Naplókeresési riasztási szabály létrehozása vagy szerkesztése

Ez a cikk bemutatja, hogyan hozhat létre új naplókeresési riasztási szabályt, vagy hogyan szerkeszthet egy meglévő naplókeresési riasztási szabályt az Azure Monitorban. A riasztásokkal kapcsolatos további információkért tekintse meg a riasztások áttekintését.

A riasztási szabályok egyesítik a monitorozni kívánt erőforrásokat, az erőforrás figyelési adatait és a riasztást aktiválni kívánt feltételeket. Ezután definiálhat műveleti csoportokat és riasztásfeldolgozási szabályokat annak meghatározásához, hogy mi történik egy riasztás aktiválásakor.

A riasztási szabályok által aktivált riasztások olyan hasznos adatokat tartalmaznak, amelyek a gyakori riasztási sémát használják.

Prerequisites

Riasztási szabály létrehozásához vagy szerkesztéséhez a következő engedélyekkel kell rendelkeznie:

• Olvasási engedély a riasztási szabály által megjelölt cél-erőforrásra.
• Az írási engedély arra az erőforráscsoportra vonatkozik, amelyben a riasztási szabály létrejön. Ha az Azure Portalról hozza létre a riasztási szabályt, a riasztási szabály alapértelmezés szerint ugyanabban az erőforráscsoportban jön létre, amelyben a célerőforrás található.
• Olvasási engedély a riasztási szabályhoz társított bármely műveletcsoporton, ha van ilyen.

A riasztási szabály varázsló elérése az Azure Portalon

Riasztási szabályt többféleképpen is létrehozhat vagy szerkeszthet.

Riasztási szabály létrehozása vagy szerkesztése a portál kezdőlapjáról

1. Az Azure Portalon válassza a Figyelés lehetőséget.
2. A bal oldali panelen válassza a Riasztások lehetőséget.
3. Válassza a + Riasztási szabály létrehozása>lehetőséget.

Riasztási szabály létrehozása vagy szerkesztése egy adott erőforrásból

1. Az Azure Portalon nyissa meg az erőforrást.
2. A bal oldali panelen válassza a Riasztások lehetőséget.
3. Válassza a + Riasztási szabály létrehozása>lehetőséget.
4. A riasztási szabály hatóköre a kiválasztott erőforrásra van állítva. Folytassa a riasztási szabály feltételeinek beállításával.

Meglévő riasztási szabály szerkesztése

1. Az Azure Portalon a kezdőlapon vagy egy adott erőforráson válassza a Riasztások lehetőséget a bal oldali panelen.

2. Válassza a Riasztási szabályok lehetőséget.

3. Jelölje ki a szerkeszteni kívánt riasztási szabályt, majd válassza a Szerkesztés lehetőséget.

   

4. A beállítások szerkesztéséhez válassza ki a riasztási szabály bármelyik lapját.

A riasztási szabály hatókörének konfigurálása

1. Az Erőforrás kiválasztása panelen állítsa be a riasztási szabály hatókörét. Szűrhet előfizetés, erőforrástípus vagy erőforrás helye szerint.

   

2. Válassza az Alkalmaz lehetőséget.

Riasztási szabály feltételeinek konfigurálása

1. A Feltétel lapon a Jelnév mező kiválasztásakor válassza az Egyéni naplókeresés lehetőséget. Vagy válassza az Összes jel megjelenítése lehetőséget, ha másik jelet szeretne választani a feltételhez.

2. (Nem kötelező) Ha az előző lépésben az összes jel megjelenítése lehetőséget választotta, a Jel kiválasztása panelen keresse meg a jel nevét, vagy szűrje a jelek listáját. Szűrés:

   • Jel típusa: Válassza a Naplókeresés lehetőséget.
   • Jelforrás: Az egyéni naplókeresést és napló (mentett lekérdezés) jeleket küldő szolgáltatás. Válassza ki a jel nevét, majd kattintson az Alkalmaz gombra.

3. A Naplók panelen írjon egy lekérdezést, amely visszaadja azokat a naplóeseményeket, amelyekhez riasztást szeretne létrehozni. Az előre definiált riasztási szabály lekérdezéseinek használatához bontsa ki a Naplók panel melletti Séma és szűrő panelt. Ezután válassza a Lekérdezések lapot, és válasszon ki egyet a lekérdezések közül.

