajo de Log Analytics demo-arg-alert-workspace.
Seleccione Registros en el lado izquierdo de la página del área de trabajo de Log Analytics. Cierre la ventana Consultas si se mostrase.
Use el código siguiente en la nueva consulta:
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
Los nombres de tabla de Log Analytics deben escribirse en mayúsculas y minúsculas con la primera letra de cada palabra en mayúsculas, como Resources o ResourceContainers. También puede usar minúsculas como resources o resourcecontainers.
Puede usar otros períodos de tiempo para TimeGenerated. Por ejemplo, en lugar de minutos como 15m use horas como 12h, 24h, 48h.
Seleccione Ejecutar.
La consulta debe devolver el último latido de la máquina virtual, el estado de energía, el nombre y el identificador de recurso. Si no se muestra ningún resultado, continúe con los pasos siguientes. Las nuevas configuraciones pueden tardar 30 minutos para que los datos de supervisión estén disponibles para la consulta y las alertas.
En el área de trabajo de Log Analytics, seleccione Nueva regla de alertas. La consulta del área de trabajo de Log Analytics se copia en la regla de alertas. Crear una regla de alerta tiene varias pestañas que deben actualizarse para crear la alerta.
Ámbito
Compruebe que el ámbito tenga como valor predeterminado el área de trabajo de Log Analytics denominada demo-arg-alert-workspace.
Solo si el ámbito no está establecido como valor predeterminado, siga estos pasos:
Vaya a la pestaña Ámbito y seleccione Seleccionar ámbito.
En la parte inferior de la pantalla Recursos seleccionados, quite el ámbito actual.
Seleccione la opción para Seleccionar ámbito.
Expanda demo-arg-alert-rg en la lista de recursos y seleccione demo-arg-alert-workspace.
Seleccione Aplicar.
Seleccione Siguiente: Condición.
Condición
El formulario tiene varios campos que hay que completar:
Nombre de señal: búsqueda de registros personalizada.
Consulta de búsqueda: muestra el código de consulta
Si cambió el ámbito, deberá agregar la consulta desde la sección Crear consulta.
Medida
Medida: filas de tabla
Tipo de agregación: Count
Granularidad de agregación: 5 minutos
Lógica de alerta
Operador: Mayor que
Valor de umbral: use un número menor que el número devuelto del recuento de recursos.
Por ejemplo, si el recuento de recursos era 50, use 45. Este valor desencadena la alerta que se activará cuando evalúa los recursos porque el número de recursos es mayor que el valor de umbral.
Frecuencia de evaluación: 5 minutos
Seleccione Siguiente: Acciones.
Acciones
Seleccione Crear grupo de acciones:
Suscripción: Seleccione su suscripción a Azure.
Grupo de recursos: demo-arg-alert-rg.
Región: Global permite que el servicio de grupos de acciones seleccione la ubicación.
Nombre del grupo de acciones: demo-arg-alert-action-group
Nombre para mostrar: demo-action (el límite es de 12 caracteres)
Seleccione Siguiente: notificaciones:
Tipo de notificación: seleccione Correo electrónico/Mensaje SMS/Inserción/Voz.
Nombre: email-alert
Active la casilla Correo electrónico y escriba su dirección de correo electrónico.
Seleccione Aceptar.
Seleccione Revisar y crear, compruebe que el resumen sea correcto y seleccione Crear. Se le devuelve a la pestaña Acciones de la página Crear una regla de alertas. El nombre del grupo de acciones muestra el grupo de acciones que creó. Recibirá una notificación por correo electrónico para confirmar que se agregó al grupo de acciones.
Seleccione Siguiente: Detalles.
Detalles
Use la siguiente información en la pestaña Detalles:
Suscripción: Seleccione su suscripción a Azure.
Grupo de recursos: demo-arg-alert-rg.
Gravedad: acepte el valor predeterminado 3: informativo.
Nombre de la regla de alerta: demo-arg-alert-rule.
Descripción de la regla de alerta: alerta por correo electrónico para el recuento de recursos de Azure.
Región: Oeste de EE. UU. 3
Identidad: seleccione Identidad administrada asignada por el sistema.
