Megosztás a következőn keresztül:

Naplókeresési riasztási szabály létrehozása vagy szerkesztése

  • Cikk

Ez a cikk bemutatja, hogyan hozhat létre új riasztási szabályt, vagy hogyan szerkeszthet egy meglévő riasztási szabályt a naplókereséshez az Azure Monitorban. A riasztásokkal kapcsolatos további információkért tekintse meg a riasztások áttekintését.

Riasztási szabályt úgy hozhat létre, hogy egyesíti a figyelendő erőforrásokat, az erőforrás figyelési adatait és a riasztást aktiválni kívánt feltételeket. Ezután definiálhat műveleti csoportokat és riasztásfeldolgozási szabályokat annak meghatározásához, hogy mi történik egy riasztás aktiválásakor.

A riasztási szabályok által aktivált riasztások olyan hasznos adatokat tartalmaznak, amelyek a gyakori riasztási sémát használják.

A riasztási szabály varázsló elérése az Azure Portalon

Riasztási szabályt többféleképpen is létrehozhat vagy szerkeszthet.

Riasztási szabály létrehozása vagy szerkesztése a portál kezdőlapjáról

  1. Az Azure Portalon válassza a Figyelés lehetőséget.
  2. A bal oldali panelen válassza a Riasztások lehetőséget.
  3. Válassza a + Riasztási szabály létrehozása>lehetőséget.

Képernyőkép a riasztási szabály portál kezdőlapjáról való létrehozásának lépéseiről.

Riasztási szabály létrehozása vagy szerkesztése egy adott erőforrásból

  1. Az Azure Portalon nyissa meg az erőforrást.
  2. A bal oldali panelen válassza a Riasztások lehetőséget.
  3. Válassza a + Riasztási szabály létrehozása>lehetőséget.

A kijelölt erőforrásból származó riasztási szabály létrehozásának lépéseit bemutató képernyőkép.

Meglévő riasztási szabály szerkesztése

  1. Az Azure Portalon a kezdőlapon vagy egy adott erőforráson válassza a Riasztások lehetőséget a bal oldali panelen.

  2. Válassza a Riasztási szabályok lehetőséget.

  3. Jelölje ki a szerkeszteni kívánt riasztási szabályt, majd válassza a Szerkesztés lehetőséget.

    Egy meglévő naplókeresési riasztási szabály szerkesztésének lépéseit bemutató képernyőkép.

  4. A beállítások szerkesztéséhez válassza ki a riasztási szabály bármelyik lapját.

A riasztási szabály hatókörének konfigurálása

  1. Az Erőforrás kiválasztása panelen állítsa be a riasztási szabály hatókörét. Szűrhet előfizetés, erőforrástípus vagy erőforrás helye szerint.

    Képernyőkép az erőforrás új riasztási szabály létrehozása során történő kiválasztására szolgáló panelről.

  2. Válassza az Alkalmazás lehetőséget.

Riasztási szabály feltételeinek konfigurálása

  1. A Feltétel lapon a Jelnév mező kiválasztásakor válassza az Egyéni naplókeresés lehetőséget. Vagy válassza az Összes jel megjelenítése lehetőséget, ha másik jelet szeretne választani a feltételhez.

  2. (Nem kötelező) Ha az előző lépésben az összes jel megjelenítése lehetőséget választotta, a Jel kiválasztása panelen keresse meg a jel nevét, vagy szűrje a jelek listáját. Szűrés:

    • Jel típusa: Válassza a Naplókeresés lehetőséget.
    • Jelforrás: Az egyéni naplókeresést és napló (mentett lekérdezés) jeleket küldő szolgáltatás. Válassza ki a jel nevét, majd kattintson az Alkalmaz gombra.

  3. A Naplók panelen írjon egy lekérdezést, amely visszaadja azokat a naplóeseményeket, amelyekhez riasztást szeretne létrehozni. Az előre definiált riasztási szabály lekérdezéseinek használatához bontsa ki a Naplók panel melletti Séma és szűrő panelt. Ezután válassza a Lekérdezések lapot, és válasszon ki egyet a lekérdezések közül.

