Naplókeresési riasztási szabály létrehozása vagy szerkesztése

Ez a cikk bemutatja, hogyan hozhat létre új naplókeresési riasztási szabályt, vagy hogyan szerkeszthet egy meglévő naplókeresési riasztási szabályt az Azure Monitorban. A riasztásokkal kapcsolatos további információkért tekintse meg a riasztások áttekintését.

A riasztási szabályok egyesítik a monitorozni kívánt erőforrásokat, az erőforrás figyelési adatait és a riasztást aktiválni kívánt feltételeket. Ezután definiálhat műveleti csoportokat és riasztásfeldolgozási szabályokat annak meghatározásához, hogy mi történik egy riasztás aktiválásakor.

A riasztási szabályok által aktivált riasztások olyan hasznos adatokat tartalmaznak, amelyek a gyakori riasztási sémát használják.

Előfeltételek

Riasztási szabály létrehozásához vagy szerkesztéséhez a következő engedélyekkel kell rendelkeznie:

• Olvasási engedély a riasztási szabály célerőforrásán.
• Írási engedély arra az erőforráscsoportra, amelyben a riasztási szabály létrejön. Ha az Azure Portalról hozza létre a riasztási szabályt, a riasztási szabály alapértelmezés szerint ugyanabban az erőforráscsoportban jön létre, amelyben a célerőforrás található.
• Olvasási engedély a riasztási szabályhoz társított bármely műveletcsoporton, ha van ilyen.

A riasztási szabály varázsló elérése az Azure Portalon

Riasztási szabályt többféleképpen is létrehozhat vagy szerkeszthet.

Riasztási szabály létrehozása vagy szerkesztése a portál kezdőlapjáról

1. Az Azure Portalon válassza a Figyelés lehetőséget.
2. A bal oldali panelen válassza a Riasztások lehetőséget.
3. Válassza a + Riasztási szabály létrehozása>lehetőséget.

Riasztási szabály létrehozása vagy szerkesztése egy adott erőforrásból

1. Az Azure Portalon nyissa meg az erőforrást.
2. A bal oldali panelen válassza a Riasztások lehetőséget.
3. Válassza a + Riasztási szabály létrehozása>lehetőséget.
4. A riasztási szabály hatóköre a kiválasztott erőforrásra van állítva. Folytassa a riasztási szabály feltételeinek beállításával.

Meglévő riasztási szabály szerkesztése

1. Az Azure Portalon a kezdőlapon vagy egy adott erőforráson válassza a Riasztások lehetőséget a bal oldali panelen.

2. Válassza a Riasztási szabályok lehetőséget.

3. Jelölje ki a szerkeszteni kívánt riasztási szabályt, majd válassza a Szerkesztés lehetőséget.

   

4. A beállítások szerkesztéséhez válassza ki a riasztási szabály bármelyik lapját.

A riasztási szabály hatókörének konfigurálása

1. Az Erőforrás kiválasztása panelen állítsa be a riasztási szabály hatókörét. Szűrhet előfizetés, erőforrástípus vagy erőforrás helye szerint.

   

2. Válassza az Alkalmazás lehetőséget.

Riasztási szabály feltételeinek konfigurálása

1. A Feltétel lapon a Jelnév mező kiválasztásakor válassza az Egyéni naplókeresés lehetőséget. Vagy válassza az Összes jel megjelenítése lehetőséget, ha másik jelet szeretne választani a feltételhez.

2. (Nem kötelező) Ha az előző lépésben az összes jel megjelenítése lehetőséget választotta, a Jel kiválasztása panelen keresse meg a jel nevét, vagy szűrje a jelek listáját. Szűrés:

   • Jel típusa: Válassza a Naplókeresés lehetőséget.
   • Jelforrás: Az egyéni naplókeresést és napló (mentett lekérdezés) jeleket küldő szolgáltatás. Válassza ki a jel nevét, majd kattintson az Alkalmaz gombra.

3. A Naplók panelen írjon egy lekérdezést, amely visszaadja azokat a naplóeseményeket, amelyekhez riasztást szeretne létrehozni. Az előre definiált riasztási szabály lekérdezéseinek használatához bontsa ki a Naplók panel melletti Séma és szűrő panelt. Ezután válassza a Lekérdezések lapot, és válasszon ki egyet a lekérdezések közül.

