Rövid útmutató: Riasztások létrehozása az Azure Resource Graph és a Log Analytics használatával
Cikk
Ebben a rövid útmutatóban megtudhatja, hogyan hozhat létre riasztásokat az Azure Resource Graph-lekérdezéseken az Azure Log Analytics használatával. Riasztásokat hozhat létre az Azure Resource Graph-lekérdezéssel, a Log Analytics-munkaterülettel és a felügyelt identitásokkal. A riasztás feltételei adott időközönként küldenek értesítéseket.
Lekérdezésekkel riasztásokat állíthat be az üzembe helyezett Azure-erőforrásokhoz. Lekérdezéseket azure Resource Graph-táblákkal hozhat létre, vagy kombinálhatja az Azure Resource Graph-táblákat és a Log Analytics-adatokat az Azure Monitor-naplókból.
A cikk példáiban hozzon létre erőforrásokat ugyanabban az erőforráscsoportban, és használja ugyanazt a régiót, például az USA 3. nyugati régióját. A cikkben szereplő példák lekérdezéseket futtatnak, és riasztásokat hoznak létre az Azure-erőforrásokhoz egyetlen Azure-bérlőben. Az Azure Data Explorer-fürtök nem tartoznak a cikk hatókörébe.
Ez a cikk két riasztási példát tartalmaz:
Azure Resource Graph: Az Azure Resource Graph-tábla Resources használatával létrehoz egy lekérdezést, amely adatokat kér le az üzembe helyezett Azure-erőforrásokhoz, és riasztást hoz létre.
Azure Resource Graph és Log Analytics: Az Azure Resource Graph-táblát Resources és a Log Analytics-adatokat használja az Azure Monitor Naplók Heartbeat táblából. Ez a példa egy virtuális géppel mutatja be, hogyan állíthatja be a lekérdezést és a riasztást.
Feljegyzés
Az Azure Resource Graph-riasztások log analyticsszel való integrációja nyilvános előzetes verzióban érhető el.
Előfeltételek
Ha még nem rendelkezik Azure-fiókkal, első lépésként hozzon létre egy ingyenes fiókot.
Az Azure-ban üzembe helyezett erőforrások, például virtuális gépek vagy tárfiókok.
Az Azure Resource Graph- és Log Analytics-lekérdezés példájának használatához legalább egy Azure-beli virtuális gépre van szüksége az Azure Monitor-ügynökkel.
Munkaterület létrehozása
Hozzon létre egy Log Analytics-munkaterületet a figyelt előfizetésben.
Az Azure Resource Graph-táblát használó példához nem kell virtuális gépet létrehoznia.
Feljegyzés
Ez a szakasz nem kötelező, ha rendelkezik meglévő virtuális gépekkel, vagy tudja, hogyan hozhat létre virtuális gépet. Ez a példa egy virtuális géppel mutatja be, hogyan hozhat létre lekérdezést egy Azure Resource Graph-tábla és a Log Analytics-adatok használatával.
A naplóadatok lekéréséhez, amikor a virtuális gépet a Log Analytics-munkaterülethez csatlakoztatja, az Azure Monitor-ügynök telepítve lesz a virtuális gépen. Ha nincs virtuális gépe, létrehozhat egyet ehhez a példához. A szükségtelen költségek elkerülése érdekében törölje a virtuális gépet, ha végzett a példával.
Az alábbi utasítások a Linux rendszerű virtuális gépek alapbeállításai. A virtuális gépek létrehozásának részletes lépései nem tartoznak a jelen cikk hatókörébe. Előfordulhat, hogy a szervezet különböző biztonsági vagy hálózati beállításokat igényel a virtuális gépekhez.
A virtuális gép létrehozásakor az alábbi kivételekkel fogadhatja el az alapértelmezett beállításokat:
Alapvető beállítások
Erőforráscsoport: demo-arg-alert-rg
virtuális gép neve: Adjon meg egy virtuális gépnevet, például demovm01.