    Vegye figyelembe a naplókeresési riasztási szabály lekérdezéseinek alábbi korlátozásait:

    • A naplókeresési riasztási szabály lekérdezései nem támogatják bag_unpack()a pivot()narrow().
    • A naplókeresési riasztási szabály lekérdezései csak időkeret-konstansokkal támogatják az ago() szolgáltatást.
    • AggregatedValue egy fenntartott szó. A naplókeresési riasztási szabályok lekérdezésében nem használható.
    • A naplókeresési riasztási szabályok tulajdonságaiban lévő összes adat együttes mérete nem haladhatja meg a 64 KB-ot.

    Képernyőkép a lekérdezéspanelről egy új naplókeresési riasztási szabály létrehozásakor.

  4. (Nem kötelező) Ha Azure Data Explorer- vagy Azure Resource Graph-fürtöt kérdez le, a Log Analytics-munkaterület nem tudja automatikusan azonosítani az oszlopot az esemény időbélyegével. Javasoljuk, hogy adjon hozzá egy időtartomány-szűrőt a lekérdezéshez. Példa:

        adx('https://help.kusto.windows.net/Samples').table    
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Képernyőkép az új naplókeresési riasztási szabály létrehozásához szükséges Feltétel lapról.

    Mintanapló-keresési riasztási lekérdezések érhetők el az Azure Data Explorerhez és a Resource Graphhoz.

    A szolgáltatásközi lekérdezések nem támogatottak a kormányzati felhőkben. További információ a korlátozásokról: Szolgáltatásközi lekérdezési korlátozások és Azure Resource Graph-táblák kombinálása Log Analytics-munkaterülettel.

  5. Válassza a Futtatás lehetőséget a riasztás futtatásához.

  6. Az Előzetes verzió szakaszban láthatja a lekérdezés eredményeit. Amikor befejezte a lekérdezés szerkesztését, válassza a Szerkesztés folytatása riasztás lehetőséget.

  7. Megnyílik a Feltétel lap, és ki van töltve a napló lekérdezésével. Alapértelmezés szerint a szabály megszámolja az eredmények számát az elmúlt öt percben. Ha a rendszer összegzett lekérdezési eredményeket észlel, a rendszer automatikusan frissíti a szabályt ezzel az információval.

  8. A Mérés szakaszban válassza ki az alábbi mezők értékeit:

    Mező Leírás
    Mér A naplókeresési riasztások két dolgot mérhetnek, amelyeket különböző figyelési forgatókönyvekhez használhat:
    Táblázatsorok: A visszaadott sorok számával dolgozhat olyan eseményekkel, mint a Windows-eseménynaplók, a Syslog és az alkalmazás kivételei.
    Numerikus oszlop számítása: Bármilyen numerikus oszlopon alapuló számításokkal tetszőleges számú erőforrást tartalmazhat. Ilyen például a processzorhasználat százalékos aránya.
    Összesítés típusa A számítás több rekordon is végrehajtotta, hogy az összesítés részletességével összesítse őket egy numerikus értékre. Ilyen például az Összeg, az Átlag, a Minimum és a Maximum.
    Összesítés részletessége Több rekord egy numerikus értékre való összesítésének időköze.

    Képernyőkép az új naplókeresési riasztási szabály létrehozásakor elérhető mérési lehetőségekről.

  9. (Nem kötelező) A Dimenziók szerinti felosztás szakaszban dimenziókkal adhat kontextust az aktivált riasztáshoz.

    A dimenziók olyan oszlopok a lekérdezés eredményeiből, amelyek további adatokat tartalmaznak. Dimenziók használatakor a riasztási szabály a lekérdezés eredményeit a dimenzióértékek alapján csoportosítja, és külön értékeli az egyes csoportok eredményeit. Ha a feltétel teljesül, a szabály riasztást küld az adott csoportnak. A riasztás hasznos adatai közé tartozik a riasztást aktiváló kombináció.

    Riasztási szabályonként legfeljebb hat dimenziót alkalmazhat. A dimenziók csak sztringek vagy numerikus oszlopok lehetnek. Ha olyan oszlopot szeretne használni, amely nem szám vagy sztring típusú dimenzió, akkor a lekérdezésben sztring- vagy számértékké kell alakítania. Ha egynél több dimenzióértéket választ ki, a kombinációból származó idősorok saját riasztást aktiválnak, és külön kerülnek felszámításra.