   Vegye figyelembe a naplókeresési riasztási szabály lekérdezéseinek alábbi korlátozásait:

   • A naplókeresési riasztási szabály lekérdezései nem támogatják bag_unpack()a pivot()narrow().
   • A naplókeresési riasztási szabály lekérdezései csak időkeret-konstansokkal támogatjákaz ago() szolgáltatást.
   • AggregatedValue egy fenntartott szó. A naplókeresési riasztási szabályok lekérdezésében nem használható.
   • A naplókeresési riasztási szabályok tulajdonságaiban lévő összes adat együttes mérete nem haladhatja meg a 64 KB-ot.
   • Ha egyéni függvényeket határoz meg a KQL-lekérdezésben a naplókeresési riasztásokhoz, fontos óvatosnak lenni a relatív időzítéseket tartalmazó függvénykóddal (pl. now()). A naplókeresési riasztás KQL-lekérdezésében nem definiált relatív időzítésekkel rendelkező egyéni függvények inkonzisztenciákat okozhatnak a lekérdezési eredményekben, ami hatással lehet a riasztások kiértékelésének pontosságára és megbízhatóságára. Therefore:
     • A pontos és időalapú riasztás érdekében mindig definiáljon relatív időzítéseket közvetlenül a naplókeresési riasztás KQL-lekérdezésében.
     • Ha időtartományokra van szükség a függvényen belül, paraméterekként kell átadni őket, és használni kell őket a függvényben.

   

4. (Nem kötelező) Ha Azure Data Explorer- vagy Azure Resource Graph-fürtöt kérdez le, a Log Analytics-munkaterület nem tudja automatikusan azonosítani az oszlopot az esemény időbélyegével. Javasoljuk, hogy adjon hozzá egy időtartomány-szűrőt a lekérdezéshez. Például:

       adx('https://help.kusto.windows.net/Samples').table
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Note

   • Felügyelt identitást kell használnia az Azure Resource Graph-lekérdezések naplókeresési riasztásokban való használatakor.
   • Minden felügyelt identitás legfeljebb 50 naplókeresési riasztási szabályt támogat Az Azure Resource Graph-lekérdezések használatával.
   • Győződjön meg arról, hogy a riasztási konfiguráció nem lépi túl ezt a korlátot a megfelelő működés fenntartása érdekében.

   Mintanapló-keresési riasztási lekérdezések érhetők el az Azure Data Explorerhez és a Resource Graphhoz.

   A szolgáltatásközi lekérdezések nem támogatottak a kormányzati felhőkben. További információ a korlátozásokról: Szolgáltatásközi lekérdezési korlátozások és Azure Resource Graph-táblák kombinálása Log Analytics-munkaterülettel.

5. Válassza a Futtatás lehetőséget a riasztás futtatásához.

6. Az Előzetes verzió szakaszban láthatja a lekérdezés eredményeit. Amikor befejezte a lekérdezés szerkesztését, válassza a Szerkesztés folytatása riasztás lehetőséget.

7. Megnyílik a Feltétel lap, és ki van töltve a napló lekérdezésével. Alapértelmezés szerint a szabály megszámolja az eredmények számát az elmúlt öt percben. Ha a rendszer összegzett lekérdezési eredményeket észlel, a rendszer automatikusan frissíti a szabályt ezzel az információval.

8. A Mérés szakaszban válassza ki az alábbi mezők értékeit:

   Field	Description
   Measure	A naplókeresési riasztások két dolgot mérhetnek, amelyeket különböző figyelési forgatókönyvekhez használhat: Táblázatsorok: A visszaadott sorok számával dolgozhat olyan eseményekkel, mint a Windows-eseménynaplók, a Syslog és az alkalmazás kivételei. Numerikus oszlop számítása: Bármilyen numerikus oszlopon alapuló számításokkal tetszőleges számú erőforrást tartalmazhat. Ilyen például a processzorhasználat százalékos aránya.
   Összesítés típusa	A több rekordokon végzett számítás aggregációs szemcseméret segítségével egyetlen numerikus értékre összesíti őket. Ilyen például az Összeg, az Átlag, a Minimum és a Maximum.
   Összesítés részletessége (ablakméret)	Több rekord egy numerikus értékre való összesítésének időköze.

   

9. (Nem kötelező) A Dimenziók szerinti felosztás szakaszban dimenziókkal adhat kontextust az aktivált riasztáshoz.

   A dimenziók a lekérdezési eredmények olyan oszlopai, amelyek további adatokat tartalmaznak. Dimenziók használatakor a riasztási szabály a lekérdezés eredményeit a dimenzióértékek alapján csoportosítja, és külön értékeli az egyes csoportok eredményeit. Ha a feltétel teljesül, a szabály riasztást küld az adott csoportnak. A riasztás terhelése tartalmazza a kombinációt, amely a riasztást kiváltotta.

   Riasztási szabályonként legfeljebb hat dimenziót alkalmazhat. A dimenziók csak karakterlánc vagy numerikus oszlopok lehetnek. Ha olyan oszlopot szeretne dimenzióként használni, amely nem szám- vagy karakterlánc típusú, akkor azt a lekérdezésben karakterlánc vagy numerikus értékké kell átalakítania. Ha egynél több dimenzióértéket választ ki, a kombinációból eredő minden egyes idősor saját riasztást indít, és külön-külön kerül felszámításra.

   Például:

   • Dimenziókkal monitorozhat processzorhasználatot a webhelyet vagy alkalmazást futtató több példányon. A rendszer minden példányt külön figyel, és értesítést küld minden olyan példányról, ahol a processzorhasználat meghaladja a konfigurált értéket.
   • Dönthet úgy, hogy nem oszt fel dimenziók szerint, ha a hatókörben több erőforrásra is alkalmazni szeretne egy feltételt. Például nem használna dimenziókat, ha riasztást szeretne küldeni, ha az erőforráscsoport hatókörében legalább öt gép processzorhasználata meghaladja a konfigurált értéket.

   Általában, ha a riasztási szabály hatóköre munkaterület, a rendszer aktiválja a riasztásokat a munkaterületen. Ha minden érintett Azure-erőforráshoz külön riasztást szeretne kapni, a következőkre van lehetőség:

   • Használja dimenzióként az Azure Resource Manager Azure Resource ID oszlopát . Ha ezt a lehetőséget használja, a rendszer a riasztást a munkaterületen az Azure Resource ID oszlopot dimenzióként használva aktiválja.
   • Adja meg a riasztást dimenzióként az Azure Resource ID tulajdonságban. Ezzel a beállítással a lekérdezés által visszaadott erőforrás lesz a riasztás célja. Ezután a rendszer riasztásokat aktivál a lekérdezés által visszaadott erőforrásra, például virtuális gépre vagy tárfiókra a munkaterület helyett.

   Ha ezt a lehetőséget használja, ha a munkaterület egynél több előfizetésben lévő erőforrásokból szerez be adatokat, riasztások aktiválhatók a riasztási szabály előfizetésétől eltérő előfizetésből származó erőforrásokra.

   Válasszon értékeket a következő mezőkhöz:

   Field	Description
   Dimenzió neve	A dimenziók lehetnek szám- vagy sztringoszlopok. A dimenziók adott idősorok figyelésére és egy aktivált riasztás kontextusának megadására szolgálnak.
   Operator	Az operátor, amelyet a dimenziónévre és dimenzióértékre alkalmaznak.
   Dimenzióértékek	A dimenzióértékek az elmúlt 48 óra adatain alapulnak. Egyéni dimenzióértékek hozzáadásához válassza az Egyéni érték hozzáadása lehetőséget.
   Az összes jövőbeli érték belefoglalása	Jelölje ki ezt a mezőt a kijelölt dimenzióhoz hozzáadott jövőbeli értékek belefoglalásához.

   

10. A Riasztás logikai szakaszban válassza ki az alábbi mezők értékeit:

    Field	Description
    Threshold	Válassza ki, hogy a küszöbértéket statikus vagy dinamikus érték alapján kell-e kiértékelni. A statikus küszöbértékek a konfigurált küszöbérték használatával értékelik ki a szabályt. A dinamikus küszöbértékek gépi tanulási algoritmusokkal folyamatosan tanulják meg a lekérdezés eredményének viselkedési mintáit, és kiszámítják a váratlan viselkedéshez szükséges küszöbértékeket. További információ a dinamikus küszöbértékek használatáról.
    Operator	Válassza ki az operátort a lekérdezés eredményértékének a küszöbértékhez való összehasonlításához. Ha dinamikus küszöbértékeket használ, a riasztási szabályok az adatok viselkedése alapján testre szabott küszöbértékeket is használhatnak ugyanazon riasztási szabály felső és alsó határán. Válasszon az alábbi operátorok közül: • Nagyobb, mint a felső küszöbérték, vagy alacsonyabb, mint az alsó küszöbérték (alapértelmezett) • Nagyobb, mint a felső küszöbérték • Alacsonyabb, mint az alsó küszöbérték
    Küszöbérték	Ha statikus küszöbértéket választott, adja meg a feltétellogika küszöbértékét.
    Küszöbérték-érzékenység	Ha dinamikus küszöbértéket választott, adja meg a bizalmassági szintet. A bizalmassági szint befolyásolja a riasztás indításához szükséges lekérdezési eredménymintától való eltérés mértékét. • Magas: A küszöbértékek szorosak és közel állnak a lekérdezés eredménysormintájához. A rendszer a legkisebb eltéréssel aktivál egy riasztási szabályt, amely további riasztásokat eredményez. • Közepes: A küszöbértékek kevésbé szűkek és kiegyensúlyozottabbak. Kevesebb riasztás létezik, mint a nagy érzékenységű (alapértelmezett) riasztások. • Alacsony: A küszöbértékek lazaak, ami nagyobb eltérést tesz lehetővé a lekérdezés eredménymintájától. A riasztási szabályok csak nagy eltérések esetén aktiválódnak, ami kevesebb riasztást eredményez.
    A kiértékelés gyakorisága	Milyen gyakran fut a lekérdezés. Egy perctől egy napig (24 óra) bárhol beállíthatja.

    

    Note

    A gyakoriság nem egy adott időpont, amikor a riasztás minden nap fut. A riasztási szabály milyen gyakran fut.

    A riasztási szabály egyperces gyakoriságának használatára bizonyos korlátozások vonatkoznak. Amikor a riasztási szabály gyakoriságát egy percre állítja be, a rendszer belső manipulációt hajt végre a lekérdezés optimalizálásához. Ez a manipuláció a lekérdezés sikertelenségét okozhatja, ha az nem támogatott műveleteket tartalmaz. A leggyakoribb okok, amiért egy lekérdezés nem támogatott, a következők:

    • A lekérdezés tartalmazza a search, unionvagy take (limit) műveletet.
    • A lekérdezés tartalmazza a függvényt ingestion_time() .
    • A lekérdezés a adx mintát használja.
    • A lekérdezés meghív egy függvényt, amely más táblákat hív meg.

    Mintanapló-keresési riasztási lekérdezések érhetők el az Azure Data Explorerhez és a Resource Graphhoz.

11. (Nem kötelező) A Speciális beállítások szakaszban megadhatja a hibák számát és a riasztás indításához szükséges riasztás-kiértékelési időszakot. Ha például az aggregáció részletességét 5 percre állítja be, megadhatja, hogy csak akkor szeretne riasztást aktiválni, ha három hiba (15 perc) történt az elmúlt órában. Ezt a beállítást az alkalmazás üzleti szabályzata határozza meg.

    A riasztás aktiválásához válassza ki az alábbi mezők értékeit a Szabálysértések száma csoportban:

    Field	Description
    Szabálysértések száma	A riasztást kiváltó szabálysértések száma. Figyelje meg, hogy ennek használatához a lekérdezésnek tartalmaznia kell a "datetime" oszlopot a lekérdezés eredményei között.
    Értékelési időszak	Az az időszak, amelyen belül a szabálysértések száma bekövetkezik.
    Lekérdezési időtartomány felülbírálása	Ha azt szeretné, hogy a riasztás kiértékelési időszaka eltérjen a lekérdezési időtartománytól, itt adjon meg egy időtartományt. A riasztás időtartománya legfeljebb két nap lehet. Még ha a lekérdezés két napnál hosszabb időtartományt tartalmazó parancsot is tartalmaz ago , a kétnapos maximális időtartomány lesz alkalmazva. Ha például a lekérdezés szövege tartalmaz ago(7d)is, a lekérdezés legfeljebb két napnyi adatot vizsgál. Ha a lekérdezés több adatot igényel, mint a riasztás kiértékelése, akkor az időtartományt manuálisan módosíthatja. Ha a lekérdezés tartalmaz egy parancsot ago , az automatikusan két napra (48 órára) változik.

