Eventi
17 mar, 23 - 21 mar, 23
Partecipa alla serie meetup per creare soluzioni di intelligenza artificiale scalabili basate su casi d'uso reali con altri sviluppatori ed esperti.
Esegui registrazioneQuesto browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare le funzionalità più recenti, gli aggiornamenti della sicurezza e il supporto tecnico.
Questo articolo illustra come creare una nuova regola di avviso di ricerca log o modificare una regola di avviso di ricerca log esistente in Monitoraggio di Azure. Per altre informazioni sugli avvisi, vedere la panoramica degli avvisi.
Le regole di avviso combinano le risorse da monitorare, i dati di monitoraggio della risorsa e le condizioni che si desidera attivare l'avviso. È possibile, quindi, definire gruppi di azioni e regole di elaborazione avvisi per determinare cosa accade quando viene attivato un avviso.
Gli avvisi attivati da queste regole di avviso contengono un payload che usa lo schema di avviso comune.
Per creare o modificare una regola di avviso, è necessario disporre delle autorizzazioni seguenti:
Esistono diversi modi per creare o modificare una regola di avviso.
Nel portale di Azure, dalla home page o da una risorsa specifica, selezionare Avvisi nel riquadro sinistro.
Selezionare Regole di avviso.
Selezionare la regola di avviso che si vuole modificare, quindi selezionare Modifica.
Selezionare una delle schede per la regola di avviso per modificare le impostazioni.
Nel riquadro Seleziona una risorsa impostare l'ambito per la regola di avviso. È possibile filtrare per sottoscrizione, tipo di risorsa o posizione risorsa.
Selezionare Applica.
Nella scheda Condizione, quando si seleziona il campo Nome segnale, scegliere Ricerca log personalizzata. In alternativa, selezionare Visualizza tutti i segnali se si vuole scegliere un segnale diverso per la condizione.
(Facoltativo) Se si seleziona Visualizza tutti i segnali nel passaggio precedente, usare il riquadro Selezionare un segnale per cercare il nome del segnale o filtrare l'elenco dei segnali. Filter by:
Nel riquadro Log, scrivere una query che restituisce gli eventi del log per cui creare un avviso. Per usare una delle query delle regole di avviso predefinite, espandere il riquadro Schema e filtro accanto al riquadro Log. Selezionare, quindi, la scheda Query, quindi selezionare una delle query.
Tenere presente queste limitazioni per le query delle regole di avviso di ricerca log:
bag_unpack()
, pivot()
e narrow()
.AggregatedValue
è una parola riservata. Non è possibile usarla nella query sulle regole di avviso di ricerca log.
(Facoltativo) Se si esegue una query su un cluster Esplora dati di Azure o Azure Resource Graph, l'area di lavoro Log Analytics non può identificare automaticamente la colonna con il timestamp dell'evento. È preferibile aggiungere un filtro intervallo di tempo alla query. Ad esempio:
adx('https://help.kusto.windows.net/Samples').table
| where MyTS >= ago(5m) and MyTS <= now()
arg("").Resources
| where type =~ 'Microsoft.Compute/virtualMachines'
| project _ResourceId=tolower(id), tags
Le query di avviso di ricerca log di esempio sono disponibili per Esplora dati di Azure e Resource Graph.
Le query tra servizi non sono supportate nei cloud per enti pubblici. Per altre informazioni sulle limitazioni, vedere Limitazioni delle query tra servizi e Combinare tabelle di Azure Resource Graph con un'area di lavoro Log Analytics.
Selezionare Esegui per eseguire l’avviso.
La sezione anteprima mostra i risultati della query. Una volta terminata la modifica della query, selezionare Continua a modificare l’avviso.
Viene aperta la scheda Condizione, che è popolata con la query di log. Per impostazione predefinita, la regola conta il numero di risultati negli ultimi cinque minuti. Se il sistema rileva risultati di query riepilogati, la regola viene aggiornata automaticamente con tali informazioni.
Nella sezione Misurazione, selezionare i valori per questi campi:
Campo | Descrizione |
---|---|
Misurare | Gli avvisi per la ricerca log possono misurare due aspetti che è possibile usare per diversi scenari di monitoraggio: Righe tabella: è possibile usare il numero di righe restituite per lavorare con eventi quali Registri eventi di Windows, Syslog ed eccezioni dell'applicazione. Calcolo di una colonna numerica: è possibile usare i calcoli basati su una colonna numerica per includere un numero qualunque di risorse. Un esempio è la percentuale di CPU. |
Tipo di aggregazione | Il calcolo viene eseguito su più record per aggregarli in un singolo valore numerico usando la granularità dell'aggregazione. Esempi: Totale, Media, Minimo e Massimo. |
Granularità dell'aggregazione | Intervallo per l'aggregazione di più record in un singolo valore numerico. |
(Facoltativo) Nella sezione Dividi in base alle dimensioni, è possibile usare le dimensioni per fornire il contesto per l'avviso attivato.
Le dimensioni sono colonne dei risultati della query che contengono dati aggiuntivi. Quando si usano le dimensioni, la regola di avviso raggruppa i risultati della query in base ai valori delle dimensioni e valuta i risultati di ogni gruppo separatamente. Se la condizione viene soddisfatta, la regola genera un avviso per tale gruppo. Il payload dell'avviso include la combinazione che ha attivato l'avviso.
È possibile applicare fino a sei dimensioni per ogni regola di avviso. Le dimensioni possono essere solo colonne di valori stringa o numerici. Se si desidera utilizzare una colonna che non è di tipo stringa o numero come dimensione, è necessario convertirla in un valore stringa o numerico nella query. Se si seleziona più di un valore dimensione, ogni serie temporale risultante dalla combinazione attiverà un proprio avviso e verrà addebitata separatamente.
Ad esempio:
In generale, se l'ambito della regola di avviso è un'area di lavoro, gli avvisi vengono attivati nell'area di lavoro. Se si desidera un avviso separato per ogni risorsa di Azure interessata, è possibile:
Usare la colonna ID della risorsa di Azure di Azure Resource Manager come dimensione. Quando si usa questa opzione, l'avviso viene generato nell'area di lavoro con la colonna ID della risorsa di Azure come dimensione.
Specificare l'avviso come dimensione nella proprietà ID della risorsa di Azure. Questa opzione rende la risorsa che la query restituisce la destinazione dell'avviso. Gli avvisi vengono quindi attivati sulla risorsa restituita dalla query, ad esempio una macchina virtuale o un account di archiviazione, anziché sull'area di lavoro.
Quando si usa questa opzione, se l'area di lavoro ottiene i dati da risorse in più sottoscrizioni, gli avvisi possono essere attivati sulle risorse da una sottoscrizione diversa dalla sottoscrizione della regola di avviso.
Selezionare i valori per questi campi:
Campo | Descrizione |
---|---|
Nome della dimensione | Le dimensioni possono essere colonne di numeri o stringhe. Le dimensioni vengono usate per monitorare serie temporali specifiche e fornire contesto a un avviso attivato. |
Operatore | L’operatore utilizzato per il nome e il valore della dimensione. |
Valori di dimensione | I valori delle dimensioni sono basati sui dati delle ultime 48 ore. Selezionare Aggiungi valore personalizzato per aggiungere valori dimensione personalizzati. |
Includere tutti i valori futuri | Selezionare questo campo per includere tutti i valori futuri aggiunti alla dimensione selezionata. |
Nella sezione Logica avviso, selezionare i valori per questi campi:
Campo | Descrizione |
---|---|
Operatore | I risultati della query vengono trasformati in un numero. In questo campo, selezionare l'operatore da usare per confrontare il numero con la soglia. |
Valore di soglia | Un valore numerico per la soglia. |
Frequenza della valutazione | La frequenza con cui viene eseguita la query. È possibile impostare qualunque valore compreso da un minuto a un giorno (24 ore). |
Nota
La frequenza non è un'ora specifica in cui viene eseguito l'avviso ogni giorno. È la frequenza con cui viene eseguita la regola di avviso.
Esistono alcune limitazioni all'uso della frequenza della regola di avviso di un minuto. Quando si imposta la frequenza della regola di avviso su un minuto, viene eseguita una manipolazione interna per ottimizzare la query. Questa manipolazione può causare l'esito negativo della query se contiene operazioni non supportate. I motivi più comuni per cui una query non è supportata sono:
search
, union
o take
(limite).ingestion_time()
.adx
.Le query di avviso di ricerca log di esempio sono disponibili per Esplora dati di Azure e Resource Graph.
(Facoltativo) Nella sezione Opzioni avanzate è possibile specificare il numero di errori e il periodo di valutazione dell'avviso necessario per attivare un avviso. Ad esempio, se si imposta Granularità aggregazione su 5 minuti, è possibile specificare che si desidera attivare un avviso solo se si sono verificati tre errori (15 minuti) nell'ultima ora. Questa impostazione è determinata dai criteri aziendali dell'applicazione.
Selezionare i valori per questi campi in Numero di violazioni per l’attivazione dell'avviso:
Campo | Descrizione |
---|---|
Numero di violazioni | Numero di violazioni che attivano l'avviso. Si noti che per usare questa query deve includere la colonna 'datetime' nei risultati della query |
Periodo di valutazione | Periodo di tempo entro il quale si verifica il numero di violazioni. |
Override intervallo di tempo query | Se si vuole che il periodo di valutazione dell'avviso sia diverso dall'intervallo di tempo della query, immettere qui un intervallo di tempo. L'intervallo di tempo degli avvisi è limitato a un massimo di due giorni. Anche se la query contiene un comando ago con un intervallo di tempo superiore a due giorni, viene applicato l'intervallo di tempo massimo di due giorni. Ad esempio, anche se il testo della query contiene ago(7d) , la query analizza solo fino a due giorni di dati. Se la query richiede più dati rispetto alla valutazione dell'avviso, è possibile modificare manualmente l'intervallo di tempo. Se la query contiene un comando ago , viene automaticamente modificata in due giorni (48 ore). |
Nota
Se l'utente o l'amministratore ha assegnato i Criteri di Azure Gli avvisi di ricerca log di Azure nelle aree di lavoro di Log Analytics devono usare chiavi gestite dal cliente, è necessario selezionare Controlla l'archiviazione collegata all'area di lavoro. In caso contrario, la creazione della regola avrà esito negativo perché non soddisfa i requisiti dei criteri.
Il grafico Anteprima mostra i risultati delle valutazioni delle query nel tempo. È possibile modificare il periodo del grafico o selezionare serie temporali diverse risultanti da una suddivisione di avvisi univoci in base alle dimensioni.
Selezionare Fatto. Dopo aver configurato le condizioni della regola di avviso, è possibile configurare i dettagli della regola di avviso per completare la creazione dell'avviso oppure, facoltativamente, è anche possibile aggiungere azioni e tag alla regola di avviso.
Nella scheda Azioni è possibile selezionare o creare gruppi di azioni per la regola di avviso.
Nella scheda Dettagli, da Dettagli progetto, selezionare i valori sottoscrizione e gruppo di risorse.
Da Dettagli regola di avviso:
Selezionare il valore Gravità.
Immettere i valori per Nome regola di avviso e Descrizione regola di avviso.
Nota
Una regola che usa un'identità non può avere il carattere del punto e virgola (;) nel valore Nome della regola di avviso.
Selezionare il valore Area.
Nella sezione Identità, selezionare l'identità usata dalla regola di avviso di ricerca log per l’autenticazione quando invia la query di log.
Tenere presenti questi punti quando si seleziona un'identità:
L'identità associata alla regola deve avere le regole seguenti:
adx()
, richiede un ruolo lettore per tale cluster di Esplora dati di Azure.Per informazioni dettagliate sulle identità gestite, vedere Identità gestite per le risorse di Azure.
Selezionare una delle opzioni seguenti per l'identità usata dalla regola di avviso:
Opzione di identità | Descrizione |
---|---|
Nessuno | Le autorizzazioni della regola di avviso si basano sulle autorizzazioni dell'ultimo utente che ha modificato la regola nel momento in cui la regola è stata modificata. |
Abilitare l'identità gestita assegnata dal sistema | Azure crea una nuova identità dedicata per questa regola di avviso. Questa identità non dispone di autorizzazioni e viene eliminata automaticamente quando la regola viene eliminata. Dopo aver creato la regola, è necessario assegnare autorizzazioni a questa identità per l’accesso all'area di lavoro e alle origini dati necessarie per la query. Per altre informazioni sulle assegnazioni delle autorizzazioni, vedere Assegnare ruoli di Azure tramite il portale di Azure. Le regole di avviso di ricerca log che usano l'archiviazione collegata non sono supportate. |
Abilitare l’identità gestita assegnata dall'utente | Prima di creare la regola di avviso, creare un'identità e assegnarle autorizzazioni appropriate per la query di log. Questa è una normale identità di Azure. È possibile usare un'unica identità in più regole di avviso. L'identità non viene eliminata quando la regola viene eliminata. Quando si seleziona questo tipo di identità, viene aperto un riquadro per la selezione dell'identità associata per la regola. |
(Facoltativo) Nella sezione Opzioni avanzate, è possibile impostare diverse opzioni:
Campo | Descrizione |
---|---|
Abilitare alla creazione | Selezionare questa opzione per avviare l'esecuzione della regola di avviso non appena viene completata la creazione. |
Risolvere automaticamente gli avvisi | Selezionare questa opzione per rendere l'avviso con stato. Quando un avviso è con stato, viene risolto quando la condizione non viene più soddisfatta per un intervallo di tempo specifico. L'intervallo di tempo è diverso in base alla frequenza dell'avviso: 1 minuto: la condizione di avviso non viene soddisfatta per 10 minuti. Da 5 a 15 minuti: la condizione di avviso non viene soddisfatta per tre periodi di frequenza. Da 15 minuti a 11 ore: la condizione di avviso non viene soddisfatta per due periodi di frequenza. Da 11 a 12 ore: la condizione di avviso non viene soddisfatta per un periodo di frequenza. Tenere presente che gli avvisi di ricerca log con stato hanno queste limitazioni. |
Disattivare azioni | Selezionare questa opzione per impostare il tempo di attesa prima di attivare nuovamente le azioni dell'avviso. Il campo Disattiva azioni per viene visualizzato per selezionare la quantità di tempo atteso dopo l'attivazione di un avviso prima di attivare nuovamente le azioni. |
Controllare la risorsa di archiviazione collegata all'area di lavoro | Selezionare questa opzione se è configurata una risorsa di archiviazione collegata all'area di lavoro log per gli avvisi. Se non è configurata alcuna risorsa di archiviazione collegata, la regola non viene creata. |
(Facoltativo) Nella sezione Proprietà personalizzate, se questa regola di avviso contiene gruppi di azioni, è possibile aggiungere proprietà personalizzate da includere nel payload della notifica di avviso. È possibile usare queste proprietà nelle azioni chiamate dal gruppo di azioni, ad esempio da un webhook, una funzione di Azure o un'azione dell'app per la logica.
Le proprietà personalizzate vengono specificate come coppie chiave/valore usando testo statico, un valore dinamico estratto dal payload dell'avviso o una combinazione di entrambi.
Il formato per l’estrazione di un valore dinamico dal payload dell'avviso è: ${<path to schema field>}
. Ad esempio: ${data.essentials.monitorCondition}
.
Usare il formato dello schema di avviso comune per specificare il campo nel payload, indipendentemente dal fatto che i gruppi di azioni configurati per la regola di avviso usino lo schema comune.
Nota
Negli esempi seguenti, i valori nelle proprietà personalizzate vengono usati per utilizzare i dati da un payload che usa lo schema di avviso comune.
In questo esempio viene creato un tag Dettagli aggiuntivi con i dati relativi all'ora di inizio della finestra e all'ora di fine della finestra:
Additional Details
Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z
In questo esempio vengono aggiunti dati relativi al motivo della risoluzione o dell'attivazione dell'avviso:
Alert ${data.essentials.monitorCondition} reason
${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585
Nella scheda Tag è possibile impostare facoltativamente i tag necessari nella risorsa regola di avviso.
Nella scheda Rivedi e crea, la regola viene convalidata. Se si verifica un problema, tornare indietro e risolverlo.
Quando la convalida viene superata e le impostazioni sono state esaminate, selezionare il pulsante Crea.
Eventi
17 mar, 23 - 21 mar, 23
Partecipa alla serie meetup per creare soluzioni di intelligenza artificiale scalabili basate su casi d'uso reali con altri sviluppatori ed esperti.
Esegui registrazioneTraining
Modulo
Creare e configurare un'area di lavoro Log Analytics - Training
In questo modulo si apprenderà come creare e configurare l'accesso a un'area di lavoro Log Analytics. Si apprenderà anche come configurare la conservazione dei dati e abilitare gli avvisi relativi allo stato di integrità per un'area di lavoro Log Analytics.
Certificazione
Microsoft Certified: Security Operations Analyst Associate - Certifications
Analizzare, cercare e attenuare minacce usando Microsoft Sentinel, Microsoft Defender per il cloud e Microsoft 365 Defender.