Membuat atau mengedit aturan pemberitahuan pencarian log

Artikel ini memperlihatkan kepada Anda cara membuat aturan pemberitahuan pencarian log baru atau mengedit aturan pemberitahuan pencarian log yang sudah ada di Azure Monitor. Untuk mempelajari selengkapnya tentang pemberitahuan, lihat gambaran umum pemberitahuan.

Aturan pemberitahuan menggabungkan sumber daya yang akan dipantau, data pemantauan dari sumber daya, dan kondisi yang ingin Anda picu pemberitahuannya. Anda kemudian dapat menentukan grup tindakan dan aturan pemrosesan pemberitahuan untuk menentukan apa yang terjadi saat pemberitahuan dipicu.

Pemberitahuan yang dipicu oleh aturan pemberitahuan ini berisi payload yang menggunakan skema pemberitahuan umum.

Prasyarat

Untuk membuat atau mengedit aturan pemberitahuan, Anda harus memiliki izin berikut:

• Izin baca pada sumber daya target aturan pemberitahuan.
• Izin tulis pada grup sumber daya tempat aturan pemberitahuan dibuat. Jika Anda membuat aturan pemberitahuan dari portal Microsoft Azure, aturan pemberitahuan dibuat secara default dalam grup sumber daya yang sama tempat sumber daya target berada.
• Izin baca pada grup tindakan apa pun yang terkait dengan aturan pemberitahuan jika berlaku.

Mengakses wizard aturan pemberitahuan di portal Azure

Ada beberapa cara untuk membuat atau mengedit aturan pemberitahuan.

Membuat atau mengedit aturan pemberitahuan dari halaman beranda portal

1. Di Portal Microsoft Azure, pilih Monitor.
2. Di panel kiri, pilih Pemberitahuan.
3. Pilih + Buat>aturan Pemberitahuan.

Membuat atau mengedit aturan pemberitahuan dari sumber daya tertentu

1. Di portal Azure, buka sumber daya.
2. Di panel kiri, pilih Pemberitahuan.
3. Pilih + Buat>aturan Pemberitahuan.
4. Cakupan aturan pemberitahuan diatur ke sumber daya yang Anda pilih. Lanjutkan dengan mengatur kondisi untuk aturan pemberitahuan.

Mengedit aturan pemberitahuan yang sudah ada

1. Di portal Azure, baik dari halaman beranda atau dari sumber daya tertentu, pilih Pemberitahuan di panel kiri.

2. Pilih Aturan Pemberitahuan.

3. Pilih aturan pemberitahuan yang ingin Anda edit, lalu pilih Edit.

   

4. Pilih salah satu tab untuk aturan pemberitahuan untuk mengedit pengaturan.

Mengonfigurasi cakupan aturan pemberitahuan

1. Pada panel Pilih sumber daya , atur cakupan untuk aturan pemberitahuan Anda. Anda dapat memfilter berdasarkan langganan, jenis sumber daya, atau lokasi sumber daya.

   

2. Pilih Terapkan.

Mengonfigurasi kondisi aturan pemberitahuan

1. Pada tab Kondisi , saat Anda memilih bidang Nama sinyal, pilih Pencarian log kustom. Atau pilih Lihat semua sinyal jika Anda ingin memilih sinyal yang berbeda untuk kondisi tersebut.

2. (Opsional) Jika Anda memilih Lihat semua sinyal di langkah sebelumnya, gunakan panel Pilih sinyal untuk mencari nama sinyal atau memfilter daftar sinyal. Filter menurut:

   • Jenis sinyal: Pilih Pencarian log.
   • Sumber sinyal: Layanan yang mengirim sinyal Pencarian log kustom dan Log (kueri tersimpan). Pilih nama sinyal, lalu pilih Terapkan.

3. Pada panel Log , tulis kueri yang mengembalikan peristiwa log yang ingin Anda buat pemberitahuannya. Untuk menggunakan salah satu kueri aturan pemberitahuan yang telah ditentukan sebelumnya, perluas panel Skema dan filter di samping panel Log . Lalu pilih tab Kueri , dan pilih salah satu kueri.

   Ketahui batasan ini untuk kueri aturan pemberitahuan pencarian log:

   • Kueri aturan pemberitahuan pencarian log tidak mendukung bag_unpack(), , pivot()dan narrow().
   • Kueri aturan pemberitahuan pencarian log mendukung ago() dengan rentang waktu literal saja.
   • AggregatedValue adalah kata yang dipesan. Anda tidak dapat menggunakannya dalam kueri pada aturan pemberitahuan pencarian log.
   • Ukuran gabungan semua data dalam properti aturan pemberitahuan pencarian log tidak boleh melebihi 64 KB.
   • Saat menentukan fungsi kustom dalam kueri KQL untuk pemberitahuan pencarian log, penting untuk berhati-hati dengan kode fungsi yang menyertakan klausa waktu relatif (misalnya, sekarang()). Fungsi kustom dengan klausul waktu relatif yang tidak ditentukan dalam kueri KQL pemberitahuan pencarian log itu sendiri dapat memperkenalkan inkonsistensi dalam hasil kueri, berpotensi memengaruhi akurasi dan keandalan evaluasi pemberitahuan. Jadi:
     • Untuk memastikan pemberitahuan yang akurat dan tepat waktu, selalu tentukan klausa waktu relatif langsung dalam kueri KQL pemberitahuan pencarian log.
     • Jika rentang waktu diperlukan di dalam fungsi, rentang waktu harus diteruskan sebagai parameter dan digunakan dalam fungsi .

   

4. (Opsional) Jika Anda mengkueri kluster Azure Data Explorer atau Azure Resource Graph, ruang kerja Analitik Log tidak dapat mengidentifikasi kolom secara otomatis dengan stempel waktu peristiwa. Kami menyarankan agar Anda menambahkan filter rentang waktu ke kueri. Contohnya:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Kueri pemberitahuan pencarian log sampel tersedia untuk Azure Data Explorer dan Resource Graph.

   Kueri lintas layanan tidak didukung di cloud pemerintah. Untuk informasi selengkapnya tentang batasan, lihat Batasan kueri lintas layanan dan Menggabungkan tabel Azure Resource Graph dengan ruang kerja Analitik Log.

5. Pilih Jalankan untuk menjalankan peringatan.

6. Bagian Pratinjau memperlihatkan hasil kueri kepada Anda. Saat Anda selesai mengedit kueri, pilih Lanjutkan Mengedit Pemberitahuan.

7. Tab Kondisi terbuka dan diisi dengan kueri log Anda. Secara default, aturan menghitung jumlah hasil dalam lima menit terakhir. Jika sistem mendeteksi hasil kueri yang dirangkum, aturan diperbarui secara otomatis dengan informasi tersebut.

8. Pada bagian Pengukuran, pilih nilai untuk bidang-bidang berikut:

   Bidang	Deskripsi
   Ukuran	Pemberitahuan pencarian log dapat mengukur dua hal yang dapat Anda gunakan untuk berbagai skenario pemantauan: Baris tabel: Anda dapat menggunakan jumlah baris yang dikembalikan untuk bekerja dengan peristiwa seperti log peristiwa Windows, Syslog, dan pengecualian aplikasi. Perhitungan kolom numerik: Anda dapat menggunakan perhitungan berdasarkan kolom numerik apa pun untuk menyertakan sejumlah sumber daya. Contohnya adalah persentase CPU.
   Jenis agregasi	Perhitungan yang dilakukan pada beberapa rekaman untuk mengagregasinya ke satu nilai numerik dengan menggunakan granularitas agregasi. Contohnya adalah Total, Rata-Rata, Minimum, dan Maksimum.
   Granularitas agregasi	Interval untuk menggabungkan beberapa rekaman ke satu nilai numerik.

   

9. (Opsional) Di bagian Pisahkan menurut dimensi, Anda dapat menggunakan dimensi untuk membantu memberikan konteks untuk pemberitahuan yang dipicu.

   Dimensi adalah kolom dari hasil kueri Anda yang berisi data tambahan. Saat Anda menggunakan dimensi, aturan pemberitahuan mengelompokkan hasil kueri berdasarkan nilai dimensi dan mengevaluasi hasil setiap grup secara terpisah. Jika kondisi terpenuhi, aturan akan mengaktifkan pemberitahuan untuk grup tersebut. Payload peringatan mencakup kombinasi yang memicu peringatan.

   Anda dapat menerapkan hingga enam dimensi per aturan pemberitahuan. Dimensi hanya dapat berupa string atau kolom numerik. Jika Anda ingin menggunakan kolom yang bukan tipe angka atau string sebagai dimensi, Anda harus mengonversinya menjadi string atau nilai numerik dalam kueri Anda. Jika Anda memilih lebih dari satu nilai dimensi, setiap deret waktu yang dihasilkan dari kombinasi akan memicu pemberitahuannya sendiri dan akan diisi secara terpisah.

   Contohnya:

   • Anda dapat menggunakan dimensi untuk memantau penggunaan CPU pada beberapa instans yang menjalankan situs web atau aplikasi Anda. Setiap instans dipantau satu per satu, dan pemberitahuan dikirim untuk setiap instans di mana penggunaan CPU melebihi nilai yang dikonfigurasi.
   • Anda dapat memutuskan untuk tidak memisahkan berdasarkan dimensi saat Anda ingin kondisi diterapkan ke beberapa sumber daya dalam cakupan. Misalnya, Anda tidak akan menggunakan dimensi jika Anda ingin mengaktifkan pemberitahuan jika setidaknya lima komputer dalam cakupan grup sumber daya memiliki penggunaan CPU di atas nilai yang dikonfigurasi.

   Secara umum, jika cakupan aturan pemberitahuan Anda adalah ruang kerja, pemberitahuan akan diaktifkan di ruang kerja. Jika Anda menginginkan pemberitahuan terpisah untuk setiap sumber daya Azure yang terpengaruh, Anda dapat:

   • Gunakan kolom ID Sumber Daya Azure Resource Manager Azure sebagai dimensi. Saat Anda menggunakan opsi ini, pemberitahuan diaktifkan di ruang kerja dengan kolom ID Sumber Daya Azure sebagai dimensi.

   • Tentukan pemberitahuan sebagai dimensi di properti ID Sumber Daya Azure. Opsi ini membuat sumber daya yang dikembalikan kueri Anda menjadi target pemberitahuan. Pemberitahuan kemudian diaktifkan pada sumber daya yang dikembalikan kueri Anda, seperti komputer virtual atau akun penyimpanan, dibandingkan dengan ruang kerja.

     Saat Anda menggunakan opsi ini, jika ruang kerja mendapatkan data dari sumber daya di lebih dari satu langganan, pemberitahuan dapat dipicu pada sumber daya dari langganan yang berbeda dari langganan aturan pemberitahuan.

   Pilih nilai untuk bidang-bidang berikut:

   Bidang	Deskripsi
   Nama dimensi	Dimensi dapat berupa kolom angka atau string. Dimensi digunakan untuk memantau deret waktu tertentu dan memberikan konteks pada pemberitahuan yang diaktifkan.
   Operator	Operator yang digunakan pada nama dan nilai dimensi.
   Nilai dimensi	Nilai dimensi yang ditampilkan didasarkan pada data dari 48 jam terakhir. Pilih Tambahkan nilai kustom untuk menambahkan nilai dimensi kustom.
   Sertakan semua nilai di masa mendatang	Pilih bidang ini untuk menyertakan nilai di masa mendatang yang ditambahkan ke dimensi yang dipilih.

   

10. Pada bagian Logika Pemberitahuan, pilih nilai untuk bidang-bidang berikut:

    Bidang	Deskripsi
    Operator	Hasil kueri diubah menjadi angka. Di bidang ini, pilih operator yang akan digunakan untuk membandingkan angka dengan ambang batas.
    Nilai ambang batas	Nilai angka untuk ambang batas.
    Frekuensi evaluasi	Seberapa sering kueri dijalankan. Anda dapat mengaturnya di mana saja dari satu menit hingga satu hari (24 jam).