    

    Note

    Ha Ön vagy a rendszergazda hozzárendelte az Azure Policy Azure Log Search-riasztásait a Log Analytics-munkaterületeken, ügyfél által felügyelt kulcsokat kell használnia, akkor válassza a Munkaterülethez társított tárterület ellenőrzése lehetőséget. Ha nem, a szabály létrehozása meghiúsul, mert nem felel meg a szabályzat követelményeinek.

12. Az előnézeti diagram a lekérdezések kiértékelésének eredményeit jeleníti meg az idő függvényében. Módosíthatja a diagramidőszakot, vagy kiválaszthatja a dimenziók szerinti egyedi riasztások által eredményezett különböző idősorokat.

    

13. Válassza a Kész lehetőséget. Miután konfigurálta a riasztási szabály feltételeit, konfigurálhatja a riasztási szabály részleteit a riasztás létrehozásának befejezéséhez, vagy opcionálisan műveleteket és címkéket is hozzáadhat a riasztási szabályhoz.

Riasztási szabályműveletek konfigurálása

A Műveletek lapon igény szerint kiválaszthatja vagy létrehozhatja a riasztási szabályhoz tartozó műveletcsoportokat .

Opcióként testreszabott e-mail tárgyat is beállíthat az értesítések számára. További információért lásd: Naplókeresési értesítési e-mailek tárgyának testreszabása.

Riasztási szabály részleteinek konfigurálása

1. A Részletek lap Projekt részletei csoportjában válassza ki az Előfizetés és az Erőforráscsoport értékeit.

2. Riasztási szabály részletei alatt:

   1. Válassza ki a Súlyosság értéket.

   2. Adja meg a riasztási szabály nevének és a riasztási szabály leírásának értékeit.

      Note

      Az identitást használó szabályok nem tartalmazhatnak pontosvesszőt (;) karaktert a Riasztási szabály névértékében .

   3. Válassza ki a Régió értéket.

3. Az Identitás szakaszban válassza ki, hogy a naplókeresési riasztási szabály melyik identitást használja a hitelesítéshez a napló lekérdezésének elküldésekor.

   Az identitás kiválasztásakor tartsa szem előtt ezeket a pontokat:

   • Felügyelt identitásra van szükség, ha lekérdezést küld az Azure Data Explorerbe vagy a Resource Graphba.
   • Ha meg szeretné tekinteni vagy szerkeszteni szeretné a riasztási szabályhoz társított engedélyeket, használjon felügyelt identitást.
   • Ha nem használ felügyelt identitást, a riasztási szabály örökli az utolsó felhasználó vagy szolgáltatásnév engedélyeit, aki szerkesztette azt a szerkesztés időpontjában érvényes engedélyei alapján.
   • Felügyelt identitással elkerülheti azokat az eseteket, amikor a szabály nem a várt módon működik, mert a szabályt utoljára szerkesztő felhasználó nem rendelkezik a szabály hatóköréhez hozzáadott összes erőforrás engedélyével.

   A szabályhoz társított identitásnak a következő szerepkörökkel kell rendelkeznie:

   • Ha a lekérdezés egy Log Analytics-munkaterülethez fér hozzá, az identitáshoz olvasói szerepkört kell hozzárendelni minden olyan munkaterülethez, amelyhez a lekérdezés hozzáfér. Ha erőforrás-központú naplókeresési riasztásokat hoz létre (előfizetésre vagy erőforráscsoportra terjed ki), ha a riasztási szabály például egy előfizetésre terjed ki, az identitásnak olvasói hozzáféréssel kell rendelkeznie az előfizetésen belüli bármely erőforrás adatait tartalmazó Összes Log Analytics-munkaterülethez, még akkor is, ha ezek a munkaterületek különböző előfizetésekben találhatók. Ez a követelmény akkor is érvényes, ha a rendszer nem használ felügyelt identitást, és a riasztás a legutóbb szerkesztett felhasználó vagy szolgáltatásnév engedélyeire támaszkodik.

     Example:

     Tegyük fel, hogy rendelkezik egy Subscription-A nevű előfizetéssel. Az A előfizetésen belül vannak olyan erőforrások (például virtuális gépek), amelyek a naplóikat különböző Log Analytics-munkaterületekre küldik:

     • Workspace-1 (a Subscription-A előfizetésben található)
     • Workspace-2 (a Subscription-B-ban található)
     • Workspace-3 (található a(z) Subscription-C-ben)

     Létrehoz egy erőforrásközpontú naplókeresési riasztási szabályt az Előfizetés-A-ra, amelyet úgy terveztek, hogy az előfizetés összes erőforrását figyelje. A riasztáshoz rendelt identitásnak olvasói hozzáféréssel kell rendelkeznie az 1. munkaterülethez, a 2. munkaterülethez és a 3. munkaterülethez, annak ellenére, hogy a 2 . és a 3. munkaterület különböző előfizetésekben található. Ennek az az oka, hogy a riasztásnak le kell kérdeznie a naplókat az A előfizetés bármely erőforrásához, és ezek a naplók bármelyik munkaterületen tárolhatók.

     Ha az identitás nem rendelkezik olvasói hozzáféréssel ezen munkaterületek egyikéhez sem, előfordulhat, hogy a riasztás nem tudja lekérdezni a megfelelő erőforrások naplóit, ezért előfordulhat, hogy a riasztás nem a várt módon aktiválódik.

   • Ha Azure Data Explorer- vagy Resource Graph-fürtöt kérdez le, hozzá kell adnia az olvasói szerepkört minden olyan adatforráshoz, amelyhez a lekérdezés hozzáfér. Ha például a lekérdezés erőforrás-központú, akkor olvasói szerepkörre van szüksége az adott erőforráson.

   • Ha a lekérdezés egy távoli Azure Data Explorer-fürthöz fér hozzá, az identitást hozzá kell rendelni:

     • Olvasói szerepkör minden olyan adatforráshoz, amelyhez a lekérdezés hozzáfér. Ha például a lekérdezés egy távoli Azure Data Explorer-fürtöt hív meg a adx() függvény használatával, akkor olvasói szerepkörre van szüksége azon Azure Data Explorer-fürtön.
     • Adatbázis-megjelenítő szerepkör minden olyan adatbázishoz, amelyhez a lekérdezés hozzáfér.

   A felügyelt identitásokkal kapcsolatos részletes információkért tekintse meg az Azure-erőforrások felügyelt identitásai című témakört.

   Válassza ki az alábbi lehetőségek egyikét a riasztási szabály által használt identitáshoz:

   Identitásbeállítás	Description
   None	A riasztási szabály engedélyei a szabály szerkesztésének időpontjában utoljára szerkesztett felhasználó engedélyén alapulnak.
   A rendszer által hozzárendelt felügyelt identitás engedélyezése	Az Azure létrehoz egy új, dedikált identitást ehhez a riasztási szabályhoz. Ez az identitás nem rendelkezik engedélyekkel, és a szabály törlésekor automatikusan törlődik. A szabály létrehozása után engedélyeket kell hozzárendelnie ehhez az identitáshoz, hogy hozzáférjen a lekérdezéshez szükséges munkaterülethez és adatforrásokhoz. Az engedélyek hozzárendelésével kapcsolatos további információkért lásd : Azure-szerepkörök hozzárendelése az Azure Portal használatával. A csatolt tárterületet használó naplókeresési riasztási szabályok nem támogatottak.
   Felhasználó által hozzárendelt felügyelt identitás engedélyezése	A riasztási szabály létrehozása előtt hozzon létre egy identitást, és rendelje hozzá a napló lekérdezéséhez szükséges engedélyeket. Ez egy normál Azure-identitás. Egy identitást több riasztási szabályban is használhat. Az identitás nem törlődik a szabály törlésekor. Ha ezt az identitástípust választja ki, megnyílik egy ablaktábla, amely kijelöli a szabályhoz társított identitást.