Rendelkezésre állási lehetőségek: Nincs szükség infrastruktúra-redundanciára
Méret: Standard_B1s
Rendszergazdai fiók: Hitelesítő adatokat kell létrehoznia, de ebben a példában nem kell bejelentkeznie:
Hitelesítési típus: Nyilvános SSH-kulcs
Felhasználónév: Felhasználónév létrehozása
SSH nyilvános kulcs forrása: Új kulcspár létrehozása
Kulcspár neve: Alapértelmezett név elfogadása
Nyilvános bejövő portok: Nincs
Lemezek
Ellenőrizze, hogy a Törlés lehetőség ki van-e jelölve a virtuális géppel .
Hálózat
Nyilvános IP-cím: Nincs
A virtuális gép törlésekor válassza a Hálózati adapter törlése lehetőséget.
Felügyelet
Válassza az Automatikus leállítás engedélyezése lehetőséget.
Válasszon ki egy leállítási időt az időzónában.
Ha leállítási értesítést szeretne kapni, adja hozzá az e-mail-címét.
Figyelés, speciális és címkék
Ehhez a példához nincs szükség módosításokra.
Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.
A rendszer új kulcspár létrehozására kéri. Válassza a Titkos kulcs letöltése és erőforrás létrehozása lehetőséget. Ha végzett a virtuális géppel, törölje a titkos kulcsfájlt a számítógépről.
Válassza az Ugrás az erőforráshoz lehetőséget a virtuális gép üzembe helyezése után.
Feljegyzés
Ez a szakasz nem kötelező, ha tudja, hogyan csatlakoztathat virtuális gépet egy Log Analytics-munkaterülethez és az Azure Monitor-ügynökhöz.
Állítson be egy adatgyűjtési szabályt a virtuális gép figyeléséhez.
Az Azure keresőmezőbe írja be az adatgyűjtési szabályokat , és válassza ki az Adatgyűjtési szabályokat.
Válassza a Létrehozás lehetőséget:
Szabály neve: Adjon meg egy olyan nevet, mint a demo-data-collection-rule.
Előfizetés: Válassza ki az előfizetését.
Erőforráscsoport: Válassza a demo-arg-alert-rg lehetőséget.
Régió: USA 3. nyugati régiója.
Platform típusa: Válassza az Összes lehetőséget.
Válassza a Következő: Erőforrások:
Válassza az Erőforrások hozzáadása lehetőséget.
Előfizetés: Válassza ki az előfizetését.
Hatókör: Válassza ki az erőforráscsoportot és a virtuális gép nevét.
Válassza az Alkalmazás lehetőséget.
Válassza a Tovább elemet : Gyűjtse össze és kézbesítse:
Válassza a Tovább: Cél és cél hozzáadása lehetőséget:
Céltípus: Azure Monitor-naplók.
Előfizetés: Válassza ki az előfizetését.
Fiók vagy névtér: Válassza ki a Log Analytics-munkaterületet, a demo-arg-alert-munkaterületet.
Válassza az Adatforrás hozzáadása lehetőséget.
Válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget.
Ha az üzembe helyezés befejeződött, válassza az Ugrás az erőforrásra lehetőséget.
Ellenőrizze, hogy a monitorozás konfigurálva van-e a virtuális géphez:
Nyissa meg az adatgyűjtési szabályt, és tekintse át a konfigurációt:
Adatforrások: Megjeleníti az adatforrás teljesítményszámlálóit és az Azure Monitor-naplók célhelyét.
Erőforrások: Megjeleníti a virtuális gépet, az erőforráscsoportot és az előfizetést.
Nyissa meg a Log Analytics-munkaterület demo-arg-alert-munkaterületét. Válassza a Beállítások>ügynökök>Linux-kiszolgálóit, és a Linux-számítógép csatlakozik az Azure Monitor Linux-ügynökhöz. Eltarthat néhány percig, amíg az ügynök megjelenik.
Nyissa meg a virtuális gépet, és válassza a Beállítások>bővítmények + alkalmazások lehetőséget, és ellenőrizze, hogy a AzureMonitorLinuxAgentkiépítés sikeres volt-e.