    

    Catatan

    Frekuensi bukan waktu tertentu yang dijalankan pemberitahuan setiap hari. Ini adalah seberapa sering aturan pemberitahuan berjalan.

    Ada beberapa batasan untuk menggunakan frekuensi aturan pemberitahuan satu menit. Saat Anda mengatur frekuensi aturan pemberitahuan menjadi satu menit, manipulasi internal dilakukan untuk mengoptimalkan kueri. Manipulasi ini dapat menyebabkan kueri gagal jika berisi operasi yang tidak didukung. Alasan paling umum mengapa kueri tidak didukung adalah:

    • Kueri berisi searchoperasi , , unionatau take (batas).
    • Kueri berisi ingestion_time() fungsi .
    • Kueri menggunakan adx pola .
    • Kueri memanggil fungsi yang memanggil tabel lain.

    Kueri pemberitahuan pencarian log sampel tersedia untuk Azure Data Explorer dan Resource Graph.

11. (Opsional) Di bagian Opsi tingkat lanjut, Anda dapat menentukan jumlah kegagalan dan periode evaluasi pemberitahuan yang diperlukan untuk memicu pemberitahuan. Misalnya, jika Anda mengatur granularitas Agregasi menjadi 5 menit, Anda dapat menentukan bahwa Anda ingin memicu pemberitahuan hanya jika tiga kegagalan (15 menit) terjadi dalam satu jam terakhir. Kebijakan bisnis aplikasi Anda menentukan pengaturan ini.

    Pilih nilai untuk bidang ini di bawah Jumlah pelanggaran untuk memicu pemberitahuan:

    Bidang	Deskripsi
    Jumlah pelanggaran	Jumlah pelanggaran untuk memicu peringatan.
    Periode evaluasi	Periode waktu di mana jumlah pelanggaran terjadi.
    Mengesampingkan rentang waktu kueri	Jika Anda ingin periode evaluasi pemberitahuan berbeda dari rentang waktu kueri, masukkan rentang waktu di sini. Rentang waktu peringatan terbatas hingga maksimal dua hari. Bahkan jika kueri berisi ago perintah dengan rentang waktu lebih dari dua hari, rentang waktu maksimum dua hari diterapkan. Misalnya, meskipun teks kueri berisi ago(7d), kueri hanya memindai hingga dua hari data. Jika kueri memerlukan lebih banyak data daripada evaluasi pemberitahuan, Anda bisa mengubah rentang waktu secara manual. Jika kueri berisi ago perintah, kueri akan berubah secara otomatis menjadi dua hari (48 jam).

    

    Catatan

    Jika Anda atau administrator Anda menetapkan Azure Policy Azure Log Search Alerts melalui ruang kerja Analitik Log harus menggunakan kunci yang dikelola pelanggan, Anda harus memilih Periksa penyimpanan tertaut ruang kerja. Jika tidak, pembuatan aturan akan gagal karena tidak akan memenuhi persyaratan kebijakan.

12. Bagan Pratinjau memperlihatkan hasil evaluasi kueri dari waktu ke waktu. Anda dapat mengubah periode bagan atau memilih rangkaian waktu berbeda yang dihasilkan dari pemisahan pemberitahuan unik berdasarkan dimensi.

    

13. Pilih Selesai. Setelah mengonfigurasi kondisi aturan pemberitahuan, Anda dapat mengonfigurasi detail aturan pemberitahuan untuk menyelesaikan pembuatan pemberitahuan, atau secara opsional, Anda juga dapat menambahkan tindakan dan tag ke aturan pemberitahuan.

Mengonfigurasi tindakan aturan pemberitahuan

Pada tab Tindakan , Anda dapat memilih atau membuat grup tindakan secara opsional untuk aturan pemberitahuan Anda.

Mengonfigurasi detail aturan pemberitahuan

1. Pada tab Detail , di bawah Detail proyek, pilih nilai Langganan dan Grup sumber daya.

2. Di bawah Detail aturan pemberitahuan:

   1. Pilih nilai Tingkat Keparahan .

   2. Masukkan nilai untuk Nama aturan pemberitahuan dan Deskripsi aturan pemberitahuan.

      Catatan

      Aturan yang menggunakan identitas tidak boleh memiliki titik koma (karakter ;) dalam nilai Nama aturan pemberitahuan.

   3. Pilih nilai Wilayah.

3. Di bagian Identitas , pilih identitas mana yang digunakan aturan pemberitahuan pencarian log untuk autentikasi saat mengirim kueri log.

   Ingatlah poin-poin ini saat Anda memilih identitas:

   • Identitas terkelola diperlukan jika Anda mengirim kueri ke Azure Data Explorer atau Resource Graph.
   • Gunakan identitas terkelola jika Anda ingin dapat menampilkan atau mengedit izin yang terkait dengan aturan pemberitahuan.
   • Jika Anda tidak menggunakan identitas terkelola, izin aturan pemberitahuan didasarkan pada izin pengguna terakhir untuk mengedit aturan, pada saat aturan terakhir diedit.
   • Gunakan identitas terkelola untuk membantu Anda menghindari kasus di mana aturan tidak berfungsi seperti yang diharapkan karena pengguna yang terakhir mengedit aturan tidak memiliki izin untuk semua sumber daya yang ditambahkan ke cakupan aturan.

   Identitas yang terkait dengan aturan harus memiliki peran ini:

   • Jika kueri mengakses ruang kerja Analitik Log, identitas harus diberi peran pembaca untuk semua ruang kerja yang diakses kueri. Jika Anda membuat pemberitahuan pencarian log yang ber sentris sumber daya, aturan pemberitahuan mungkin mengakses beberapa ruang kerja, dan identitas harus memiliki peran pembaca pada semuanya.
   • Jika Anda mengkueri kluster Azure Data Explorer atau Resource Graph, Anda harus menambahkan peran pembaca untuk semua sumber data yang diakses kueri. Misalnya, jika kueri bersifat sentris sumber daya, kueri memerlukan peran pembaca pada sumber daya tersebut.
   • Jika kueri mengakses kluster Azure Data Explorer jarak jauh, identitas harus ditetapkan:
     • Peran pembaca untuk semua sumber data yang diakses kueri. Misalnya, jika kueri memanggil kluster Azure Data Explorer jarak jauh dengan menggunakan fungsi , kueri memerlukan peran pembaca pada kluster Azure Data Explorer tersebut adx() .
     • Peran penampil database untuk semua database yang diakses kueri.

   Untuk informasi terperinci tentang identitas terkelola, lihat Identitas terkelola untuk sumber daya Azure.

   Pilih salah satu opsi berikut untuk identitas yang digunakan aturan pemberitahuan:

   Opsi identitas	Deskripsi
   Tidak	Izin aturan pemberitahuan didasarkan pada izin pengguna terakhir yang mengedit aturan, pada saat aturan diedit.
   Aktifkan identitas terkelola yang ditetapkan sistem	Azure membuat identitas khusus baru untuk aturan pemberitahuan ini. Identitas ini tidak memiliki izin dan dihapus secara otomatis saat aturan dihapus. Setelah membuat aturan, Anda harus menetapkan izin ke identitas ini untuk mengakses ruang kerja dan sumber data yang diperlukan untuk kueri. Untuk informasi selengkapnya tentang menetapkan izin, lihat Menetapkan peran Azure menggunakan portal Azure. Aturan pemberitahuan pencarian log yang menggunakan penyimpanan tertaut tidak didukung.
   Mengaktifkan identitas terkelola yang ditetapkan pengguna	Sebelum membuat aturan pemberitahuan, Anda membuat identitas dan menetapkan izin yang sesuai untuk kueri log. Ini adalah identitas Azure biasa. Anda dapat menggunakan satu identitas dalam beberapa aturan pemberitahuan. Identitas tidak dihapus saat aturan dihapus. Saat Anda memilih jenis identitas ini, panel terbuka bagi Anda untuk memilih identitas terkait untuk aturan tersebut.

   

4. (Opsional) Di bagian Opsi tingkat lanjut, Anda dapat mengatur beberapa opsi:

   Bidang	Deskripsi
   Aktifkan saat pembuatan	Pilih opsi ini untuk membuat aturan pemberitahuan mulai berjalan segera setelah Anda selesai membuatnya.
   Mengatasi pemberitahuan secara otomatis	Pilih opsi ini untuk membuat pemberitahuan bersifat stateful. Saat pemberitahuan bersifat stateful, pemberitahuan diselesaikan ketika kondisi tidak lagi terpenuhi untuk rentang waktu tertentu. Rentang waktu berbeda-beda berdasarkan frekuensi dari peringatan: 1 menit: Kondisi peringatan tidak terpenuhi selama 10 menit. 5 hingga 15 menit: Kondisi pemberitahuan tidak terpenuhi selama tiga periode frekuensi. 15 menit hingga 11 jam: Kondisi pemberitahuan tidak terpenuhi selama dua periode frekuensi. 11 hingga 12 jam: Kondisi peringatan tidak terpenuhi untuk satu periode frekuensi. Perhatikan bahwa pemberitahuan pencarian log stateful memiliki batasan ini.
   Membisukan tindakan	Pilih opsi ini untuk mengatur jangka waktu tunggu sebelum tindakan pemberitahuan dipicu lagi. Di bidang Matikan Suara untuk bidang yang muncul, pilih jumlah waktu untuk menunggu setelah pemberitahuan diaktifkan sebelum memicu tindakan lagi.
   Periksa penyimpanan tertaut ruang kerja	Pilih opsi ini jika penyimpanan tertaut ruang kerja untuk pemberitahuan dikonfigurasi. Jika tidak ada penyimpanan tertaut yang dikonfigurasi, aturan tidak dibuat.

5. (Opsional) Di bagian Properti kustom, jika aturan pemberitahuan ini berisi grup tindakan, Anda dapat menambahkan properti Anda sendiri untuk disertakan dalam payload pemberitahuan pemberitahuan. Anda dapat menggunakan properti ini dalam tindakan yang dipanggil grup tindakan, seperti oleh tindakan webhook, fungsi Azure, atau aplikasi logika.

   Properti kustom ditentukan sebagai pasangan kunci/nilai dengan menggunakan teks statis, nilai dinamis yang diekstrak dari payload pemberitahuan, atau kombinasi keduanya.

   Format untuk mengekstrak nilai dinamis dari payload pemberitahuan adalah: ${<path to schema field>}. Misalnya: ${data.essentials.monitorCondition}.

   Gunakan format skema pemberitahuan umum untuk menentukan bidang dalam payload, apakah grup tindakan yang dikonfigurasi untuk aturan pemberitahuan menggunakan skema umum atau tidak.

   Catatan

   • Properti kustom ditambahkan ke payload pemberitahuan, tetapi tidak muncul di templat email atau di detail pemberitahuan di portal Azure.

   

   Contoh berikut menggunakan nilai di Properti kustom untuk menggunakan data dari payload yang menggunakan skema pemberitahuan umum.

   Contoh ini membuat tag Detail Tambahan dengan data mengenai waktu mulai jendela dan waktu akhir jendela:

   • Nama: Additional Details
   • Nilai: Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
   • Hasil: AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z

   Contoh ini menambahkan data mengenai alasan untuk menyelesaikan atau menembakkan pemberitahuan:

   • Nama: Alert ${data.essentials.monitorCondition} reason
   • Nilai: ${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
   • Hasil potensial:
     • Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
     • Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585

Mengonfigurasi tag aturan pemberitahuan

Pada tab Tag , Anda dapat secara opsional mengatur tag yang diperlukan pada sumber daya aturan pemberitahuan.

Meninjau dan membuat aturan pemberitahuan

1. Pada tab Tinjau + buat , aturan divalidasi. Jika ada masalah, kembali dan perbaiki.

2. Saat validasi lolos dan Anda telah meninjau pengaturan, pilih tombol Buat.

   

Konten terkait

• Mendapatkan sampel kueri pemberitahuan pencarian log
• Melihat dan mengelola instans pemberitahuan Anda