   Vegye figyelembe a naplókeresési riasztási szabály lekérdezéseinek alábbi korlátozásait:

   • A naplókeresési riasztási szabály lekérdezései nem támogatják bag_unpack()a pivot()narrow().
   • A naplókeresési riasztási szabály lekérdezései csak időkeret-konstansokkal támogatják az ago() szolgáltatást.
   • AggregatedValue egy fenntartott szó. A naplókeresési riasztási szabályok lekérdezésében nem használható.
   • A naplókeresési riasztási szabályok tulajdonságaiban lévő összes adat együttes mérete nem haladhatja meg a 64 KB-ot.
   • Ha egyéni függvényeket határoz meg a KQL-lekérdezésben a naplókeresési riasztásokhoz, fontos óvatosnak lenni a relatív időzítéseket tartalmazó függvénykóddal (pl. now()). A naplókeresési riasztás KQL-lekérdezésében nem definiált relatív időzítésekkel rendelkező egyéni függvények inkonzisztenciákat okozhatnak a lekérdezési eredményekben, ami hatással lehet a riasztások kiértékelésének pontosságára és megbízhatóságára. Következésképpen:
     • A pontos és időalapú riasztás érdekében mindig definiáljon relatív időzítéseket közvetlenül a naplókeresési riasztás KQL-lekérdezésében.
     • Ha időtartományokra van szükség a függvényen belül, paraméterekként kell átadni őket, és használni kell őket a függvényben.

   

4. (Nem kötelező) Ha Azure Data Explorer- vagy Azure Resource Graph-fürtöt kérdez le, a Log Analytics-munkaterület nem tudja automatikusan azonosítani az oszlopot az esemény időbélyegével. Javasoljuk, hogy adjon hozzá egy időtartomány-szűrőt a lekérdezéshez. Példa:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Mintanapló-keresési riasztási lekérdezések érhetők el az Azure Data Explorerhez és a Resource Graphhoz.

   A szolgáltatásközi lekérdezések nem támogatottak a kormányzati felhőkben. További információ a korlátozásokról: Szolgáltatásközi lekérdezési korlátozások és Azure Resource Graph-táblák kombinálása Log Analytics-munkaterülettel.

5. Válassza a Futtatás lehetőséget a riasztás futtatásához.

6. Az Előzetes verzió szakaszban láthatja a lekérdezés eredményeit. Amikor befejezte a lekérdezés szerkesztését, válassza a Szerkesztés folytatása riasztás lehetőséget.

7. Megnyílik a Feltétel lap, és ki van töltve a napló lekérdezésével. Alapértelmezés szerint a szabály megszámolja az eredmények számát az elmúlt öt percben. Ha a rendszer összegzett lekérdezési eredményeket észlel, a rendszer automatikusan frissíti a szabályt ezzel az információval.

8. A Mérés szakaszban válassza ki az alábbi mezők értékeit:

   Mező	Leírás
   Mér	A naplókeresési riasztások két dolgot mérhetnek, amelyeket különböző figyelési forgatókönyvekhez használhat: Táblázatsorok: A visszaadott sorok számával dolgozhat olyan eseményekkel, mint a Windows-eseménynaplók, a Syslog és az alkalmazás kivételei. Numerikus oszlop számítása: Bármilyen numerikus oszlopon alapuló számításokkal tetszőleges számú erőforrást tartalmazhat. Ilyen például a processzorhasználat százalékos aránya.
   Összesítés típusa	A számítás több rekordon is végrehajtotta, hogy az összesítés részletességével összesítse őket egy numerikus értékre. Ilyen például az Összeg, az Átlag, a Minimum és a Maximum.
   Összesítés részletessége	Több rekord egy numerikus értékre való összesítésének időköze.

   

9. (Nem kötelező) A Dimenziók szerinti felosztás szakaszban dimenziókkal adhat kontextust az aktivált riasztáshoz.

   A dimenziók olyan oszlopok a lekérdezés eredményeiből, amelyek további adatokat tartalmaznak. Dimenziók használatakor a riasztási szabály a lekérdezés eredményeit a dimenzióértékek alapján csoportosítja, és külön értékeli az egyes csoportok eredményeit. Ha a feltétel teljesül, a szabály riasztást küld az adott csoportnak. A riasztás hasznos adatai közé tartozik a riasztást aktiváló kombináció.

   Riasztási szabályonként legfeljebb hat dimenziót alkalmazhat. A dimenziók csak sztringek vagy numerikus oszlopok lehetnek. Ha olyan oszlopot szeretne használni, amely nem szám vagy sztring típusú dimenzió, akkor a lekérdezésben sztring- vagy számértékké kell alakítania. Ha egynél több dimenzióértéket választ ki, a kombinációból származó idősorok saját riasztást aktiválnak, és külön kerülnek felszámításra.

   Példa:

   • Dimenziókkal monitorozhat processzorhasználatot a webhelyet vagy alkalmazást futtató több példányon. A rendszer minden példányt külön figyel, és értesítést küld minden olyan példányról, ahol a processzorhasználat meghaladja a konfigurált értéket.
   • Dönthet úgy, hogy nem oszt fel dimenziók szerint, ha a hatókörben több erőforrásra is alkalmazni szeretne egy feltételt. Például nem használna dimenziókat, ha riasztást szeretne küldeni, ha az erőforráscsoport hatókörében legalább öt gép processzorhasználata meghaladja a konfigurált értéket.

   Általában, ha a riasztási szabály hatóköre munkaterület, a rendszer aktiválja a riasztásokat a munkaterületen. Ha minden érintett Azure-erőforráshoz külön riasztást szeretne kapni, a következőkre van lehetőség:

   • Használja dimenzióként az Azure Resource Manager Azure Resource ID oszlopát . Ha ezt a lehetőséget használja, a rendszer aktiválja a riasztást a munkaterületen, dimenzióként az Azure Resource ID oszlopával.

   • Adja meg a riasztást dimenzióként az Azure Resource ID tulajdonságban. Ezzel a beállítással a lekérdezés által visszaadott erőforrás lesz a riasztás célja. Ezután a rendszer riasztásokat aktivál a lekérdezés által visszaadott erőforrásra, például virtuális gépre vagy tárfiókra a munkaterület helyett.

     Ha ezt a lehetőséget használja, ha a munkaterület egynél több előfizetésben lévő erőforrásokból szerez be adatokat, riasztások aktiválhatók a riasztási szabály előfizetésétől eltérő előfizetésből származó erőforrásokra.

   Válasszon értékeket a következő mezőkhöz:

   Mező	Leírás
   Dimenzió neve	A dimenziók lehetnek szám- vagy sztringoszlopok. A dimenziók adott idősorok figyelésére és egy aktivált riasztás kontextusának megadására szolgálnak.
   Operátor	A dimenziónévben és -értékben használt operátor.
   Dimenzióértékek	A dimenzióértékek az elmúlt 48 óra adatain alapulnak. Egyéni dimenzióértékek hozzáadásához válassza az Egyéni érték hozzáadása lehetőséget.
   Az összes jövőbeli érték belefoglalása	Jelölje ki ezt a mezőt a kijelölt dimenzióhoz hozzáadott jövőbeli értékek belefoglalásához.

   

10. A Riasztás logikai szakaszban válassza ki az alábbi mezők értékeit:

    Mező	Leírás
    Operátor	A lekérdezés eredményei számmá alakulnak. Ebben a mezőben válassza ki azt az operátort, amely összehasonlítja a számot a küszöbértékmel.
    Küszöbérték	A küszöbérték számértéke.
    A kiértékelés gyakorisága	Milyen gyakran fut a lekérdezés. Egy perctől egy napig (24 óra) bárhol beállíthatja.

    

    Feljegyzés

    A gyakoriság nem egy adott időpont, amikor a riasztás minden nap fut. A riasztási szabály milyen gyakran fut.

    A riasztási szabály egyperces gyakoriságának használatára bizonyos korlátozások vonatkoznak. Amikor a riasztási szabály gyakoriságát egy percre állítja be, a rendszer belső manipulációt hajt végre a lekérdezés optimalizálásához. Ez a manipuláció a lekérdezés sikertelenségét okozhatja, ha az nem támogatott műveleteket tartalmaz. A lekérdezések nem támogatott leggyakoribb okai a következők:

    • A lekérdezés tartalmazza a search, unionvagy take (limit) műveletet.
    • A lekérdezés tartalmazza a függvényt ingestion_time() .
    • A lekérdezés a adx mintát használja.
    • A lekérdezés meghív egy függvényt, amely más táblákat hív meg.

    Mintanapló-keresési riasztási lekérdezések érhetők el az Azure Data Explorerhez és a Resource Graphhoz.

11. (Nem kötelező) A Speciális beállítások szakaszban megadhatja a hibák számát és a riasztás indításához szükséges riasztás-kiértékelési időszakot. Ha például az aggregáció részletességét 5 percre állítja be, megadhatja, hogy csak akkor szeretne riasztást aktiválni, ha három hiba (15 perc) történt az elmúlt órában. Ezt a beállítást az alkalmazás üzleti szabályzata határozza meg.

    A riasztás aktiválásához válassza ki az alábbi mezők értékeit a Szabálysértések száma csoportban:

    Mező	Leírás
    Szabálysértések száma	A riasztást kiváltó szabálysértések száma.
    Értékelési időszak	Az az időszak, amelyen belül a szabálysértések száma bekövetkezik.
    Lekérdezési időtartomány felülbírálása	Ha azt szeretné, hogy a riasztás kiértékelési időszaka eltérjen a lekérdezési időtartománytól, itt adjon meg egy időtartományt. A riasztás időtartománya legfeljebb két nap lehet. Még ha a lekérdezés két napnál hosszabb időtartományt tartalmazó parancsot is tartalmaz ago , a kétnapos maximális időtartomány lesz alkalmazva. Ha például a lekérdezés szövege tartalmaz ago(7d)is, a lekérdezés legfeljebb két napnyi adatot vizsgál. Ha a lekérdezés több adatot igényel, mint a riasztás kiértékelése, akkor az időtartományt manuálisan módosíthatja. Ha a lekérdezés tartalmaz egy parancsot ago , az automatikusan két napra (48 órára) változik.

    

    Feljegyzés

    Ha Ön vagy a rendszergazda hozzárendelte az Azure Policy Azure Log Search-riasztásait a Log Analytics-munkaterületeken, ügyfél által felügyelt kulcsokat kell használnia, akkor válassza a Munkaterülethez társított tárterület ellenőrzése lehetőséget. Ha nem, a szabály létrehozása meghiúsul, mert nem felel meg a szabályzat követelményeinek.

12. Az előnézeti diagram a lekérdezések kiértékelésének eredményeit jeleníti meg az idő függvényében. Módosíthatja a diagramidőszakot, vagy kiválaszthatja a dimenziók szerinti egyedi riasztások által eredményezett különböző idősorokat.

    

13. Válassza a Kész lehetőséget. Miután konfigurálta a riasztási szabály feltételeit, konfigurálhatja a riasztási szabály részleteit a riasztás létrehozásának befejezéséhez, vagy opcionálisan műveleteket és címkéket is hozzáadhat a riasztási szabályhoz.

Riasztási szabályműveletek konfigurálása

A Műveletek lapon igény szerint kiválaszthatja vagy létrehozhatja a riasztási szabályhoz tartozó műveletcsoportokat.

Riasztási szabály részleteinek konfigurálása

1. A Részletek lap Projekt részletei csoportjában válassza ki az Előfizetés és az Erőforráscsoport értékeit.

2. A Riasztási szabály részletei csoportban:

   1. Válassza ki a Súlyosság értéket.

   2. Adja meg a riasztási szabály nevének és a riasztási szabály leírásának értékeit.

      Feljegyzés

      Az identitást használó szabályok nem tartalmazhatnak pontosvesszőt (;) karaktert a Riasztási szabály névértékében .