    Példa:

    • Dimenziókkal monitorozhat processzorhasználatot a webhelyet vagy alkalmazást futtató több példányon. A rendszer minden példányt külön figyel, és értesítést küld minden olyan példányról, ahol a processzorhasználat meghaladja a konfigurált értéket.
    • Dönthet úgy, hogy nem oszt fel dimenziók szerint, ha a hatókörben több erőforrásra is alkalmazni szeretne egy feltételt. Például nem használna dimenziókat, ha riasztást szeretne küldeni, ha az erőforráscsoport hatókörében legalább öt gép processzorhasználata meghaladja a konfigurált értéket.

    Általában, ha a riasztási szabály hatóköre munkaterület, a rendszer aktiválja a riasztásokat a munkaterületen. Ha minden érintett Azure-erőforráshoz külön riasztást szeretne kapni, a következőkre van lehetőség:

    • Használja dimenzióként az Azure Resource Manager Azure Resource ID oszlopát . Ha ezt a lehetőséget használja, a rendszer aktiválja a riasztást a munkaterületen, dimenzióként az Azure Resource ID oszlopával.

    • Adja meg a riasztást dimenzióként az Azure Resource ID tulajdonságban. Ezzel a beállítással a lekérdezés által visszaadott erőforrás lesz a riasztás célja. Ezután a rendszer riasztásokat aktivál a lekérdezés által visszaadott erőforrásra, például virtuális gépre vagy tárfiókra a munkaterület helyett.

      Ha ezt a lehetőséget használja, ha a munkaterület egynél több előfizetésben lévő erőforrásokból szerez be adatokat, riasztások aktiválhatók a riasztási szabály előfizetésétől eltérő előfizetésből származó erőforrásokra.

    Válasszon értékeket a következő mezőkhöz:

    Mező Leírás
    Dimenzió neve A dimenziók lehetnek szám- vagy sztringoszlopok. A dimenziók adott idősorok figyelésére és egy aktivált riasztás kontextusának megadására szolgálnak.
    Operátor A dimenziónévben és -értékben használt operátor.
    Dimenzióértékek A dimenzióértékek az elmúlt 48 óra adatain alapulnak. Egyéni dimenzióértékek hozzáadásához válassza az Egyéni érték hozzáadása lehetőséget.
    Az összes jövőbeli érték belefoglalása Jelölje ki ezt a mezőt a kijelölt dimenzióhoz hozzáadott jövőbeli értékek belefoglalásához.

    Képernyőkép az új naplókeresési riasztási szabály dimenziók szerinti felosztására szolgáló szakaszról.

  10. A Riasztás logikai szakaszban válassza ki az alábbi mezők értékeit:

    Mező Leírás
    Operátor A lekérdezés eredményei számmá alakulnak. Ebben a mezőben válassza ki azt az operátort, amely összehasonlítja a számot a küszöbértékmel.
    Küszöbérték A küszöbérték számértéke.
    A kiértékelés gyakorisága Milyen gyakran fut a lekérdezés. Egy perctől egy napig (24 óra) bárhol beállíthatja.

    Képernyőkép egy új naplókeresési riasztási szabály riasztási logikáját bemutató szakaszról.

    Feljegyzés

    A gyakoriság nem egy adott időpont, amikor a riasztás minden nap fut. A riasztási szabály milyen gyakran fut.

    A riasztási szabály egyperces gyakoriságának használatára bizonyos korlátozások vonatkoznak. Amikor a riasztási szabály gyakoriságát egy percre állítja be, a rendszer belső manipulációt hajt végre a lekérdezés optimalizálásához. Ez a manipuláció a lekérdezés sikertelenségét okozhatja, ha az nem támogatott műveleteket tartalmaz. A lekérdezések nem támogatott leggyakoribb okai a következők:

    • A lekérdezés tartalmazza a search, unionvagy take (limit) műveletet.
    • A lekérdezés tartalmazza a függvényt ingestion_time() .
    • A lekérdezés a adx mintát használja.
    • A lekérdezés meghív egy függvényt, amely más táblákat hív meg.

