Creare o modificare una regola di avviso di ricerca log

  • Articolo

Questo articolo illustra come creare una nuova regola di avviso di ricerca log o modificare una regola di avviso di ricerca log esistente. Per altre informazioni sugli avvisi, vedere la panoramica degli avvisi.

Creare una regola di avviso combinando le risorse da monitorare, i dati di monitoraggio dalla risorsa e le condizioni che si desidera attivare l'avviso. È quindi possibile definire gruppi di azioni e regole di elaborazione degli avvisi per determinare cosa accade quando viene attivato un avviso.

Gli avvisi attivati da queste regole di avviso contengono un payload che usa lo schema di avviso comune.

Accesso alla procedura guidata della regola di avviso nel portale di Azure

Esistono diversi modi per creare o modificare una nuova regola di avviso.

Creare o modificare una regola di avviso dalla home page del portale

  1. Nel portale selezionare Monitoraggio>avvisi.

  2. Aprire il menu + Crea e selezionare Regola di avviso.

    Screenshot che mostra i passaggi per creare una nuova regola di avviso.

Creare o modificare una regola di avviso da una risorsa specifica

  1. Nel portale passare alla risorsa.

  2. Selezionare Avvisi nel riquadro sinistro e quindi selezionare + Crea>regola di avviso.

    Screenshot che mostra i passaggi per creare una nuova regola di avviso da una risorsa selezionata.

Modificare una regola di avviso esistente

  1. Nel portale, dalla home page o da una risorsa specifica, selezionare Avvisi nel riquadro sinistro.

  2. Selezionare Regole di avviso.

  3. Selezionare la regola di avviso da modificare e quindi selezionare Modifica.

    Screenshot che mostra i passaggi per modificare una regola di avviso di ricerca log esistente.

  4. Selezionare una delle schede per la regola di avviso per modificare le impostazioni.

Configurare l'ambito della regola di avviso

  1. Nel riquadro Seleziona una risorsa impostare l'ambito per la regola di avviso. È possibile filtrare in base alla sottoscrizione, al tipo di risorsa o alla posizione della risorsa.

  2. Selezionare Applica.

    Screenshot che mostra il riquadro delle risorse di selezione per la creazione di una nuova regola di avviso.

Configurare le condizioni della regola di avviso

  1. Nella scheda Condizione , quando si seleziona il campo Nome segnale, selezionare Ricerca log personalizzata oppure selezionare Visualizza tutti i segnali se si desidera scegliere un segnale diverso per la condizione.

  2. (Facoltativo) Se si sceglie Di visualizzare tutti i segnali nel passaggio precedente, usare il riquadro Selezionare un segnale per cercare il nome del segnale o filtrare l'elenco dei segnali. Filter by:

    • Tipo di segnale: selezionare Ricerca log.
    • Origine segnale: il servizio che invia i segnali "Ricerca log personalizzata" e "Log (query salvata)". Selezionare il nome del segnale e Applica.

  3. Nel riquadro Log scrivere una query che restituisce gli eventi di log per i quali si vuole creare un avviso. Per usare una delle query predefinite sulle regole di avviso, espandere il riquadro Schema e filtro a sinistra del riquadro Log . Selezionare quindi la scheda Query e selezionare una delle query.

Limitazioni per le query delle regole di avviso di ricerca log:

  • Le query delle regole di avviso di ricerca log non supportano i plug-in "bag_unpack()", "pivot()" e "narrow()".

  • La parola "AggregatedValue" è una parola riservata, non può essere usata nella query sulle regole degli avvisi di ricerca log.

  • Le dimensioni combinate di tutti i dati nelle proprietà della regola di avviso del log non possono superare i 64 KB.

    Screenshot che mostra il riquadro Query durante la creazione di una nuova regola di avviso di ricerca log.

  1. (Facoltativo) Se si esegue una query su un cluster ADX o ARG, Log Analytics non è in grado di identificare automaticamente la colonna con il timestamp dell'evento. È consigliabile aggiungere un filtro intervallo di tempo alla query. Ad esempio:

        adx('https://help.kusto.windows.net/Samples').table    
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Screenshot che mostra la scheda Condizione durante la creazione di una nuova regola di avviso di ricerca log.

    Per query di avviso di ricerca log di esempio che eseguono query su ARG o ADX, vedere Esempi di query di avviso di ricerca log.

    Di seguito sono riportate le limitazioni per l'uso di query incrociate:

  2. Selezionare Esegui per eseguire l'avviso.

  3. La sezione Anteprima mostra i risultati della query. Al termine della modifica della query, selezionare Continua modifica avviso.

  4. Viene visualizzata la scheda Condizione popolata con la query di log. Per impostazione predefinita, la regola conta il numero di risultati negli ultimi cinque minuti. Se il sistema rileva risultati di query riepilogati, la regola viene aggiornata automaticamente con tali informazioni.

  5. Nella sezione Misurazione selezionare i valori per questi campi:

    Screenshot che mostra la scheda Misurazione durante la creazione di una nuova regola di avviso di ricerca log.

    Campo Descrizione
    Misurare Gli avvisi di ricerca log possono misurare due aspetti diversi, che possono essere usati per diversi scenari di monitoraggio:
    Righe di tabella: il numero di righe restituite può essere usato per lavorare con eventi quali registri eventi di Windows, Syslog ed eccezioni dell'applicazione.
    Calcolo di una colonna numerica: i calcoli basati su qualsiasi colonna numerica possono essere usati per includere un numero qualsiasi di risorse. Un esempio è la percentuale di CPU.
    Tipo di aggregazione Il calcolo eseguito su più record per aggregarli a un valore numerico usando la granularità dell'aggregazione. Gli esempi sono Total, Average, Minimum o Maximum.
    Granularità aggregazione Intervallo per l'aggregazione di più record a un valore numerico.

  6. (Facoltativo) Nella sezione Divisione per dimensioni è possibile usare le dimensioni per fornire il contesto per l'avviso attivato.

    Screenshot che mostra la sezione suddivisione per dimensioni di una nuova regola di avviso di ricerca log.

    Le dimensioni sono colonne dei risultati della query che contengono dati aggiuntivi. Quando si usano dimensioni, la regola di avviso raggruppa i risultati della query in base ai valori della dimensione e valuta i risultati di ogni gruppo separatamente. Se la condizione viene soddisfatta, la regola genera un avviso per tale gruppo. Il payload dell'avviso include la combinazione che ha attivato l'avviso.

    È possibile applicare fino a sei dimensioni per ogni regola di avviso. Le dimensioni possono essere solo colonne di tipo stringa o numerico. Se si desidera utilizzare una colonna che non è un numero o un tipo stringa come dimensione, è necessario convertirla in un valore stringa o numerico nella query. Se si selezionano più valori di dimensione, ogni serie temporale risultante dalla combinazione attiva il proprio avviso e viene addebitato separatamente.

    Ad esempio:

    • È possibile usare le dimensioni per monitorare l'utilizzo della CPU in più istanze che eseguono il sito Web o l'app. Ogni istanza viene monitorata singolarmente e le notifiche vengono inviate per ogni istanza in cui l'utilizzo della CPU supera il valore configurato.
    • È possibile decidere di non suddividere in base alle dimensioni quando si desidera applicare una condizione a più risorse nell'ambito. Ad esempio, non si userebbero dimensioni se si vuole generare un avviso se almeno cinque computer nell'ambito del gruppo di risorse hanno un utilizzo della CPU superiore al valore configurato.

    Selezionare i valori per questi campi:

    • Colonna ID risorsa: in generale, se l'ambito della regola di avviso è un'area di lavoro, gli avvisi vengono attivati nell'area di lavoro. Se si vuole un avviso separato per ogni risorsa di Azure interessata, è possibile:
      • usare la colonna ARM Azure Resource ID come dimensione . Si noti che usando questa opzione l'avviso verrà attivato nell'area di lavoro con la colonna ID risorsa di Azure come dimensione.
      • specificarlo come dimensione nella proprietà ID risorsa di Azure, che rende la risorsa restituita dalla query come destinazione dell'avviso, quindi gli avvisi vengono attivati sulla risorsa restituita dalla query, ad esempio una macchina virtuale o un account di archiviazione, anziché nell'area di lavoro. Quando si usa questa opzione, se l'area di lavoro ottiene i dati dalle risorse in più sottoscrizioni, gli avvisi possono essere attivati sulle risorse di una sottoscrizione diversa dalla sottoscrizione della regola di avviso.
    Campo Descrizione
    Nome della dimensione Le dimensioni possono essere numeri o colonne stringa. Le dimensioni vengono usate per monitorare serie temporali specifiche e fornire contesto a un avviso attivato.
    Operatore Operatore utilizzato per il nome e il valore della dimensione.
    Valori di dimensione I valori delle dimensioni sono basati sui dati delle ultime 48 ore. Selezionare Aggiungi valore personalizzato per aggiungere valori di dimensione personalizzati.
    Includere tutti i valori futuri Selezionare questo campo per includere eventuali valori futuri aggiunti alla dimensione selezionata.

  7. Nella sezione Logica di avviso selezionare i valori per questi campi:

    Screenshot che mostra la sezione Logica di avviso di una nuova regola di avviso di ricerca log.

    Campo Descrizione
    Operator I risultati della query vengono trasformati in un numero. In questo campo selezionare l'operatore da usare per confrontare il numero con la soglia.
    Valore soglia Valore numerico per la soglia.
    Frequenza della valutazione Frequenza con cui viene eseguita la query. Può essere impostato ovunque da un minuto a un giorno (24 ore).

    Nota

    Esistono alcune limitazioni per l'uso di una frequenza delle regole di avviso di un minuto . Quando si imposta la frequenza della regola di avviso su un minuto, viene eseguita una manipolazione interna per ottimizzare la query. Questa manipolazione può causare l'esito negativo della query se contiene operazioni non supportate. Di seguito sono riportati i motivi più comuni per cui una query non è supportata:

    • La query contiene le operazioni di ricerca, unione * o take (limite)
    • La query contiene la funzione ingestion_time()
    • La query usa il modello adx
    • La query chiama una funzione che chiama altre tabelle

    Per query di avviso di ricerca log di esempio che eseguono query su ARG o ADX, vedere Esempi di query di avviso di ricerca log

  8. (Facoltativo) Nella sezione Opzioni avanzate è possibile specificare il numero di errori e il periodo di valutazione dell'avviso necessario per attivare un avviso. Ad esempio, se si imposta Granularità aggregazione su 5 minuti, è possibile specificare che si vuole attivare un avviso solo se si sono verificati tre errori (15 minuti) nell'ultima ora. I criteri aziendali dell'applicazione determinano questa impostazione.

    Screenshot che mostra la sezione Opzioni avanzate di una nuova regola di avviso di ricerca log.

    Selezionare i valori per questi campi in Numero di violazioni per attivare l'avviso:

    Campo Descrizione
    Numero di violazioni Numero di violazioni che attivano l'avviso.
    Periodo di valutazione Periodo di tempo entro il quale si verifica il numero di violazioni.
    Eseguire l'override dell'intervallo di tempo della query Se si vuole che il periodo di valutazione dell'avviso sia diverso dall'intervallo di tempo della query, immettere un intervallo di tempo qui.
    L'intervallo di tempo di avviso è limitato a un massimo di due giorni. Anche se la query contiene un comando ago con un intervallo di tempo superiore a due giorni, viene applicato l'intervallo di tempo massimo di due giorni. Ad esempio, anche se il testo della query contiene ago(7d), la query analizza solo fino a due giorni di dati. Se la query richiede più dati rispetto alla valutazione dell'avviso, è possibile modificare manualmente l'intervallo di tempo. Se la query contiene un comando ago , verrà modificata automaticamente in 2 giorni (48 ore).

    Nota

    Se l'utente o l'amministratore ha assegnato il Criteri di Azure avvisi di Ricerca log di Azure nelle aree di lavoro Log Analytics devono usare chiavi gestite dal cliente, è necessario selezionare Controlla l'archiviazione collegata all'area di lavoro. In caso contrario, la creazione della regola avrà esito negativo perché non soddisfa i requisiti dei criteri.

  9. Il grafico Anteprima mostra i risultati delle valutazioni delle query nel tempo. È possibile modificare il periodo del grafico o selezionare serie temporali diverse risultanti da una suddivisione univoca degli avvisi in base alle dimensioni.

    Screenshot che mostra un'anteprima di una nuova regola di avviso.

  10. Selezionare Fatto. Da questo punto in poi, è possibile selezionare il pulsante Rivedi e crea in qualsiasi momento.

Configurare le azioni della regola di avviso

  1. Nella scheda Azioni selezionare o creare i gruppi di azioni necessari.

    Screenshot che mostra la scheda Azioni durante la creazione di una nuova regola di avviso.

Configurare i dettagli della regola di avviso

  1. Nella scheda Dettagli definire i dettagli del progetto.

    • Selezionare la sottoscrizione.
    • Selezionare Gruppo di risorse.

  2. Definire i dettagli della regola di avviso.

    Screenshot che mostra la scheda Dettagli durante la creazione di una nuova regola di avviso di ricerca log.

    1. Selezionare la gravità.

    2. Immettere i valori per il nome della regola di avviso e la descrizione della regola di avviso.

      Nota

      Si noti che la regola che usa Identity non può avere il carattere ";" nel nome della regola di avviso

    3. Selezionare l'area.

    4. Nella sezione Identità selezionare l'identità usata dalla regola di avviso di ricerca log per inviare la query di log. Questa identità viene usata per l'autenticazione quando la regola di avviso esegue la query di log.

      Tenere presenti questi aspetti quando si seleziona un'identità:

      • È necessaria un'identità gestita se si invia una query ad Azure Esplora dati (ADX) o ad Azure Resource Graph (ARG).
      • Usare un'identità gestita se si vuole visualizzare o modificare le autorizzazioni associate alla regola di avviso.
      • Se non si usa un'identità gestita, le autorizzazioni della regola di avviso si basano sulle autorizzazioni dell'ultimo utente per modificare la regola, al momento dell'ultima modifica della regola.
      • Usare un'identità gestita per evitare un caso in cui la regola non funzioni come previsto perché l'utente che ha modificato l'ultima volta la regola non dispone delle autorizzazioni per tutte le risorse aggiunte all'ambito della regola.

      L'identità associata alla regola deve avere questi ruoli:

      • Se la query accede a un'area di lavoro Log Analytics, all'identità deve essere assegnato un ruolo lettore per tutte le aree di lavoro a cui si accede dalla query. Se si creano avvisi di ricerca log incentrati sulle risorse, la regola di avviso può accedere a più aree di lavoro e l'identità deve avere un ruolo lettore su tutti.
      • Se si esegue una query su un cluster ADX o ARG, è necessario aggiungere il ruolo Lettore per tutte le origini dati a cui si accede dalla query. Ad esempio, se la query è incentrata sulle risorse, è necessario un ruolo lettore per tali risorse.
      • Se la query accede a un cluster remoto di Azure Esplora dati, è necessario assegnare l'identità:
        • Ruolo lettore per tutte le origini dati a cui si accede dalla query. Ad esempio, se la query chiama un cluster di Azure Esplora dati remoto usando la funzione adx(), è necessario un ruolo lettore in tale cluster ADX.
        • Visualizzatore di database per tutti i database a cui accede la query.

      Per informazioni dettagliate sulle identità gestite, vedere Identità gestite per le risorse di Azure.

      Selezionare una delle opzioni seguenti per l'identità usata dalla regola di avviso:

      Identità Descrizione
      Nessuna Le autorizzazioni delle regole di avviso si basano sulle autorizzazioni dell'ultimo utente che ha modificato la regola, al momento della modifica della regola.
      Identità gestita assegnata dal sistema Azure crea una nuova identità dedicata per questa regola di avviso. Questa identità non dispone di autorizzazioni e viene eliminata automaticamente quando la regola viene eliminata. Dopo aver creato la regola, è necessario assegnare le autorizzazioni a questa identità per accedere all'area di lavoro e alle origini dati necessarie per la query. Per altre informazioni sull'assegnazione delle autorizzazioni, vedere Assegnare ruoli di Azure usando il portale di Azure.
      Identità gestita assegnata dall'utente Prima di creare la regola di avviso, creare un'identità e assegnargli le autorizzazioni appropriate per la query di log. Si tratta di una normale identità di Azure. È possibile usare un'identità in più regole di avviso. L'identità non viene eliminata quando la regola viene eliminata. Quando si seleziona questo tipo di identità, viene aperto un riquadro per selezionare l'identità associata per la regola.

  3. (Facoltativo) Nella sezione Opzioni avanzate è possibile impostare diverse opzioni:

    Campo Descrizione
    Abilita alla creazione Selezionare per la regola di avviso per avviare l'esecuzione non appena viene completata la creazione.
    Risolvere automaticamente gli avvisi (anteprima) Selezionare questa opzione per rendere l'avviso con stato. Quando un avviso è con stato, l'avviso viene risolto quando la condizione non viene più soddisfatta per un intervallo di tempo specifico. L'intervallo di tempo è diverso in base alla frequenza dell'avviso:
    1 minuto: la condizione di avviso non viene soddisfatta per 10 minuti.
    5-15 minuti: la condizione di avviso non viene soddisfatta per tre periodi di frequenza.
    15 minuti - 11 ore: la condizione di avviso non viene soddisfatta per due periodi di frequenza.
    Da 11 a 12 ore: la condizione di avviso non viene soddisfatta per un periodo di frequenza.

    Si noti che gli avvisi di ricerca log con stato presentano queste limitazioni:
    - possono attivare fino a 300 avvisi per valutazione.
    : è possibile avere un massimo di 5000 avvisi con la fired condizione di avviso.
    Disattivare le azioni Selezionare questa opzione per impostare un periodo di tempo di attesa prima che le azioni di avviso vengano nuovamente attivate. Se si seleziona questa casella di controllo, viene visualizzato il campo Disattiva azioni per selezionare la quantità di tempo di attesa dopo l'attivazione di un avviso prima di attivare nuovamente le azioni.
    Controllare l'archiviazione collegata all'area di lavoro Selezionare se è configurata l'archiviazione collegata all'area di lavoro log per gli avvisi. Se non è configurata alcuna risorsa di archiviazione collegata, la regola non viene creata.

  4. (Facoltativo) Nella sezione Proprietà personalizzate, se questa regola di avviso contiene gruppi di azioni, è possibile aggiungere proprietà personalizzate da includere nel payload della notifica di avviso. È possibile usare queste proprietà nelle azioni chiamate dal gruppo di azioni, ad esempio da un webhook, una funzione di Azure o azioni dell'app per la logica.

    Le proprietà personalizzate vengono specificate come coppie key:value, usando testo statico, un valore dinamico estratto dal payload dell'avviso o una combinazione di entrambi.

    Il formato per estrarre un valore dinamico dal payload dell'avviso è: ${<path to schema field>}. Ad esempio: ${data.essentials.monitorCondition}.

    Usare il formato dello schema di avviso comune per specificare il campo nel payload, indipendentemente dal fatto che i gruppi di azioni configurati per la regola di avviso usino lo schema comune.

    Nota

    • Lo schema comune sovrascrive le configurazioni personalizzate. Non è possibile usare sia le proprietà personalizzate che lo schema comune.
    • Le proprietà personalizzate vengono aggiunte al payload dell'avviso, ma non vengono visualizzate nel modello di posta elettronica o nei dettagli dell'avviso nel portale di Azure.
    • Gli avvisi di Integrità dei servizi non supportano proprietà personalizzate.

    Screenshot che mostra la sezione delle proprietà personalizzate della creazione di una nuova regola di avviso.

    Negli esempi seguenti, i valori nelle proprietà personalizzate vengono usati per utilizzare i dati di un payload che usa lo schema di avviso comune:

    Esempio 1

    In questo esempio viene creato un tag "Dettagli aggiuntivi" con i dati relativi all'ora di inizio della finestra e all'ora di fine della finestra.

    • Nome: "Dettagli aggiuntivi"
    • Valore: "Finestra di valutazioneStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
    • Risultato: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

    Esempio 2 Questo esempio aggiunge i dati relativi al motivo della risoluzione o dell'attivazione dell'avviso.

    • Nome: "Avviso ${data.essentials.monitorCondition} reason"
    • Valore: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Il valore è ${data.alertContext.condition.allOf[0].metricValue}"
    • Risultato: i risultati di esempio possono essere simili ai seguenti:
      • "Motivo risolto avviso: Percentuale CPU GreaterThan5 risolta. Il valore è 3,585"
      • "Avviso attivato motivo": "Percentuale CPU GreaterThan5 attivata. Il valore è 10,585"

Configurare i tag delle regole di avviso

  1. Nella scheda Tag impostare i tag necessari nella risorsa regola di avviso.

    Screenshot che mostra la scheda Tag durante la creazione di una nuova regola di avviso.

Esaminare e creare la regola di avviso

  1. Nella scheda Rivedi e crea la regola viene convalidata e consente di conoscere eventuali problemi.

  2. Quando la convalida viene superata e le impostazioni sono state esaminate, selezionare il pulsante Crea.

    Screenshot che mostra la scheda Rivedi e crea durante la creazione di una nuova regola di avviso.

Passaggi successivi