Korábbi verziókban létrehozott riasztási szabályok kezelése
Ez a cikk az előző felhasználói felületen vagy API-verzióval vagy korábbi verzióval 2018-04-16
létrehozott riasztási szabályok kezelésének folyamatát ismerteti. A legújabb felhasználói felületen létrehozott riasztási szabályok az új felhasználói felületen tekinthetők meg és kezelhetők az Azure Monitor használatával a naplókeresési riasztások létrehozása, megtekintése és kezelése című cikkben leírtak szerint.
A naplókeresési riasztási szabály létrehozási felületének módosítása
Az aktuális riasztási szabály varázsló eltér a korábbitól:
- Korábban a keresési eredmények szerepeltek az aktivált riasztás és a kapcsolódó értesítések hasznos adatai között. Az e-mail csak 10 sort tartalmazott a szűretlen eredményekből, míg a webhook hasznos adatai 1000 szűretlen eredményt tartalmaztak. Ha részletes környezeti információkat szeretne kapni a riasztásról, hogy eldönthesse a megfelelő műveletet:
- A dimenziók használatát javasoljuk. A dimenziók adják meg a riasztást aktiváló oszlopértéket, amely kontextust ad a riasztás aktivált állapotának és a probléma megoldásának.
- Ha ki kell vizsgálnia a naplókat, használja a riasztásban található hivatkozást a naplókban található keresési eredményekre.
- Ha a nyers keresési eredményekre vagy más speciális testreszabásokra van szüksége, használja az Azure Logic Appst.
- Az új riasztási szabály varázslója nem támogatja a JSON-hasznosadatok testreszabását.
- Az új API egyéni tulajdonságaival statikus paramétereket és társított értékeket adhat hozzá a riasztás által aktivált webhook-műveletekhez.
- A speciálisabb testreszabásokhoz használja az Azure Logic Appst.
- Az új riasztási szabály varázslója nem támogatja az e-mailek tárgyának testreszabását.
- Az ügyfelek a Log Analytics-munkaterület használata helyett gyakran az e-mail egyéni tárgyában adják meg az erőforrást, amelyen a riasztás aktiválódott. Az új API-val riasztást aktiválhat a kívánt erőforrásról az erőforrás-azonosító oszlop használatával.
- A speciálisabb testreszabásokhoz használja az Azure Logic Appst.
Az Azure Portal korábbi verzióiban létrehozott riasztási szabályok kezelése
Az Azure Portalon válassza ki a kívánt erőforrást.
A Monitorozás területen válassza a Riasztások elemet.
A felső sávon válassza a Riasztási szabályok lehetőséget.
Válassza ki a szerkeszteni kívánt riasztási szabályt.
A Feltétel szakaszban válassza ki a feltételt.
Megnyílik a Jel logikai konfigurálása panel a gráfként megjelenő lekérdezés előzményadataival. A diagram időtartományát úgy módosíthatja, hogy az elmúlt hat óráról a múlt hétre jelenítsen meg adatokat. Ha a lekérdezés eredményei összegzett adatokat vagy adott oszlopokat tartalmaznak az időoszlop nélkül, a diagram egyetlen értéket jelenít meg.
A riasztási szabály feltételeinek szerkesztése az alábbi szakaszok használatával:
Keresési lekérdezés: Ebben a szakaszban módosíthatja a lekérdezést.
Riasztási logika: A naplókeresési riasztások kétféle mértéken alapulhatnak:
- Találatok száma: A lekérdezés által visszaadott rekordok száma.
- Metrikamérés: Az összesített érték kiszámítása
summarize
a kiválasztott kifejezések és a bin() kijelölés alapján történik. Például:// Reported errors union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records | where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
A metrikamérések riasztási logikája esetén megadhatja, hogyan oszthatja fel a riasztásokat dimenziók szerint az Összesítés a beállítással . A sorcsoportozás kifejezésének egyedinek és rendezettnek kell lennie.
A bin() függvény egyenetlen időintervallumokat eredményezhet, ezért a riasztási szolgáltatás automatikusan binat() függvénysé alakítja a binat() függvényt futásidőben megfelelő időpontban, hogy az eredmények rögzített ponttal legyenek biztosítva.
Feljegyzés
A Riasztási dimenziók szerinti felosztás lehetőség csak az aktuális ütemezettQueryRules API-hoz érhető el. Ha az örökölt Log Analytics Alert API-t használja, váltania kell. További információ a váltásról. Az erőforrás-központú riasztások nagy méretekben csak az API-verzióban és újabb verziókban
2021-08-01
támogatottak.Időszak: Válassza ki azt az időtartományt, amely felett a megadott feltételt az Időszak beállítással szeretné értékelni.
Ha végzett a feltételek szerkesztésével, válassza a Kész lehetőséget.
Az előnézeti adatok használatával állítsa be az operátort, a küszöbértéket és a gyakoriságot.
Állítsa be, hogy hány szabálysértés aktiváljon riasztást a Total vagy Az egymást követő incidensek használatával.
Válassza a Kész lehetőséget.