Seleccione Revisar y crear, compruebe que el resumen sea correcto y seleccione Crear. Volverá a la página Registros del área de trabajo de Log Analytics.
Asignación de un rol
Asigne el Lector de Log Analytics a la identidad administrada asignada por el sistema para que tenga permisos que activen alertas que envíen notificaciones por correo electrónico.
Seleccione Supervisión>Alertas en el área de trabajo de Log Analytics. Seleccione Aceptar si se le pide que se descarten las modificaciones no guardadas.
Id. de objeto: muestra el GUID de la aplicación empresarial (entidad de servicio) en Microsoft Entra ID.
Permiso: seleccionar Asignaciones de roles de Azure:
Compruebe que la suscripción esté seleccionada.
Seleccione Agregar asignación de roles:
Ámbito: suscripción
Suscripción: seleccione el nombre de su suscripción de Azure.
Rol: Lector de Log Analytics
Seleccione Guardar.
El lector de Log Analytics tarda unos minutos en mostrarse en la página asignaciones de roles de Azure. Seleccione Actualizar para actualizar la página.
Use el botón Atrás del explorador para volver a la Identidad y, a continuación, seleccione Información general para volver a la regla de alertas. Seleccione el vínculo al grupo de recursos denominado demo-arg-alert-rg.
Aunque está fuera del ámbito de este artículo, para un clúster de Azure Data Explorer, agregue el rol Lector a la identidad administrada asignada por el sistema. Para obtener más información, al final de este artículo, seleccione el vínculo Asignaciones de roles para clústeres de Azure Data Explorer.
En el área de trabajo de Log Analytics, seleccione Nueva regla de alertas. La consulta del área de trabajo de Log Analytics se copia en la regla de alertas. La regla Crear una alerta tiene varias pestañas que deben actualizarse.
Ámbito
Compruebe que el ámbito tenga como valor predeterminado el área de trabajo de Log Analytics denominada demo-arg-alert-workspace.
Solo si el ámbito no está establecido como valor predeterminado, siga estos pasos:
Vaya a la pestaña Ámbito y seleccione Seleccionar ámbito.
En la parte inferior de la pantalla Recursos seleccionados, elimine el ámbito actual.
Expanda demo-arg-alert-rg en la lista de recursos y seleccione demo-arg-alert-workspace.
Seleccione Aplicar.
Seleccione Siguiente: Condición.
Condición
El formulario tiene varios campos que hay que completar:
Nombre de señal: búsqueda de registros personalizada.
Consulta de búsqueda: muestra el código de consulta
Si cambió el ámbito, deberá agregar la consulta desde la sección Crear consulta.
Medida
Medida: filas de tabla
Tipo de agregación: Count
Granularidad de agregación: 5 minutos
Lógica de alerta
Operador: Menor que
Valor del umbral: 2
Frecuencia de evaluación: 5 minutos
Seleccione Siguiente: Acciones.
Acciones
Seleccione Crear grupo de acciones:
Suscripción: Seleccione su suscripción a Azure.
Grupo de recursos: demo-arg-alert-rg.
Región: Global permite que el servicio de grupos de acciones seleccione la ubicación.
Nombre del grupo de acción: demo-arg-la-alert-action-group
Nombre para mostrar: demo-argla (el límite es de 12 caracteres)
Seleccione Siguiente: notificaciones:
Tipo de notificación: seleccione Correo electrónico/Mensaje SMS/Inserción/Voz.
Nombre: email-alert-arg-la
Active la casilla Correo electrónico y escriba la dirección de correo electrónico.
Seleccione OK (Aceptar).
Seleccione Revisar y crear, compruebe que el resumen sea correcto y seleccione Crear. Se le devuelve a la pestaña Acciones de la página Crear una regla de alertas. El nombre del grupo de acciones muestra el grupo de acciones que creó. Recibirá una notificación por correo electrónico para confirmar que se agregó al grupo de acciones.
Seleccione Siguiente: Detalles.
Detalles
Use la siguiente información en la pestaña Detalles:
Suscripción: Seleccione su suscripción a Azure.