A Log Analytics-munkaterületen hozzon létre egy Azure Resource Graph-lekérdezést az Azure-erőforrások számának lekéréséhez. Ez a példa az Azure Resource Graph Resources táblát használja.
A Log Analytics-munkaterület oldalának bal oldalán válassza a Naplók lehetőséget. Ha megjelenik, zárja be a Lekérdezések ablakot.
Használja a következő kódot az Új lekérdezésben:
arg("").Resources
| count
A Log Analytics táblázatneveinek nagybetűsnek kell lenniük az egyes szavak első betűjével, például Resources vagy ResourceContainers. Kisbetűs szerű resources vagy resourcecontainers.
Válassza a Futtatás lehetőséget.
Az eredmények az Azure-előfizetésben lévő erőforrások számát jelenítik meg. Jegyezze fel ezt a számot, mert szüksége van rá a riasztási szabály feltételéhez. A lekérdezés manuális futtatásakor a szám a felhasználói identitáson alapul, az aktivált riasztás pedig felügyelt identitást használ. Előfordulhat, hogy a szám manuális futtatási vagy aktivált riasztások között eltérő lehet.
Távolítsa el a számokat a lekérdezésből.
arg("").Resources
A Log Analytics-munkaterületen hozzon létre egy Azure Resource Graph-lekérdezést az utolsó szívverési adatok lekéréséhez a virtuális gépről. Ez a példa az Azure Resource Graph-táblát Resources és a Log Analytics-adatokat használja az Azure Monitor Naplók Heartbeat táblából.
Nyissa meg a demo-arg-alert-workspace Log Analytics-munkaterületet.
A Log Analytics-munkaterület oldalának bal oldalán válassza a Naplók lehetőséget. Ha megjelenik, zárja be a Lekérdezések ablakot.
Használja a következő kódot az Új lekérdezésben:
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
A Log Analytics táblázatneveinek nagybetűsnek kell lenniük az egyes szavak első betűjével, például Resources vagy ResourceContainers. Kisbetűs szerű resources vagy resourcecontainers.
Más időkereteket is használhat a TimeGenerated. Például a percek helyett, mint például 15m a használati órák, például 12ha , 24h48h.
Válassza a Futtatás lehetőséget.
A lekérdezésnek a virtuális gép utolsó szívverését, energiaállapotát, nevét és erőforrás-azonosítóját kell visszaadnia. Ha nem jelennek meg eredmények , folytassa a következő lépésekkel. Az új konfigurációk 30 percet is igénybe vehetnek, amíg a monitorozási adatok elérhetővé válnak a lekérdezéshez és a riasztásokhoz.
A Log Analytics-munkaterületen válassza az Új riasztási szabály lehetőséget. A Log Analytics-munkaterületről származó lekérdezést a rendszer a riasztási szabályba másolja. A riasztási szabály létrehozása több lapfület is tartalmazza, amelyeket frissíteni kell a riasztás létrehozásához.
Hatókör
Ellenőrizze, hogy a hatókör alapértelmezés szerint a demo-arg-alert-workspace nevű Log Analytics-munkaterületre tartozik-e.
Csak akkor végezze el a következő lépéseket, ha a hatókör nincs alapértelmezettként beállítva:
Lépjen a Hatókör lapra , és válassza a Hatókör kiválasztása lehetőséget.
A Kijelölt erőforrások képernyő alján távolítsa el az aktuális hatókört.
Válassza ki a hatókör kiválasztására vonatkozó lehetőséget.
Bontsa ki a demo-arg-alert-rg rg elemet az erőforrások listájából, és válassza a demo-arg-alert-workspace lehetőséget.
Válassza az Alkalmazás lehetőséget.
Válassza a Tovább: Feltétel lehetőséget.
Feltétel
Az űrlap több kitöltendő mezővel rendelkezik:
Jel neve: Egyéni naplókeresés
Keresési lekérdezés: Megjeleníti a lekérdezési kódot
Ha módosította a hatókört, a lekérdezést a Lekérdezés létrehozása szakaszból kell hozzáadnia.