Szerkesztheti a szabály leírását és súlyosságát. Ezek a részletek az összes riasztási műveletben használatosak. Úgy is dönthet, hogy nem aktiválja a riasztási szabályt a létrehozáskor, ha a létrehozáskor a Szabály engedélyezése lehetőséget választja.
A Riasztások letiltása lehetőséget akkor használja, ha egy riasztás aktiválása után egy adott ideig el szeretné tiltani a szabályműveleteket. A szabály továbbra is fut, és riasztásokat hoz létre, de a zaj elkerülése érdekében a műveletek nem aktiválódnak. A némítási műveletek értékének nagyobbnak kell lennie, mint a riasztás hatékonyságának gyakorisága.
Ha állapotalapúvá szeretné tenni a riasztásokat, válassza a Riasztások automatikus feloldása (előzetes verzió) lehetőséget.
Adja meg, hogy a riasztási szabály egy vagy több műveletcsoportot aktiváljon-e a riasztási feltétel teljesülésekor. A végrehajtható műveletekre vonatkozó korlátozásokért tekintse meg az Azure Monitor szolgáltatáskorlátait.
(Nem kötelező) Műveletek testreszabása a naplókeresési riasztási szabályokban:
- Egyéni e-mail tárgy: Felülbírálja az e-mail-műveletek tárgyát . Nem módosíthatja a levél törzsét, és ez a mező nem e-mail-címekhez készült.
- Egyéni Json-hasznos adatok belefoglalása a webhookokhoz: Felülírja a műveleti csoportok által használt webhook JSON-t, feltéve, hogy a műveletcsoport webhook-műveletet tartalmaz. További információ a naplókeresési riasztások webhookműveleteiről.
Miután befejezte a riasztási szabály összes beállításának szerkesztését, válassza a Mentés lehetőséget.
Naplókeresési riasztások kezelése a PowerShell használatával
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Az ütemezett lekérdezési szabályok API-val a következő PowerShell-parancsmagokkal kezelheti a szabályokat:
- New-AzScheduledQueryRule: PowerShell-parancsmag egy új naplókeresési riasztási szabály létrehozásához.
- Set-AzScheduledQueryRule: PowerShell-parancsmag egy meglévő naplókeresési riasztási szabály frissítéséhez.
- New-AzScheduledQueryRuleForrás: PowerShell-parancsmag a naplókeresési riasztás forrásparamétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRule és a Set-AzScheduledQueryRule parancsmagok bemenetként használják.
- New-AzScheduledQueryRuleSchedule: PowerShell-parancsmag a naplókeresési riasztás ütemezési paramétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRule és a Set-AzScheduledQueryRule parancsmagok bemenetként használják.
- New-AzScheduledQueryRuleAlertingAction: PowerShell-parancsmag a naplókeresési riasztás műveleti paramétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRule és a Set-AzScheduledQueryRule parancsmagok bemenetként használják.
- New-AzScheduledQueryRuleAznsActionGroup: PowerShell-parancsmag a naplókeresési riasztás műveleticsoport-paramétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRuleAlertingAction parancsmag bemeneteként használatos.
- New-AzScheduledQueryRuleTriggerCondition: PowerShell-parancsmag a naplókeresési riasztás eseményindító feltételparamétereit meghatározó objektum létrehozásához vagy frissítéséhez. A New-AzScheduledQueryRuleAlertingAction parancsmag bemeneteként használatos.
- New-AzScheduledQueryRuleLogMetricTrigger: PowerShell-parancsmag a metrika-eseményindító feltételparamétereit meghatározó objektum létrehozásához vagy frissítéséhez a metrikamérési napló keresési riasztásához. A New-AzScheduledQueryRuleTriggerCondition parancsmag bemenetként használja.
- Get-AzScheduledQueryRule: PowerShell-parancsmag a meglévő naplókeresési riasztási szabályok vagy egy adott naplókeresési riasztási szabály listázásához.
- Update-AzScheduledQueryRule: PowerShell-parancsmag naplókeresési riasztási szabály engedélyezéséhez vagy letiltásához.
- Remove-AzScheduledQueryRule: PowerShell-parancsmag egy meglévő naplókeresési riasztási szabály törléséhez.
Feljegyzés
A ScheduledQueryRules
PowerShell-parancsmagok csak az ütemezett lekérdezési szabályok API ezen verziójában létrehozott szabályokat kezelhetik. Az örökölt Log Analytics Alert API használatával létrehozott naplókeresési riasztási szabályok csak az ütemezett lekérdezési szabályok API-ra váltás után kezelhetők a PowerShell használatával.
Példalépések a naplókeresési riasztási szabály PowerShell-lel történő létrehozásához:
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"
Példalépések naplókeresési riasztási szabály létrehozásához a PowerShell erőforrás-alapú lekérdezésekkel való használatával:
$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"
A naplókeresési riasztást sablonnal és paraméterfájlokkal is létrehozhatja a PowerShell használatával:
Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
-TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json
Következő lépések
- Tudnivalók a naplókeresési riasztásokról.
- Naplókeresési riasztások létrehozása Azure Resource Manager-sablonok használatával.
- A naplókeresési riasztások webhookműveleteinek ismertetése.
- További információ a napló lekérdezéseiről.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: