Naplókeresési riasztási szabály létrehozása vagy szerkesztése

Ez a cikk bemutatja, hogyan hozhat létre új naplókeresési riasztási szabályt, vagy szerkeszthet egy meglévő naplókeresési riasztási szabályt. A riasztásokkal kapcsolatos további információkért tekintse meg a riasztások áttekintését.

Riasztási szabályt úgy hozhat létre, hogy egyesíti a figyelendő erőforrásokat, az erőforrás figyelési adatait és a riasztást aktiválni kívánt feltételeket. Ezután definiálhat műveleti csoportokat és riasztásfeldolgozási szabályokat annak meghatározásához, hogy mi történik egy riasztás aktiválásakor.

A riasztási szabályok által aktivált riasztások olyan hasznos adatokat tartalmaznak, amelyek a gyakori riasztási sémát használják.

A riasztási szabály varázsló elérése az Azure Portalon

Új riasztási szabályt többféleképpen is létrehozhat vagy szerkeszthet.

Riasztási szabály létrehozása vagy szerkesztése a portál kezdőlapjáról

1. A portálon válassza a Riasztások figyelése>lehetőséget.

2. Nyissa meg a + Létrehozás menüt, és válassza a Riasztási szabály lehetőséget.

   

Riasztási szabály létrehozása vagy szerkesztése egy adott erőforrásból

1. A portálon keresse meg az erőforrást.

2. Válassza a Riasztások lehetőséget a bal oldali panelen, majd válassza a + Riasztási szabály létrehozása>lehetőséget.

   

Meglévő riasztási szabály szerkesztése

1. A portálon a kezdőlapon vagy egy adott erőforrásban válassza a Riasztások lehetőséget a bal oldali panelen.

2. Válassza a Riasztási szabályok lehetőséget.

3. Jelölje ki a szerkeszteni kívánt riasztási szabályt, majd válassza a Szerkesztés lehetőséget.

   

4. A beállítások szerkesztéséhez válassza ki a riasztási szabály bármelyik lapját.

A riasztási szabály hatókörének konfigurálása

1. Az Erőforrás kiválasztása panelen állítsa be a riasztási szabály hatókörét. Szűrhet előfizetés, erőforrástípus vagy erőforrás helye szerint.

2. Válassza az Alkalmazás lehetőséget.

   

A riasztási szabály feltételeinek konfigurálása

1. A Feltétel lapon a Jelnév mező kiválasztásakor válassza az Egyéni naplókeresés lehetőséget, vagy válassza a Minden jel megjelenítése lehetőséget, ha másik jelet szeretne választani a feltételhez.

2. (Nem kötelező) Ha az előző lépésben az összes jel megjelenítése lehetőséget választotta, a Jel kiválasztása panelen keresse meg a jel nevét, vagy szűrje a jelek listáját. Szűrés:

   • Jel típusa: Válassza a Naplókeresés lehetőséget.
   • Jelforrás: Az "Egyéni naplókeresés" és a "Napló (mentett lekérdezés)" jeleket küldő szolgáltatás. Válassza ki a jel nevét , és alkalmazza.

3. A Naplók panelen írjon egy lekérdezést, amely visszaadja azokat a naplóeseményeket, amelyekhez riasztást szeretne létrehozni. Ha az egyik előre definiált riasztási szabály lekérdezését szeretné használni, bontsa ki a Séma és a Szűrő panelt a Naplók panel bal oldalán. Ezután válassza a Lekérdezések lapot, és válasszon ki egyet a lekérdezések közül.

A naplókeresési riasztási szabály lekérdezéseinek korlátozásai:

• A naplókeresési riasztási szabály lekérdezései nem támogatják a "bag_unpack()", a "pivot()" és a "narrow()" beépülő modult.

• Az "AggregatedValue" szó egy fenntartott szó, nem használható a naplókeresési riasztások szabályainak lekérdezésében.

• A naplóriasztási szabály tulajdonságaiban szereplő összes adat együttes mérete nem haladhatja meg a 64 KB-ot.

  

1. (Nem kötelező) Ha ADX- vagy ARG-fürtöt kérdez le, a Log Analytics nem tudja automatikusan azonosítani az oszlopot az esemény időbélyegével. Javasoljuk, hogy adjon hozzá egy időtartomány-szűrőt a lekérdezéshez. Példa:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Az ARG-t vagy ADX-et lekérdező naplókeresési riasztások mintáiért lásd a naplókeresési riasztás lekérdezési mintáit.

   A kereszt-lekérdezések használatának korlátozásai:

   • Szolgáltatásközi lekérdezési korlátozások
   • Azure Resource Graph-táblák kombinálása Log Analytics-munkaterülettel
   • Kormányzati felhőkben nem támogatott

2. Válassza a Futtatás lehetőséget a riasztás futtatásához.

3. Az Előzetes verzió szakaszban láthatja a lekérdezés eredményeit. Amikor befejezte a lekérdezés szerkesztését, válassza a További szerkesztési riasztás lehetőséget.

4. Megnyílik a Feltétel lap a napló lekérdezésével feltöltve. Alapértelmezés szerint a szabály megszámolja az eredmények számát az elmúlt öt percben. Ha a rendszer összegzett lekérdezési eredményeket észlel, a rendszer automatikusan frissíti a szabályt ezzel az információval.

5. A Mérés szakaszban válassza ki az alábbi mezők értékeit:

   

   Mező	Leírás
   Mérőszám	A naplókeresési riasztások két különböző dolgot mérhetnek, amelyek különböző figyelési forgatókönyvekhez használhatók: Táblázatsorok: A visszaadott sorok száma felhasználható olyan események kezelésére, mint a Windows-eseménynaplók, a Syslog és az alkalmazáskivüldők. Numerikus oszlop kiszámítása: A numerikus oszlopokon alapuló számítások tetszőleges számú erőforrást tartalmazhatnak. Ilyen például a processzorhasználat százalékos aránya.
   Összesítés típusa	A számítás több rekordon is végrehajtotta, hogy az összesítés részletességével összesítse őket egy numerikus értékre. Ilyen például az Összeg, az Átlag, a Minimum vagy a Maximum.
   Összesítés részletessége	Több rekord egy numerikus értékre való összesítésének időköze.

6. (Nem kötelező) A Dimenziók szerinti felosztás szakaszban dimenziókkal adhat kontextust az aktivált riasztáshoz.

   

   A dimenziók olyan oszlopok a lekérdezés eredményeiből, amelyek további adatokat tartalmaznak. Dimenziók használatakor a riasztási szabály a lekérdezés eredményeit a dimenzióértékek alapján csoportosítja, és külön értékeli az egyes csoportok eredményeit. Ha a feltétel teljesül, a szabály riasztást küld az adott csoportnak. A riasztás hasznos adatai közé tartozik a riasztást aktiváló kombináció.

   Riasztási szabályonként legfeljebb hat dimenziót alkalmazhat. A dimenziók csak sztringek vagy numerikus oszlopok lehetnek. Ha olyan oszlopot szeretne használni, amely nem szám vagy sztring típusú dimenzió, akkor a lekérdezésben sztring- vagy számértékké kell alakítania. Ha egynél több dimenzióértéket választ ki, a kombinációból származó idősorok saját riasztást aktiválnak, és külön kerülnek felszámításra.

   Példa:

   • Dimenziókkal monitorozhat processzorhasználatot a webhelyet vagy alkalmazást futtató több példányon. A rendszer minden példányt külön figyel, és értesítést küld minden olyan példányról, ahol a processzorhasználat meghaladja a konfigurált értéket.
   • Dönthet úgy, hogy nem oszt fel dimenziók szerint, ha a hatókörben több erőforrásra is alkalmazni szeretne egy feltételt. Például nem használna dimenziókat, ha riasztást szeretne küldeni, ha az erőforráscsoport hatókörében legalább öt gép processzorhasználata meghaladja a konfigurált értéket.