Mérés
Mérték: Táblázatsorok
Összesítés típusa: Darabszám
Összesítés részletessége: 5 perc
Riasztási logika
Operátor: Nagyobb, mint
Küszöbérték: Olyan számot használjon, amely kisebb, mint az erőforrások számából visszaadott szám.
Ha például az erőforrásszám 50 volt, akkor használja a 45-öt. Ez az érték aktiválja a riasztást, amikor kiértékeli az erőforrásokat, mert az erőforrások száma meghaladja a küszöbértéket.
A kiértékelés gyakorisága: 5 perc
Válassza a Következő: Műveletek lehetőséget.
Műveletek
Válassza a Műveletcsoport létrehozása lehetőséget:
Előfizetés: Válassza ki az Azure-előfizetést.
Erőforráscsoport: demo-arg-alert-rg
Régió: A globális lehetővé teszi a műveletcsoportok szolgáltatás számára a hely kiválasztását.
Műveletcsoport neve: demo-arg-alert-action-group
Megjelenítendő név: demo-action (a korlát 12 karakter)
Válassza a Tovább elemet : Értesítések:
Értesítés típusa: Válassza az E-mail/SMS-üzenet/Leküldés/Hang lehetőséget.
Név: e-mail-riasztás
Jelölje be az E-mail jelölőnégyzetet, és írja be az e-mail-címét.
Kattintson az OK gombra.
Válassza a Véleményezés + létrehozás lehetőséget, ellenőrizze, hogy az összegzés helyes-e, majd válassza a Létrehozás lehetőséget. A rendszer visszalép a Riasztási szabály létrehozása lap Műveletek lapjára. A Műveletcsoport neve a létrehozott műveletcsoportot jeleníti meg. E-mailben értesítést kap arról, hogy felvette a műveletcsoportba.
Válassza a Tovább elemet : Részletek.
Részletek
Használja a következő információkat a Részletek lapon:
Előfizetés: Válassza ki az Azure-előfizetést.
Erőforráscsoport: demo-arg-alert-rg
Súlyosság: Fogadja el az alapértelmezett értéket 3 – Tájékoztató.
Riasztási szabály neve: demo-arg-alert-rule
Riasztási szabály leírása: E-mail-riasztás az Azure-erőforrások számához
Régió: USA 3. nyugati régiója
Identitás: Válassza ki a rendszer által hozzárendelt felügyelt identitást.
Válassza a Véleményezés + létrehozás lehetőséget, ellenőrizze, hogy az összegzés helyes-e, majd válassza a Létrehozás lehetőséget. A rendszer visszalép a Log Analytics-munkaterület Naplók lapjára.
Szerepkör hozzárendelése
Rendelje hozzá a Log Analytics-olvasót a rendszer által hozzárendelt felügyelt identitáshoz, hogy engedélyekkel rendelkezik az e-mail-értesítéseket küldő riasztásokhoz.
Válassza a Figyelési>riasztások lehetőséget a Log Analytics-munkaterületen. Válassza az OK gombot, ha a rendszer a nem mentett módosítások elvetésére kéri.
Válassza a Riasztási szabályok lehetőséget.
Válassza a demo-arg-alert-rule lehetőséget.
Válassza ki a hozzárendelt Beállítások>identitásrendszert:>
Állapot: Bekapcsolva
Objektumazonosító: A Vállalati alkalmazás (szolgáltatásnév) GUID azonosítója a Microsoft Entra ID-ban.
Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget:
Hatókör: Előfizetés
Előfizetés: Válassza ki az Azure-előfizetés nevét.
Szerepkör: Log Analytics-olvasó
Válassza a Mentés lehetőséget.
Néhány percig tart, amíg a Log Analytics-olvasó megjelenik az Azure-szerepkör-hozzárendelések lapon. A lap frissítéséhez válassza a Frissítés lehetőséget.
A böngésző vissza gombjával térjen vissza az identitáshoz, majd válassza az Áttekintés lehetőséget a riasztási szabályhoz való visszatéréshez. Válassza ki a demo-arg-alert-rg nevű erőforráscsoportra mutató hivatkozást.