Grupo de recursos: demo-arg-alert-rg.
Gravedad: seleccione 2- Advertencia.
Nombre de la regla de alerta: demo-arg-la-alert-rule
Descripción de la regla de alerta: alerta por correo electrónico para la consulta ARG-LA de la máquina virtual de Azure
Región: Oeste de EE. UU. 3
Autorización: seleccione Identidad administrada asignada por el sistema.
Seleccione Revisar y crear, compruebe que el resumen sea correcto y seleccione Crear. Volverá a la página Registros del área de trabajo de Log Analytics.
Asignación de un rol
Asigne el Lector de Log Analytics a la identidad administrada asignada por el sistema para que tenga permisos que activen alertas que envíen notificaciones por correo electrónico.
Seleccione Supervisión>Alertas en el área de trabajo de Log Analytics. Seleccione Aceptar si se le pide que se descarten las modificaciones no guardadas.
Id. de objeto: muestra el GUID de la aplicación empresarial (entidad de servicio) en Microsoft Entra ID.
Permiso: seleccionar asignaciones de roles de Azure
Compruebe que la suscripción esté seleccionada
Seleccione Agregar asignación de roles:
Ámbito: suscripción
Suscripción: seleccione el nombre de la suscripción de Azure
Rol: Lector de Log Analytics
Seleccione Guardar.
El lector de Log Analytics tarda unos minutos en mostrarse en la página asignaciones de roles de Azure. Seleccione Actualizar para actualizar la página.
Use el botón Atrás del explorador para volver a la Identidad y seleccione Información general para volver a la regla de alerta. Seleccione el vínculo al grupo de recursos denominado demo-arg-alert-rg.
Aunque está fuera del ámbito de este artículo, para un clúster de Azure Data Explorer, agregue el rol Lector a la identidad administrada asignada por el sistema. Para obtener más información, al final de este artículo, seleccione el vínculo Asignaciones de roles para clústeres de Azure Data Explorer.
Después de asignar el rol a la regla de alertas, comenzará a recibir correos electrónicos para los mensajes de alerta. La regla se ha creado para enviar alertas cada cinco minutos y tardará unos minutos en obtener la primera alerta.
También es posible visualizar las alertas en Azure Portal:
Vaya al grupo de recursos demo-arg-alert-rg.
Seleccione demo-arg-alert-workspace en la lista de recursos.
Seleccione Supervisión>Alertas.
Se muestra una lista de alertas.
Después de asignar el rol a la regla de alertas, comenzará a recibir correos electrónicos para los mensajes de alerta. La regla se ha creado para enviar alertas cada cinco minutos y tardará unos minutos en obtener la primera alerta.
También es posible visualizar las alertas en Azure Portal:
Vaya al grupo de recursos demo-arg-alert-rg.
Seleccione la máquina virtual.
Seleccione Supervisión>Alertas.
Se muestra una lista de alertas.
Para una nueva configuración, la información de registro podría tardar 30 minutos en estar disponible y crear alertas. Durante ese tiempo, es posible que observe que la regla de alertas de la máquina virtual muestre alertas en las alertas de supervisión del área de trabajo. Cuando la información de registro de la máquina virtual esté disponible, las alertas se mostrarán en las alertas de supervisión de la máquina virtual.
Limpieza de recursos
Si desea mantener la configuración de la alerta pero detener la activación y el envío de notificaciones por correo electrónico, puede deshabilitarla. Vaya a la regla de alerta demo-arg-alert-rule o demo-arg-la-alert-rule y seleccione Deshabilitar.
Si no necesita esta alerta o los recursos que creó en este ejemplo, elimine el grupo de recursos con los pasos siguientes:
Vaya al grupo de recursos demo-arg-alert-rg.
Seleccione Eliminar grupo de recursos.
Escriba el nombre del grupo de recursos para confirmar.
Seleccione Eliminar.
Si creó una máquina virtual, elimine la clave privada que descargó en el equipo durante la implementación. El nombre de archivo tiene una extensión .pem.
Contenido relacionado
Para obtener más información sobre el lenguaje de consulta o cómo explorar recursos, consulte los artículos siguientes.