   

4. (Nem kötelező) A Speciális beállítások szakaszban több beállítást is megadhat:

   Field	Description
   Engedélyezés létrehozáskor	Ha bejelöli ezt a beállítást, a riasztási szabály azonnal elindul, amint befejezi a létrehozását.
   Riasztások automatikus feloldása	Ezt a beállítást választva állapotalapúvá teheti a riasztást. Ha egy riasztás állapotalapú, a riasztás akkor lesz feloldva, ha a feltétel már nem teljesül egy adott időtartományban. Az időtartomány a riasztás gyakoriságától függően eltérő: 1 perc: A riasztási feltétel 10 percig nem teljesül. 5–15 perc: A riasztási feltétel három gyakorisági időszakban nem teljesül. 15 perc és 11 óra között: A riasztási feltétel két gyakorisági időszakban nem teljesül. 11–12 óra: A riasztási feltétel egy gyakorisági időszakban nem teljesül. A 12 óránál hosszabb gyakoriságú állapotalapú riasztási szabályok nem támogatottak. Vegye figyelembe, hogy az állapotalapú naplókeresési riasztások korlátozásokkal rendelkeznek.
   Műveletek elnémítása	Ha ezt a lehetőséget választja, beállíthatja az időtartamot, amíg a riasztási műveletek újra aktiválódnak. A megjelenő „Műveletek elnémítása” mezőben válassza ki a riasztás kibocsátása után eltelt időtartamot, mielőtt újra elindítaná a műveleteket.
   Munkaterület kapcsolt tárhelyének ellenőrzése	Válassza ezt a lehetőséget, ha a munkaterülethez társított tároló konfigurálva van a riasztásokhoz. Ha nincs konfigurálva csatolt tárterület, a szabály nem jön létre.

5. (Nem kötelező) Az Egyéni tulajdonságok szakaszban, ha ez a riasztási szabály műveletcsoportokat tartalmaz, saját tulajdonságokat is hozzáadhat a riasztási értesítés hasznos adataihoz. Ezeket a tulajdonságokat a műveletcsoport által meghívott műveletekben használhatja, például webhook, Azure-függvény vagy logikai alkalmazásművelet segítségével.

   Az egyéni tulajdonságok kulcs/érték párként vannak megadva statikus szöveg, a riasztás hasznos adataiból kinyert dinamikus érték vagy a kettő kombinációja használatával.

   A dinamikus értéknek a riasztás hasznos adataiból való kinyerési formátuma a következő: ${<path to schema field>}. Például: ${data.essentials.monitorCondition}

   A közös riasztási séma formátumával adja meg a hasznos adat mezőjét, függetlenül attól, hogy a riasztási szabályhoz konfigurált műveletcsoportok használják-e a közös sémát.

   Note

   A rendszer hozzáadja az egyéni tulajdonságokat a riasztás hasznos adataihoz, valamint a közös sémát használó e-mail-értesítésekhez, de nem jelennek meg a riasztás részleteinek oldalán az Azure Portalon.

   

   Az alábbi példák az egyéni tulajdonságok értékeit használják a gyakori riasztási sémát használó hasznos adatokból származó adatok felhasználására.

   Ez a példa létrehoz egy További részletek címkét az ablak kezdési és befejezési időpontjára vonatkozó adatokkal:

   • Név: Additional Details
   • Érték: Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
   • Eredmény: AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z

   Ez a példa a riasztás feloldásának vagy kilövésének okával kapcsolatos adatokat ad hozzá:

   • Név: Alert ${data.essentials.monitorCondition} reason
   • Érték: ${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
   • Lehetséges eredmények:
     • Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
     • Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585

Riasztási szabálycímkék konfigurálása

A Címkék lapon igény szerint beállíthatja a szükséges címkéket a riasztási szabály erőforrásán.

A riasztási szabály áttekintése és létrehozása

1. A Véleményezés + létrehozás lapon érvényesíti a szabályt. Ha probléma merül fel, lépjen vissza, és javítsa ki.

2. Amikor az ellenőrzés sikeres, és áttekintette a beállításokat, válassza a Létrehozás gombot.

   

Kapcsolódó tartalom

• Naplókeresési riasztási lekérdezések mintáinak lekérése
• Riasztáspéldányok megtekintése és kezelése