Bár a cikk hatókörén kívül esik, egy Azure Data Explorer-fürt esetében adja hozzá az Olvasó szerepkört a rendszer által hozzárendelt felügyelt identitáshoz. További információkért a cikk végén válassza ki az Azure Data Explorer-fürtökhöz tartozó szerepkör-hozzárendelések hivatkozását.
A Log Analytics-munkaterületen válassza az Új riasztási szabály lehetőséget. A Log Analytics-munkaterületről származó lekérdezést a rendszer a riasztási szabályba másolja. A Riasztás létrehozása szabálynak több lapja is van, amelyeket frissíteni kell.
Hatókör
Ellenőrizze, hogy a hatókör alapértelmezés szerint a demo-arg-alert-workspace nevű Log Analytics-munkaterületre tartozik-e.
Csak akkor végezze el a következő lépéseket, ha a hatókör nincs alapértelmezettként beállítva:
Lépjen a Hatókör lapra , és válassza a Hatókör kiválasztása lehetőséget.
A Kijelölt erőforrások képernyő alján törölje az aktuális hatókört.
Bontsa ki a demo-arg-alert-rg rg elemet az erőforrások listájából, és válassza a demo-arg-alert-workspace lehetőséget.
Válassza az Alkalmazás lehetőséget.
Válassza a Tovább: Feltétel lehetőséget.
Feltétel
Az űrlap több kitöltendő mezővel rendelkezik:
Jel neve: Egyéni naplókeresés
Keresési lekérdezés: Megjeleníti a lekérdezési kódot
Ha módosította a hatókört, a lekérdezést a Lekérdezés létrehozása szakaszból kell hozzáadnia.
Mérés
Mérték: Táblázatsorok
Összesítés típusa: Darabszám
Összesítés részletessége: 5 perc
Riasztási logika
Operátor: Kisebb, mint
Küszöbérték: 2
A kiértékelés gyakorisága: 5 perc
Válassza a Következő: Műveletek lehetőséget.
Műveletek
Válassza a Műveletcsoport létrehozása lehetőséget:
Előfizetés: Válassza ki az Azure-előfizetést.
Erőforráscsoport: demo-arg-alert-rg
Régió: A globális lehetővé teszi a műveletcsoportok szolgáltatás számára a hely kiválasztását.
Műveletcsoport neve: demo-arg-la-alert-action-group
Megjelenítendő név: demo-argla (a korlát 12 karakter)
Jelölje be az E-mail jelölőnégyzetet, és írja be az e-mail-címét
Válassza az OK gombot
Válassza a Véleményezés + létrehozás lehetőséget, ellenőrizze, hogy az összegzés helyes-e, majd válassza a Létrehozás lehetőséget. A rendszer visszalép a Riasztási szabály létrehozása lap Műveletek lapjára. A Műveletcsoport neve a létrehozott műveletcsoportot jeleníti meg. E-mailben értesítést kap arról, hogy felvette a műveletcsoportba.
Válassza a Tovább elemet : Részletek.
Részletek
Használja a következő információkat a Részletek lapon:
Előfizetés: Válassza ki az Azure-előfizetést.
Erőforráscsoport: demo-arg-alert-rg
Súlyosság: Válassza a 2 lehetőséget – Figyelmeztetés.
Riasztási szabály neve: demo-arg-la-alert-rule
Riasztási szabály leírása: E-mail-riasztás az Azure-beli virtuális gép ARG-LA lekérdezéséhez
Régió: USA 3. nyugati régiója
Identitás: Rendszer által hozzárendelt felügyelt identitás kiválasztása
Válassza a Véleményezés + létrehozás lehetőséget, ellenőrizze, hogy az összegzés helyes-e, majd válassza a Létrehozás lehetőséget. A rendszer visszalép a Log Analytics-munkaterület Naplók lapjára.
Szerepkör hozzárendelése
Rendelje hozzá a Log Analytics-olvasót a rendszer által hozzárendelt felügyelt identitáshoz, hogy engedélyekkel rendelkezik az e-mail-értesítéseket küldő riasztásokhoz.
Válassza a Figyelési>riasztások lehetőséget a Log Analytics-munkaterületen. Válassza az OK gombot, ha a rendszer a nem mentett módosítások elvetésére kéri.