    Mintanapló-keresési riasztási lekérdezések érhetők el az Azure Data Explorerhez és a Resource Graphhoz.

  11. (Nem kötelező) A Speciális beállítások szakaszban megadhatja a hibák számát és a riasztás indításához szükséges riasztás-kiértékelési időszakot. Ha például az aggregáció részletességét 5 percre állítja be, megadhatja, hogy csak akkor szeretne riasztást aktiválni, ha három hiba (15 perc) történt az elmúlt órában. Ezt a beállítást az alkalmazás üzleti szabályzata határozza meg.

    A riasztás aktiválásához válassza ki az alábbi mezők értékeit a Szabálysértések száma csoportban:

    Mező Leírás
    Szabálysértések száma A riasztást kiváltó szabálysértések száma.
    Értékelési időszak Az az időszak, amelyen belül a szabálysértések száma bekövetkezik.
    Lekérdezési időtartomány felülbírálása Ha azt szeretné, hogy a riasztás kiértékelési időszaka eltérjen a lekérdezési időtartománytól, itt adjon meg egy időtartományt.
    A riasztás időtartománya legfeljebb két nap lehet. Még ha a lekérdezés két napnál hosszabb időtartományt tartalmazó parancsot is tartalmaz ago , a kétnapos maximális időtartomány lesz alkalmazva. Ha például a lekérdezés szövege tartalmaz ago(7d)is, a lekérdezés legfeljebb két napnyi adatot vizsgál. Ha a lekérdezés több adatot igényel, mint a riasztás kiértékelése, akkor az időtartományt manuálisan módosíthatja. Ha a lekérdezés tartalmaz egy parancsot ago , az automatikusan két napra (48 órára) változik.

    Képernyőkép egy új naplókeresési riasztási szabály speciális beállításainak szakaszról.

    Feljegyzés

    Ha Ön vagy a rendszergazda hozzárendelte az Azure Policy Azure Log Search-riasztásait a Log Analytics-munkaterületeken, ügyfél által felügyelt kulcsokat kell használnia, akkor válassza a Munkaterülethez társított tárterület ellenőrzése lehetőséget. Ha nem, a szabály létrehozása meghiúsul, mert nem felel meg a szabályzat követelményeinek.

  12. Az előnézeti diagram a lekérdezések kiértékelésének eredményeit jeleníti meg az idő függvényében. Módosíthatja a diagramidőszakot, vagy kiválaszthatja a dimenziók szerinti egyedi riasztások által eredményezett különböző idősorokat.

    Képernyőkép egy új riasztási szabály előnézetéről.

  13. Válassza a Kész lehetőséget. Ettől a ponttól kezdve bármikor kiválaszthatja a Véleményezés + létrehozás gombot.

Riasztási szabályműveletek konfigurálása

A Műveletek lapon válassza ki vagy hozza létre a szükséges műveletcsoportokat.

Képernyőkép az új riasztási szabály létrehozásához szükséges Műveletek lapról.

Riasztási szabály részleteinek konfigurálása

  1. A Részletek lap Projekt részletei csoportjában válassza ki az Előfizetés és az Erőforráscsoport értékeit.

  2. A Riasztási szabály részletei csoportban:

    1. Válassza ki a Súlyosság értéket.

    2. Adja meg a riasztási szabály nevének és a riasztási szabály leírásának értékeit.

      Feljegyzés

      Az identitást használó szabályok nem tartalmazhatnak pontosvesszőt (;) karaktert a Riasztási szabály névértékében .

    3. Válassza ki a Régió értéket.

  3. Az Identitás szakaszban válassza ki, hogy a naplókeresési riasztási szabály melyik identitást használja a hitelesítéshez a napló lekérdezésének elküldésekor.

    Az identitás kiválasztásakor tartsa szem előtt ezeket a pontokat:

    • Felügyelt identitásra van szükség, ha lekérdezést küld az Azure Data Explorerbe vagy a Resource Graphba.
    • Ha meg szeretné tekinteni vagy szerkeszteni szeretné a riasztási szabályhoz társított engedélyeket, használjon felügyelt identitást.
    • Ha nem használ felügyelt identitást, a riasztási szabály engedélyei az utolsó felhasználó engedélyén alapulnak a szabály utolsó szerkesztésének időpontjában.
    • Felügyelt identitással elkerülheti azokat az eseteket, amikor a szabály nem a várt módon működik, mert a szabályt utoljára szerkesztő felhasználó nem rendelkezik a szabály hatóköréhez hozzáadott összes erőforrás engedélyével.