   Válasszon értékeket a következő mezőkhöz:

   • Erőforrás-azonosító oszlop: Általában, ha a riasztási szabály hatóköre munkaterület, a rendszer aktiválja a riasztásokat a munkaterületen. Ha minden érintett Azure-erőforráshoz külön riasztást szeretne kapni, a következőkre van lehetőség:
     • használja dimenzióként az ARM Azure Resource ID oszlopot (figyelje meg, hogy ezzel a beállítással a riasztás aktiválva lesz a munkaterületen az Azure Resource ID oszlop dimenziójaként.
     • adja meg dimenzióként az Azure Resource ID tulajdonságban, amely a lekérdezés által visszaadott erőforrást a riasztás céljává teszi, így a rendszer riasztásokat aktivál a lekérdezés által visszaadott erőforrásra, például virtuális gépre vagy tárfiókra, szemben a munkaterületen. Ha ezt a lehetőséget használja, ha a munkaterület egynél több előfizetésben lévő erőforrásokból szerez be adatokat, riasztások aktiválhatók a riasztási szabály előfizetésétől eltérő előfizetésből származó erőforrásokra.

   Mező	Leírás
   Dimenzió neve	A dimenziók lehetnek szám- vagy sztringoszlopok. A dimenziók adott idősorok figyelésére és egy aktivált riasztás kontextusának megadására szolgálnak.
   Operátor	A dimenziónévben és az értékben használt operátor.
   Dimenzióértékek	A dimenzióértékek az elmúlt 48 óra adatain alapulnak. Egyéni dimenzióértékek hozzáadásához válassza az Egyéni érték hozzáadása lehetőséget.
   Az összes jövőbeli érték belefoglalása	Jelölje ki ezt a mezőt a kijelölt dimenzióhoz hozzáadott jövőbeli értékek belefoglalásához.

7. A Riasztás logikai szakaszban válassza ki az alábbi mezők értékeit:

   

   Mező	Leírás
   Operátor	A lekérdezés eredményei számmá alakulnak. Ebben a mezőben válassza ki azt az operátort, amely a számot a küszöbértékhez hasonlítja.
   Küszöbérték	A küszöbérték számértéke.
   Értékelés gyakorisága	Milyen gyakran fut a lekérdezés. Egy perctől egy napig (24 óra) bárhol beállítható.

   Feljegyzés

   Az egyperces riasztási szabály gyakoriságának használatára bizonyos korlátozások vonatkoznak. Amikor a riasztási szabály gyakoriságát egy percre állítja be, a rendszer belső manipulációt hajt végre a lekérdezés optimalizálásához. Ez a manipuláció a lekérdezés sikertelenségét okozhatja, ha az nem támogatott műveleteket tartalmaz. A lekérdezések nem támogatott leggyakoribb okai a következők:

   • A lekérdezés tartalmazza a keresési, egyesítő* vagy take (limit) műveleteket
   • A lekérdezés tartalmazza a ingestion_time() függvényt
   • A lekérdezés az adx mintát használja
   • A lekérdezés meghív egy függvényt, amely más táblákat hív meg

   Az ARG-t vagy ADX-et lekérdező naplókeresési riasztások mintáit lásd : Naplókeresési riasztások lekérdezési mintái

8. (Nem kötelező) A Speciális beállítások szakaszban megadhatja a hibák számát és a riasztás indításához szükséges riasztás-kiértékelési időszakot. Ha például az aggregáció részletességét 5 percre állítja be, megadhatja, hogy csak akkor szeretne riasztást aktiválni, ha az elmúlt órában három hiba történt (15 perc). Ezt a beállítást az alkalmazás üzleti szabályzata határozza meg.

   

   A riasztás aktiválásához válassza ki az alábbi mezők értékeit a Szabálysértések száma csoportban:

   Mező	Leírás
   Szabálysértések száma	A riasztást kiváltó szabálysértések száma.
   Értékelési időszak	Az az időszak, amelyen belül a szabálysértések száma bekövetkezik.
   Lekérdezési időtartomány felülbírálása	Ha azt szeretné, hogy a riasztás kiértékelési időszaka eltérjen a lekérdezési időtartománytól, itt adjon meg egy időtartományt. A riasztási időtartomány legfeljebb két napra korlátozódik. Még ha a lekérdezés tartalmaz is egy két napnál hosszabb időtartományú korábbi parancsot, a kétnapos maximális időtartomány lesz alkalmazva. Ha például a lekérdezés szövege ago(7d) értéket tartalmaz, a lekérdezés legfeljebb két napnyi adatot vizsgál. Ha a lekérdezés több adatot igényel, mint a riasztás kiértékelése, manuálisan módosíthatja az időtartományt. Ha a lekérdezés tartalmaz egy korábbi parancsot, az automatikusan 2 napra (48 órára) változik.

   Feljegyzés

   Ha Ön vagy a rendszergazda hozzárendelte az Azure Policy Azure Log Search-riasztásait a Log Analytics-munkaterületeken, ügyfél által felügyelt kulcsokat kell használnia, akkor a munkaterülethez társított tároló ellenőrzése lehetőséget kell választania. Ha nem, a szabály létrehozása meghiúsul, mert nem felel meg a szabályzat követelményeinek.

9. Az előnézeti diagram a lekérdezések kiértékelési eredményeit jeleníti meg az idő függvényében. Módosíthatja a diagramidőszakot, vagy kiválaszthatja a dimenziók szerinti egyedi riasztások által eredményezett különböző idősorokat.

   

10. Válassza a Kész lehetőséget. Ettől a ponttól kezdve bármikor kiválaszthatja a Véleményezés + létrehozás gombot.

A riasztási szabály műveleteinek konfigurálása

1. A Műveletek lapon válassza ki vagy hozza létre a szükséges műveletcsoportokat.

   

A riasztási szabály részleteinek konfigurálása

1. A Részletek lapon adja meg a Projekt részleteit.

   • Válassza ki az előfizetést.
   • Válassza ki az erőforráscsoportot.

2. Adja meg a riasztási szabály részleteit.

   

   1. Válassza ki a súlyosságot.

   2. Adja meg a riasztási szabály nevének és a riasztási szabály leírásának értékeit.

      Feljegyzés

      Figyelje meg, hogy az identitást használó szabálynak nem lehet ";" karaktere a riasztási szabály nevében

   3. Válassza ki a régiót.

   4. Az Identitás szakaszban válassza ki, hogy a naplókeresési riasztási szabály melyik identitást használja a naplókeresési lekérdezés küldéséhez. A rendszer ezt az identitást használja a hitelesítéshez, amikor a riasztási szabály végrehajtja a napló lekérdezését.

      Az identitás kiválasztásakor tartsa szem előtt ezeket a dolgokat:

      • Felügyelt identitásra van szükség, ha lekérdezést küld az Azure Data Explorerbe (ADX) vagy az Azure Resource Graphba (ARG).
      • Használjon felügyelt identitást, ha látni vagy szerkeszteni szeretné a riasztási szabályhoz társított engedélyeket.
      • Ha nem használ felügyelt identitást, a riasztási szabály engedélyei az utolsó felhasználó engedélyén alapulnak a szabály utolsó szerkesztésének időpontjában.
      • Felügyelt identitással elkerülheti azokat az eseteket, amikor a szabály nem a várt módon működik, mert a szabályt legutóbb szerkesztő felhasználó nem rendelkezik a szabály hatóköréhez hozzáadott összes erőforrás engedélyével.

      A szabályhoz társított identitásnak a következő szerepkörökkel kell rendelkeznie:

      • Ha a lekérdezés egy Log Analytics-munkaterülethez fér hozzá, az identitáshoz olvasói szerepkört kell hozzárendelni a lekérdezés által elért összes munkaterülethez. Ha erőforrás-központú naplókeresési riasztásokat hoz létre, a riasztási szabály több munkaterülethez is hozzáférhet, és az identitásnak mindegyiken olvasói szerepkörrel kell rendelkeznie.
      • Ha ADX- vagy ARG-fürtöt kérdez le, hozzá kell adnia olvasói szerepkört a lekérdezés által elért összes adatforráshoz. Ha például a lekérdezés erőforrás-központú, akkor olvasói szerepkörre van szüksége az adott erőforrásokon.
      • Ha a lekérdezés egy távoli Azure Data Explorer-fürthöz fér hozzá, az identitást hozzá kell rendelni:
        • Olvasói szerepkör a lekérdezés által elért összes adatforráshoz. Ha például a lekérdezés egy távoli Azure Data Explorer-fürtöt hív meg az adx() függvény használatával, akkor olvasói szerepkörre van szüksége az adott ADX-fürtön.
        • Adatbázis-megjelenítő az összes olyan adatbázishoz, amelyhez a lekérdezés hozzáfér.

      A felügyelt identitásokkal kapcsolatos részletes információkért tekintse meg az Azure-erőforrások felügyelt identitását.

      Válassza ki a következő lehetőségek egyikét a riasztási szabály által használt identitáshoz:

      Identitás	Leírás
      Egyik sem	A riasztási szabály engedélyei a szabály szerkesztésekor utoljára szerkesztett felhasználó engedélyén alapulnak.
      Rendszer által hozzárendelt felügyelt identitás	Az Azure létrehoz egy új, dedikált identitást ehhez a riasztási szabályhoz. Ez az identitás nem rendelkezik engedélyekkel, és a szabály törlésekor automatikusan törlődik. A szabály létrehozása után engedélyeket kell hozzárendelnie ehhez az identitáshoz, hogy hozzáférjen a lekérdezéshez szükséges munkaterülethez és adatforrásokhoz. Az engedélyek hozzárendelésével kapcsolatos további információkért lásd : Azure-szerepkörök hozzárendelése az Azure Portal használatával.
      Felhasználó által hozzárendelt felügyelt identitás	A riasztási szabály létrehozása előtt hozzon létre egy identitást, és rendelje hozzá a napló lekérdezéséhez szükséges engedélyeket. Ez egy normál Azure-identitás. Egy identitást több riasztási szabályban is használhat. Az identitás nem törlődik a szabály törlésekor. Ha ezt az identitástípust választja ki, megnyílik egy ablaktábla, amely kijelöli a szabályhoz társított identitást.

3. (Nem kötelező) A Speciális beállítások szakaszban több beállítást is megadhat:

   Mező	Leírás
   Engedélyezés létrehozáskor	Válassza ki, hogy a riasztási szabály a létrehozás után azonnal elinduljon.
   Riasztások automatikus feloldása (előzetes verzió)	Válassza ki a riasztás állapotalapúvá alakításához. Ha egy riasztás állapotalapú, a riasztás akkor lesz feloldva, ha a feltétel már nem teljesül egy adott időtartományban. Az időtartomány a riasztás gyakoriságától függően eltérő: 1 perc: A riasztási feltétel 10 percig nem teljesül. 5–15 perc: A riasztási feltétel három gyakorisági időszakban nem teljesül. 15 perc – 11 óra: A riasztási feltétel két gyakorisági időszakban nem teljesül. 11–12 óra: A riasztási feltétel egy gyakorisági időszakban nem teljesül. Vegye figyelembe, hogy az állapotalapú naplókeresési riasztások a következő korlátozásokkal rendelkeznek: - kiértékelésenként legfeljebb 300 riasztást aktiválhatnak. - legfeljebb 5000 riasztással rendelkezhet a fired riasztási feltétellel.
   Műveletek elnémítása	Itt adhatja meg, hogy mennyi ideig várjon, mielőtt a riasztási műveletek újra aktiválódnak. Ha bejelöli ezt a jelölőnégyzetet, a mező elnémítási műveletei jelzik, hogy mennyi ideig kell várni a riasztás aktiválása után, mielőtt újra aktiválja a műveleteket.
   Munkaterület társított tárterületének ellenőrzése	Válassza ki, hogy a naplók munkaterülethez társított tárolója konfigurálva van-e a riasztásokhoz. Ha nincs konfigurálva csatolt tárterület, a szabály nem jön létre.