Válassza a Riasztási szabályok lehetőséget.
Válassza a demo-arg-la-alert-rule lehetőséget.
Válassza ki a hozzárendelt Beállítások>identitásrendszert:>
Állapot: Bekapcsolva
Objektumazonosító: A Vállalati alkalmazás (szolgáltatásnév) GUID azonosítója a Microsoft Entra ID-ban.
Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget:
Hatókör: Előfizetés
Előfizetés: Válassza ki az Azure-előfizetés nevét
Szerepkör: Log Analytics-olvasó
Válassza a Mentés lehetőséget.
Néhány percig tart, amíg a Log Analytics-olvasó megjelenik az Azure-szerepkör-hozzárendelések lapon. A lap frissítéséhez válassza a Frissítés lehetőséget.
A böngésző vissza gombjával térjen vissza az identitáshoz, és válassza az Áttekintés lehetőséget a riasztási szabályhoz való visszatéréshez. Válassza ki a demo-arg-alert-rg nevű erőforráscsoportra mutató hivatkozást.
Bár a cikk hatókörén kívül esik, egy Azure Data Explorer-fürt esetében adja hozzá az Olvasó szerepkört a rendszer által hozzárendelt felügyelt identitáshoz. További információkért a cikk végén válassza ki az Azure Data Explorer-fürtökhöz tartozó szerepkör-hozzárendelések hivatkozását.
Miután hozzárendelte a szerepkört a riasztási szabályhoz, e-mailt kap a riasztási üzenetekről. A szabály úgy lett létrehozva, hogy öt percenként küldjön riasztásokat, és néhány percig tart az első riasztás lekérése.
A riasztásokat az Azure Portalon is megtekintheti:
Nyissa meg a demo-arg-alert-rg erőforráscsoportot.
Válassza a demo-arg-alert-workspace lehetőséget az erőforrások listájában.
Válassza a Figyelési>riasztások lehetőséget.
Megjelenik a riasztások listája.
Miután hozzárendelte a szerepkört a riasztási szabályhoz, e-mailt kap a riasztási üzenetekről. A szabály úgy lett létrehozva, hogy öt percenként küldjön riasztásokat, és néhány percig tart az első riasztás lekérése.
A riasztásokat az Azure Portalon is megtekintheti:
Nyissa meg a demo-arg-alert-rg erőforráscsoportot.
Válassza ki a virtuális gépet.
Válassza a Figyelési>riasztások lehetőséget.
Megjelenik a riasztások listája.
Új konfiguráció esetén a naplóadatok elérhetővé válása és riasztások létrehozása akár 30 percet is igénybe vehet. Ez idő alatt előfordulhat, hogy a virtuális gép riasztási szabálya riasztásokat jelenít meg a munkaterület figyelési riasztásaiban. Amikor a virtuális gép naplóadatai elérhetővé válnak, a riasztások megjelennek a virtuális gép figyelési riasztásaiban.
Az erőforrások eltávolítása
Ha meg szeretné tartani a riasztás konfigurációját, de meg szeretné akadályozni a riasztás küldését és az e-mail-értesítések küldését, letilthatja. Nyissa meg a riasztási szabály demo-arg-alert-rule vagy demo-arg-la-alert-rule elemét, és válassza a Letiltás lehetőséget.
Ha nincs szüksége erre a riasztásra vagy a példában létrehozott erőforrásokra, törölje az erőforráscsoportot a következő lépésekkel:
Nyissa meg az erőforráscsoport demo-arg-alert-rg elemét.
Válassza az Erőforráscsoport törlése elemet.
Írja be az erőforráscsoport nevét a megerősítéshez.
Válassza a Törlés lehetőséget.
Ha létrehozott egy virtuális gépet, törölje a számítógépre az üzembe helyezés során letöltött titkos kulcsot. A fájlnév kiterjesztéssel .pem rendelkezik.
Kapcsolódó tartalom
A lekérdezés nyelvével vagy az erőforrások feltárásával kapcsolatos további információkért tekintse meg az alábbi cikkeket.