   3. Válassza ki a Régió értéket.

3. Az Identitás szakaszban válassza ki, hogy a naplókeresési riasztási szabály melyik identitást használja a hitelesítéshez a napló lekérdezésének elküldésekor.

   Az identitás kiválasztásakor tartsa szem előtt ezeket a pontokat:

   • Felügyelt identitásra van szükség, ha lekérdezést küld az Azure Data Explorerbe vagy a Resource Graphba.
   • Ha meg szeretné tekinteni vagy szerkeszteni szeretné a riasztási szabályhoz társított engedélyeket, használjon felügyelt identitást.
   • Ha nem használ felügyelt identitást, a riasztási szabály engedélyei az utolsó felhasználó engedélyén alapulnak a szabály utolsó szerkesztésének időpontjában.
   • Felügyelt identitással elkerülheti azokat az eseteket, amikor a szabály nem a várt módon működik, mert a szabályt utoljára szerkesztő felhasználó nem rendelkezik a szabály hatóköréhez hozzáadott összes erőforrás engedélyével.

   A szabályhoz társított identitásnak a következő szerepkörökkel kell rendelkeznie:

   • Ha a lekérdezés egy Log Analytics-munkaterülethez fér hozzá, az identitáshoz olvasói szerepkört kell hozzárendelni minden olyan munkaterülethez, amelyhez a lekérdezés hozzáfér. Ha erőforrás-központú naplókeresési riasztásokat hoz létre, a riasztási szabály több munkaterülethez is hozzáférhet, és az identitásnak mindegyiken olvasói szerepkörrel kell rendelkeznie.
   • Ha Azure Data Explorer- vagy Resource Graph-fürtöt kérdez le, hozzá kell adnia az olvasói szerepkört minden olyan adatforráshoz, amelyhez a lekérdezés hozzáfér. Ha például a lekérdezés erőforrás-központú, akkor olvasói szerepkörre van szüksége az adott erőforráson.
   • Ha a lekérdezés egy távoli Azure Data Explorer-fürthöz fér hozzá, az identitást hozzá kell rendelni:
     • Olvasói szerepkör minden olyan adatforráshoz, amelyhez a lekérdezés hozzáfér. Ha például a lekérdezés egy távoli Azure Data Explorer-fürtöt hív meg a függvény használatával, akkor olvasói szerepkörre van szüksége az adx() Adott Azure Data Explorer-fürtön.
     • Adatbázis-megjelenítő szerepkör minden olyan adatbázishoz, amelyhez a lekérdezés hozzáfér.

   A felügyelt identitásokkal kapcsolatos részletes információkért tekintse meg az Azure-erőforrások felügyelt identitásai című témakört.

   Válassza ki az alábbi lehetőségek egyikét a riasztási szabály által használt identitáshoz:

   Identitásbeállítás	Leírás
   Egyik sem	A riasztási szabály engedélyei a szabály szerkesztésének időpontjában utoljára szerkesztett felhasználó engedélyén alapulnak.
   A rendszer által hozzárendelt felügyelt identitás engedélyezése	Az Azure létrehoz egy új, dedikált identitást ehhez a riasztási szabályhoz. Ez az identitás nem rendelkezik engedélyekkel, és a szabály törlésekor automatikusan törlődik. A szabály létrehozása után engedélyeket kell hozzárendelnie ehhez az identitáshoz, hogy hozzáférjen a lekérdezéshez szükséges munkaterülethez és adatforrásokhoz. Az engedélyek hozzárendelésével kapcsolatos további információkért lásd : Azure-szerepkörök hozzárendelése az Azure Portal használatával. A csatolt tárterületet használó naplókeresési riasztási szabályok nem támogatottak.
   Felhasználó által hozzárendelt felügyelt identitás engedélyezése	A riasztási szabály létrehozása előtt hozzon létre egy identitást, és rendelje hozzá a napló lekérdezéséhez szükséges engedélyeket. Ez egy normál Azure-identitás. Egy identitást több riasztási szabályban is használhat. Az identitás nem törlődik a szabály törlésekor. Ha ezt az identitástípust választja ki, megnyílik egy ablaktábla, amely kijelöli a szabályhoz társított identitást.

   

4. (Nem kötelező) A Speciális beállítások szakaszban több beállítást is megadhat:

   Mező	Leírás
   Engedélyezés létrehozáskor	Ha bejelöli ezt a beállítást, a riasztási szabály azonnal elindul, amint befejezi a létrehozását.
   Riasztások automatikus feloldása	Ezt a beállítást választva állapotalapúvá teheti a riasztást. Ha egy riasztás állapotalapú, a riasztás akkor lesz feloldva, ha a feltétel már nem teljesül egy adott időtartományban. Az időtartomány a riasztás gyakoriságától függően eltérő: 1 perc: A riasztási feltétel 10 percig nem teljesül. 5–15 perc: A riasztási feltétel három gyakorisági időszakban nem teljesül. 15 perc és 11 óra között: A riasztási feltétel két gyakorisági időszakban nem teljesül. 11–12 óra: A riasztási feltétel egy gyakorisági időszakban nem teljesül. Vegye figyelembe, hogy az állapotalapú naplókeresési riasztások korlátozásokkal rendelkeznek.
   Műveletek elnémítása	Ha bejelöli ezt a beállítást, beállíthatja, hogy a riasztási műveletek újra aktiválódjanak. A megjelenő mező elnémítási műveleteiben válassza ki azt az időtartamot, amíg a riasztás aktiválódik, mielőtt újra elindítja a műveleteket.
   Munkaterület társított tárterületének ellenőrzése	Válassza ezt a lehetőséget, ha a munkaterülethez társított tároló konfigurálva van a riasztásokhoz. Ha nincs konfigurálva csatolt tárterület, a szabály nem jön létre.

5. (Nem kötelező) Az Egyéni tulajdonságok szakaszban, ha ez a riasztási szabály műveletcsoportokat tartalmaz, saját tulajdonságokat is hozzáadhat a riasztási értesítés hasznos adataihoz. Ezeket a tulajdonságokat a műveletcsoport által meghívott műveletekben használhatja, például webhook, Azure-függvény vagy logikai alkalmazásművelet segítségével.

   Az egyéni tulajdonságok kulcs/érték párként vannak megadva statikus szöveg, a riasztás hasznos adataiból kinyert dinamikus érték vagy a kettő kombinációja használatával.

   A dinamikus értéknek a riasztás hasznos adataiból való kinyerési formátuma a következő: ${<path to schema field>}. Például: ${data.essentials.monitorCondition}

   A közös riasztási séma formátumával adja meg a hasznos adat mezőjét, függetlenül attól, hogy a riasztási szabályhoz konfigurált műveletcsoportok használják-e a közös sémát.

   Feljegyzés

   • Az egyéni tulajdonságok hozzáadódnak a riasztás hasznos adataihoz, de nem jelennek meg az e-mail-sablonban vagy az Azure Portal riasztási részleteiben.

   

   Az alábbi példák az egyéni tulajdonságok értékeit használják a gyakori riasztási sémát használó hasznos adatokból származó adatok felhasználására.

   Ez a példa létrehoz egy További részletek címkét az ablak kezdési és befejezési időpontjára vonatkozó adatokkal:

   • Név: Additional Details
   • Érték: Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
   • Eredmény: AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z

   Ez a példa a riasztás feloldásának vagy kilövésének okával kapcsolatos adatokat ad hozzá:

   • Név: Alert ${data.essentials.monitorCondition} reason
   • Érték: ${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
   • Lehetséges eredmények:
     • Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
     • Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585

Riasztási szabálycímkék konfigurálása

A Címkék lapon igény szerint beállíthatja a szükséges címkéket a riasztási szabály erőforrásán.

A riasztási szabály áttekintése és létrehozása

1. A Véleményezés + létrehozás lapon érvényesíti a szabályt. Ha probléma merül fel, lépjen vissza, és javítsa ki.

2. Ha az ellenőrzés nem talál problémákat, és áttekintette a beállításokat, kattintson a Létrehozás gombra.

   

Kapcsolódó tartalom

• Naplókeresési riasztási lekérdezések mintáinak lekérése
• Riasztáspéldányok megtekintése és kezelése