    A szabályhoz társított identitásnak a következő szerepkörökkel kell rendelkeznie:

    • Ha a lekérdezés egy Log Analytics-munkaterülethez fér hozzá, az identitáshoz olvasói szerepkört kell hozzárendelni minden olyan munkaterülethez, amelyhez a lekérdezés hozzáfér. Ha erőforrás-központú naplókeresési riasztásokat hoz létre, a riasztási szabály több munkaterülethez is hozzáférhet, és az identitásnak mindegyiken olvasói szerepkörrel kell rendelkeznie.
    • Ha Azure Data Explorer- vagy Resource Graph-fürtöt kérdez le, hozzá kell adnia az olvasói szerepkört minden olyan adatforráshoz, amelyhez a lekérdezés hozzáfér. Ha például a lekérdezés erőforrás-központú, akkor olvasói szerepkörre van szüksége az adott erőforráson.
    • Ha a lekérdezés egy távoli Azure Data Explorer-fürthöz fér hozzá, az identitást hozzá kell rendelni:
      • Olvasói szerepkör minden olyan adatforráshoz, amelyhez a lekérdezés hozzáfér. Ha például a lekérdezés egy távoli Azure Data Explorer-fürtöt hív meg a függvény használatával, akkor olvasói szerepkörre van szüksége az adx() Adott Azure Data Explorer-fürtön.
      • Adatbázis-megjelenítő szerepkör minden olyan adatbázishoz, amelyhez a lekérdezés hozzáfér.

    A felügyelt identitásokkal kapcsolatos részletes információkért tekintse meg az Azure-erőforrások felügyelt identitásai című témakört.

    Válassza ki az alábbi lehetőségek egyikét a riasztási szabály által használt identitáshoz:

    Identitásbeállítás Leírás
    Egyik sem A riasztási szabály engedélyei a szabály szerkesztésének időpontjában utoljára szerkesztett felhasználó engedélyén alapulnak.
    A rendszer által hozzárendelt felügyelt identitás engedélyezése Az Azure létrehoz egy új, dedikált identitást ehhez a riasztási szabályhoz. Ez az identitás nem rendelkezik engedélyekkel, és a szabály törlésekor automatikusan törlődik. A szabály létrehozása után engedélyeket kell hozzárendelnie ehhez az identitáshoz, hogy hozzáférjen a lekérdezéshez szükséges munkaterülethez és adatforrásokhoz. Az engedélyek hozzárendelésével kapcsolatos további információkért lásd : Azure-szerepkörök hozzárendelése az Azure Portal használatával. A csatolt tárterületet használó naplókeresési riasztási szabályok nem támogatottak.
    Felhasználó által hozzárendelt felügyelt identitás engedélyezése A riasztási szabály létrehozása előtt hozzon létre egy identitást, és rendelje hozzá a napló lekérdezéséhez szükséges engedélyeket. Ez egy normál Azure-identitás. Egy identitást több riasztási szabályban is használhat. Az identitás nem törlődik a szabály törlésekor. Ha ezt az identitástípust választja ki, megnyílik egy ablaktábla, amely kijelöli a szabályhoz társított identitást.

    Képernyőkép az új naplókeresési riasztási szabály létrehozásához szükséges Részletek lapról.

  4. (Nem kötelező) A Speciális beállítások szakaszban több beállítást is megadhat:

    Mező Leírás
    Engedélyezés létrehozáskor Ha bejelöli ezt a beállítást, a riasztási szabály azonnal elindul, amint befejezi a létrehozását.
    Riasztások automatikus feloldása Ezt a beállítást választva állapotalapúvá teheti a riasztást. Ha egy riasztás állapotalapú, a riasztás akkor lesz feloldva, ha a feltétel már nem teljesül egy adott időtartományban. Az időtartomány a riasztás gyakoriságától függően eltérő:
    1 perc: A riasztási feltétel 10 percig nem teljesül.
    5–15 perc: A riasztási feltétel három gyakorisági időszakban nem teljesül.
    15 perc és 11 óra között: A riasztási feltétel két gyakorisági időszakban nem teljesül.
    11–12 óra: A riasztási feltétel egy gyakorisági időszakban nem teljesül.

