Korábbi verziókban létrehozott riasztási szabályok kezelése

  • Cikk

Ez a cikk az előző felhasználói felületen vagy API-verzióval vagy korábbi verzióval 2018-04-16 létrehozott riasztási szabályok kezelésének folyamatát ismerteti. A legújabb felhasználói felületen létrehozott riasztási szabályok az új felhasználói felületen tekinthetők meg és kezelhetők az Azure Monitor használatával a naplókeresési riasztások létrehozása, megtekintése és kezelése című cikkben leírtak szerint.

A naplókeresési riasztási szabály létrehozási felületének módosítása

Az aktuális riasztási szabály varázsló eltér a korábbitól:

  • Korábban a keresési eredmények szerepeltek az aktivált riasztás és a kapcsolódó értesítések hasznos adatai között. Az e-mail csak 10 sort tartalmazott a szűretlen eredményekből, míg a webhook hasznos adatai 1000 szűretlen eredményt tartalmaztak. Ha részletes környezeti információkat szeretne kapni a riasztásról, hogy eldönthesse a megfelelő műveletet:
    • A dimenziók használatát javasoljuk. A dimenziók adják meg a riasztást aktiváló oszlopértéket, amely kontextust ad a riasztás aktivált állapotának és a probléma megoldásának.
    • Ha ki kell vizsgálnia a naplókat, használja a riasztásban található hivatkozást a naplókban található keresési eredményekre.
    • Ha a nyers keresési eredményekre vagy más speciális testreszabásokra van szüksége, használja az Azure Logic Appst.
  • Az új riasztási szabály varázslója nem támogatja a JSON-hasznosadatok testreszabását.
    • Az új API egyéni tulajdonságaival statikus paramétereket és társított értékeket adhat hozzá a riasztás által aktivált webhook-műveletekhez.
    • A speciálisabb testreszabásokhoz használja az Azure Logic Appst.
  • Az új riasztási szabály varázslója nem támogatja az e-mailek tárgyának testreszabását.
    • Az ügyfelek a Log Analytics-munkaterület használata helyett gyakran az e-mail egyéni tárgyában adják meg az erőforrást, amelyen a riasztás aktiválódott. Az új API-val riasztást aktiválhat a kívánt erőforrásról az erőforrás-azonosító oszlop használatával.
    • A speciálisabb testreszabásokhoz használja az Azure Logic Appst.

Az Azure Portal korábbi verzióiban létrehozott riasztási szabályok kezelése

  1. Az Azure Portalon válassza ki a kívánt erőforrást.

  2. A Monitorozás területen válassza a Riasztások elemet.

  3. A felső sávon válassza a Riasztási szabályok lehetőséget.

  4. Válassza ki a szerkeszteni kívánt riasztási szabályt.

  5. A Feltétel szakaszban válassza ki a feltételt.

  6. Megnyílik a Jel logikai konfigurálása panel a gráfként megjelenő lekérdezés előzményadataival. A diagram időtartományát úgy módosíthatja, hogy az elmúlt hat óráról a múlt hétre jelenítsen meg adatokat. Ha a lekérdezés eredményei összegzett adatokat vagy adott oszlopokat tartalmaznak az időoszlop nélkül, a diagram egyetlen értéket jelenít meg.

    Screenshot that shows the Configure signal logic pane.

  7. A riasztási szabály feltételeinek szerkesztése az alábbi szakaszok használatával:

    • Keresési lekérdezés: Ebben a szakaszban módosíthatja a lekérdezést.

    • Riasztási logika: A naplókeresési riasztások kétféle mértéken alapulhatnak:

      1. Találatok száma: A lekérdezés által visszaadott rekordok száma.
      2. Metrikamérés: Az összesített érték kiszámítása summarize a kiválasztott kifejezések és a bin() kijelölés alapján történik. Például: 
        // Reported errors
union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records
| where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records
or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records
| summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)

      A metrikamérések riasztási logikája esetén megadhatja, hogyan oszthatja fel a riasztásokat dimenziók szerint az Összesítés a beállítással . A sorcsoportozás kifejezésének egyedinek és rendezettnek kell lennie.

      A bin() függvény egyenetlen időintervallumokat eredményezhet, ezért a riasztási szolgáltatás automatikusan binat() függvénysé alakítja a binat() függvényt futásidőben megfelelő időpontban, hogy az eredmények rögzített ponttal legyenek biztosítva.

      Feljegyzés

      A Riasztási dimenziók szerinti felosztás lehetőség csak az aktuális ütemezettQueryRules API-hoz érhető el. Ha az örökölt Log Analytics Alert API-t használja, váltania kell. További információ a váltásról. Az erőforrás-központú riasztások nagy méretekben csak az API-verzióban és újabb verziókban 2021-08-01 támogatottak.

      Screenshot that shows Aggregate on.

    • Időszak: Válassza ki azt az időtartományt, amely felett a megadott feltételt az Időszak beállítással szeretné értékelni.

  8. Ha végzett a feltételek szerkesztésével, válassza a Kész lehetőséget.

  9. Az előnézeti adatok használatával állítsa be az operátort, a küszöbértéket és a gyakoriságot.

  10. Állítsa be, hogy hány szabálysértés aktiváljon riasztást a Total vagy Az egymást követő incidensek használatával.

  11. Válassza a Kész lehetőséget.

  12. Szerkesztheti a szabály leírását és súlyosságát. Ezek a részletek az összes riasztási műveletben használatosak. Úgy is dönthet, hogy nem aktiválja a riasztási szabályt a létrehozáskor, ha a létrehozáskor a Szabály engedélyezése lehetőséget választja.

  13. A Riasztások letiltása lehetőséget akkor használja, ha egy riasztás aktiválása után egy adott ideig el szeretné tiltani a szabályműveleteket. A szabály továbbra is fut, és riasztásokat hoz létre, de a zaj elkerülése érdekében a műveletek nem aktiválódnak. A némítási műveletek értékének nagyobbnak kell lennie, mint a riasztás hatékonyságának gyakorisága.

    Screenshot that shows the Alert Details pane.

  14. Ha állapotalapúvá szeretné tenni a riasztásokat, válassza a Riasztások automatikus feloldása (előzetes verzió) lehetőséget.

  15. Adja meg, hogy a riasztási szabály egy vagy több műveletcsoportot aktiváljon-e a riasztási feltétel teljesülésekor. A végrehajtható műveletekre vonatkozó korlátozásokért tekintse meg az Azure Monitor szolgáltatáskorlátait.

  16. (Nem kötelező) Műveletek testreszabása a naplókeresési riasztási szabályokban:

    • Egyéni e-mail tárgy: Felülbírálja az e-mail-műveletek tárgyát . Nem módosíthatja a levél törzsét, és ez a mező nem e-mail-címekhez készült.
    • Egyéni Json-hasznos adatok belefoglalása a webhookokhoz: Felülírja a műveleti csoportok által használt webhook JSON-t, feltéve, hogy a műveletcsoport webhook-műveletet tartalmaz. További információ a naplókeresési riasztások webhookműveleteiről.

    Screenshot that shows Action overrides for log search alerts.

  17. Miután befejezte a riasztási szabály összes beállításának szerkesztését, válassza a Mentés lehetőséget.

Naplókeresési riasztások kezelése a PowerShell használatával

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Az ütemezett lekérdezési szabályok API-val a következő PowerShell-parancsmagokkal kezelheti a szabályokat:

  • New-AzScheduledQueryRule: PowerShell-parancsmag egy új naplókeresési riasztási szabály létrehozásához.
  • Set-AzScheduledQueryRule: PowerShell-parancsmag egy meglévő naplókeresési riasztási szabály frissítéséhez.
  • New-AzScheduledQueryRuleForrás: PowerShell-parancsmag a naplókeresési riasztás forrásparamétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRule és a Set-AzScheduledQueryRule parancsmagok bemenetként használják.
  • New-AzScheduledQueryRuleSchedule: PowerShell-parancsmag a naplókeresési riasztás ütemezési paramétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRule és a Set-AzScheduledQueryRule parancsmagok bemenetként használják.
  • New-AzScheduledQueryRuleAlertingAction: PowerShell-parancsmag a naplókeresési riasztás műveleti paramétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRule és a Set-AzScheduledQueryRule parancsmagok bemenetként használják.
  • New-AzScheduledQueryRuleAznsActionGroup: PowerShell-parancsmag a naplókeresési riasztás műveleticsoport-paramétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRuleAlertingAction parancsmag bemeneteként használatos.
  • New-AzScheduledQueryRuleTriggerCondition: PowerShell-parancsmag a naplókeresési riasztás eseményindító feltételparamétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRuleAlertingAction parancsmag bemeneteként használatos.
  • New-AzScheduledQueryRuleLogMetricTrigger: PowerShell-parancsmag a metrika-eseményindító feltételparamétereit meghatározó objektum létrehozásához vagy frissítéséhez a metrikamérési napló keresési riasztásához. A New-AzScheduledQueryRuleTriggerCondition parancsmag bemenetként használja.
  • Get-AzScheduledQueryRule: PowerShell-parancsmag a meglévő naplókeresési riasztási szabályok vagy egy adott naplókeresési riasztási szabály listázásához.
  • Update-AzScheduledQueryRule: PowerShell-parancsmag naplókeresési riasztási szabály engedélyezéséhez vagy letiltásához.
  • Remove-AzScheduledQueryRule: PowerShell-parancsmag egy meglévő naplókeresési riasztási szabály törléséhez.

Feljegyzés

A ScheduledQueryRules PowerShell-parancsmagok csak az ütemezett lekérdezési szabályok API ezen verziójában létrehozott szabályokat kezelhetik. Az örökölt Log Analytics Alert API használatával létrehozott naplókeresési riasztási szabályok csak az ütemezett lekérdezési szabályok API-ra váltás után kezelhetők a PowerShell használatával.

Példalépések a naplókeresési riasztási szabály PowerShell-lel történő létrehozásához:

$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"

Példalépések naplókeresési riasztási szabály létrehozásához a PowerShell erőforrás-alapú lekérdezésekkel való használatával:

$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"

A naplókeresési riasztást sablonnal és paraméterfájlokkal is létrehozhatja a PowerShell használatával:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
  -TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json

Következő lépések

  • Tudnivalók a naplókeresési riasztásokról.
  • Naplókeresési riasztások létrehozása Azure Resource Manager-sablonok használatával.
  • A naplókeresési riasztások webhookműveleteinek ismertetése.
  • További információ a napló lekérdezéseiről.