4. (Nem kötelező) Az Egyéni tulajdonságok szakaszban, ha ez a riasztási szabály műveletcsoportokat tartalmaz, saját tulajdonságokat is hozzáadhat a riasztási értesítés hasznos adataihoz. Ezeket a tulajdonságokat a műveletcsoport által meghívott műveletekben használhatja, például webhookok, Azure-függvények vagy logikai alkalmazásműveletek segítségével.

   Az egyéni tulajdonságok kulcs:érték párként vannak megadva statikus szöveg, a riasztás hasznos adataiból kinyert dinamikus érték vagy a kettő kombinációja használatával.

   A dinamikus értéknek a riasztás hasznos adataiból való kinyerési formátuma a következő: ${<path to schema field>}. Például: ${data.essentials.monitorCondition}.

   A közös riasztási séma formátumával adja meg a hasznos adat mezőjét, függetlenül attól, hogy a riasztási szabályhoz konfigurált műveletcsoportok használják-e a közös sémát.

   Feljegyzés

   • A gyakori séma felülírja az egyéni konfigurációkat. Nem használhatja az egyéni tulajdonságokat és a közös sémát.
   • A rendszer hozzáadja az egyéni tulajdonságokat a riasztás hasznos adataihoz, de nem jelennek meg az e-mail-sablonban vagy a riasztás részleteiben az Azure Portalon.
   • A Service Health-riasztások nem támogatják az egyéni tulajdonságokat.

   

   Az alábbi példákban az egyéni tulajdonságok értékei a gyakori riasztási sémát használó hasznos adatokból származó adatok felhasználására szolgálnak:

   1\. példa

   Ez a példa létrehoz egy "További részletek" címkét az "ablak kezdési időpontjára" és az "ablak befejezési időpontjára" vonatkozó adatokkal.

   • Név: "További részletek"
   • Érték: "Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
   • Eredmény: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

   2 . példa: Ez a példa a riasztás feloldásának vagy kilövésének okával kapcsolatos adatokat adja hozzá.

   • Név: "Alert ${data.essentials.monitorCondition} ok"
   • Érték: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Az érték ${data.alertContext.condition.allOf[0].metricValue}"
   • Eredmény: A példaeredmények a következőhöz hasonlóak lehetnek:
     • "A riasztás feloldott oka: A cpu nagyobbThan5-ének százalékos feloldása. Az érték 3,585"
     • "Riasztás aktivált oka": "Százalékos CPU GreaterThan5 Aktiválva. Az érték 10,585"

Riasztási szabálycímkék konfigurálása

1. A Címkék lapon állítsa be a szükséges címkéket a riasztási szabály erőforrásán.

   

A riasztási szabály áttekintése és létrehozása

1. A Véleményezés + létrehozás lapon érvényesíti a szabályt, és tájékoztatja a problémákról.

2. Ha az ellenőrzés nem talál problémákat, és áttekintette a beállításokat, kattintson a Létrehozás gombra.

   

Következő lépések

• Naplókeresési riasztások lekérdezési mintái
• Riasztáspéldányok megtekintése és kezelése