    Vegye figyelembe, hogy az állapotalapú naplókeresési riasztások korlátozásokkal rendelkeznek.
    Műveletek elnémítása Ha bejelöli ezt a beállítást, beállíthatja, hogy a riasztási műveletek újra aktiválódjanak. A megjelenő mező elnémítási műveleteiben válassza ki azt az időtartamot, amíg a riasztás aktiválódik, mielőtt újra elindítja a műveleteket.
    Munkaterület társított tárterületének ellenőrzése Válassza ezt a lehetőséget, ha a munkaterülethez társított tároló konfigurálva van a riasztásokhoz. Ha nincs konfigurálva csatolt tárterület, a szabály nem jön létre.

  5. (Nem kötelező) Az Egyéni tulajdonságok szakaszban, ha ez a riasztási szabály műveletcsoportokat tartalmaz, saját tulajdonságokat is hozzáadhat a riasztási értesítés hasznos adataihoz. Ezeket a tulajdonságokat a műveletcsoport által meghívott műveletekben használhatja, például webhook, Azure-függvény vagy logikai alkalmazásművelet segítségével.

    Az egyéni tulajdonságok kulcs/érték párként vannak megadva statikus szöveg, a riasztás hasznos adataiból kinyert dinamikus érték vagy a kettő kombinációja használatával.

    A dinamikus értéknek a riasztás hasznos adataiból való kinyerési formátuma a következő: ${<path to schema field>}. Például: ${data.essentials.monitorCondition}

    A közös riasztási séma formátumával adja meg a hasznos adat mezőjét, függetlenül attól, hogy a riasztási szabályhoz konfigurált műveletcsoportok használják-e a közös sémát.

    Feljegyzés

    • A gyakori riasztási séma felülírja az egyéni konfigurációkat. Nem használhatja az egyéni tulajdonságokat és a közös sémát.
    • Az egyéni tulajdonságok hozzáadódnak a riasztás hasznos adataihoz, de nem jelennek meg az e-mail-sablonban vagy az Azure Portal riasztási részleteiben.
    • Az Azure Service Health-riasztások nem támogatják az egyéni tulajdonságokat.

    Új riasztási szabály létrehozásához használt egyéni tulajdonságokat bemutató képernyőkép.

    Az alábbi példák az egyéni tulajdonságok értékeit használják a gyakori riasztási sémát használó hasznos adatokból származó adatok felhasználására.

    Ez a példa létrehoz egy További részletek címkét az ablak kezdési és befejezési időpontjára vonatkozó adatokkal:

    • Név: Additional Details
    • Érték: Evaluation windowStartTime: \${data.alertContext.condition.windowStartTime}. windowEndTime: \${data.alertContext.condition.windowEndTime}
    • Eredmény: AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z

    Ez a példa a riasztás feloldásának vagy kilövésének okával kapcsolatos adatokat ad hozzá:

    • Név: Alert \${data.essentials.monitorCondition} reason
    • Érték: \${data.alertContext.condition.allOf[0].metricName} \${data.alertContext.condition.allOf[0].operator} \${data.alertContext.condition.allOf[0].threshold} \${data.essentials.monitorCondition}. The value is \${data.alertContext.condition.allOf[0].metricValue}
    • Lehetséges eredmények:
      • Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
      • Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585

Riasztási szabálycímkék konfigurálása

A Címkék lapon állítsa be a szükséges címkéket a riasztási szabály erőforrásán.

Képernyőkép az új riasztási szabály létrehozásához használt Címkék lapról.

A riasztási szabály áttekintése és létrehozása

  1. A Véleményezés + létrehozás lapon érvényesíti a szabályt. Ha probléma merül fel, lépjen vissza, és javítsa ki.

  2. Ha az ellenőrzés nem talál problémákat, és áttekintette a beállításokat, kattintson a Létrehozás gombra.

    Képernyőkép az új riasztási szabály áttekintésére és létrehozására szolgáló lapról.

Kapcsolódó tartalom