Come creare avvisi per Rilevamento modifiche e inventario

Importante

Rilevamento modifiche e inventario con l'agente di Log Analytics è stato ritirato il 31 agosto 2024 e funzionerà con supporto limitato fino al 01 febbraio 2025. È consigliabile usare l'agente di monitoraggio di Azure come nuovo agente di supporto. Seguire le linee guida per la migrazione da Rilevamento modifiche e inventario usando Analisi dei log per Rilevamento modifiche e inventario usando la versione dell'agente di monitoraggio di Azure.

Nota

L'onboarding di Rilevamento modifiche e inventario con Log Analytics tramite il portale di Azure non verrà consentito in quanto il servizio è stato ritirato il 31 agosto 2024. Consigliamo di configurare una nuova versione di Rilevamento modifiche e inventario con AMA. Le macchine virtuali esistenti in Rilevamento modifiche e inventario con l' agente legacy continueranno a funzionare fino al 1˚ febbraio 2025. Per ulteriori informazioni, consultare la sezione Abilitare Rilevamento modifiche e inventario con l'agente di Monitoraggio di Azure.

Gli avvisi in Azure inviano notifiche in modo proattivo per i risultati dai processi del runbook, i problemi di integrità dei servizi o altri scenari correlati all'account di Automazione. Automazione di Azure non include regole di avviso preconfigurato, ma è possibile crearne di personalizzate in base ai dati generati. Questo articolo fornisce indicazioni sulla creazione di regole di avviso in base alle modifiche identificate da Rilevamento modifiche e inventario.

Se non si ha familiarità con gli avvisi di Monitoraggio di Azure, vedere Panoramica degli avvisi in Microsoft Azure prima di iniziare. Per altre informazioni sugli avvisi che usano le query di log, vedere Avvisi del log in Monitoraggio di Azure.

Creare un avviso

L'esempio seguente mostra che il file c:\windows\system32\drivers\etc\hosts è stato modificato in un computer. Questo file è importante perché viene usato da Windows per risolvere i nomi host in indirizzi IP. Questa operazione ha la precedenza rispetto a DNS e potrebbe causare problemi di connettività. Può anche causare il reindirizzamento del traffico a siti Web dannosi o altrimenti pericolosi.

Si userà questo esempio per illustrare i passaggi per la creazione di avvisi in una modifica.

1. Nella pagina Rilevamento modifiche dalla macchina virtuale selezionare Log Analytics.

2. In Ricerca log cercare le modifiche al contenuto nel file hosts file con la query ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts". Questa query cerca le modifiche al contenuto per i file con nomi di percorso completi contenenti la parola hosts. È anche possibile cercare un file specifico usando il formato completo del percorso anziché una sola parte, ad esempio FileSystemPath == "c:\windows\system32\drivers\etc\hosts".

3. Dopo che la query ha restituito i risultati, selezionare il pulsante Nuova regola di avviso nella ricerca log per aprire la pagina Crea avviso. È possibile accedere a questa pagina anche tramite Monitoraggio di Azure nel portale di Azure.

4. Controllare di nuovo la query e modificare la logica di avviso. In questo caso, si vuole che l'avviso venga attivato anche se viene rilevata una sola modifica in tutti i computer nell'ambiente.

   

5. Dopo che è stata impostata la logica di avviso, assegnare gruppi di azioni in modo da eseguire azioni in risposta all'attivazione dell'avviso. In questo caso vengono configurati messaggi di posta elettronica da inviare e un ticket di Gestione dei servizi IT (ITSM) da creare.

Eseguire la procedura sotto riportata per configurare avvisi di notifica dello stato della distribuzione di un aggiornamento. Se non si ha ancora una volta gli avvisi di Azure, vedere Panoramica degli avvisi di Azure.

Configurare gruppi di azioni per gli avvisi

Dopo aver configurato gli avvisi, è possibile configurare un gruppo di azioni da usare in più avvisi. Le azioni possono includere notifiche tramite posta elettronica, runbook, webhook e molto altro ancora. Per altre informazioni sui gruppi di azioni, vedere Creare e gestire gruppi di azioni.

1. Selezionare un avviso e quindi selezionare Crea nuovo in Gruppi di azioni.

2. Immettere un nome completo e un nome breve per il gruppo di azioni. Gestione aggiornamenti usa il nome breve quando invia notifiche usando il gruppo specificato.

3. In Azioni immettere un nome che specifichi l'azione, ad esempio Notifica via posta elettronica.

4. Per Tipo azione selezionare il tipo appropriato, ad esempio (Email/SMS/Push/Voce).

5. Selezionare l'icona a forma di matita per modificare i dettagli dell'azione.

6. Compilare il riquadro per il tipo di azione. Ad esempio, se si usa Email/SMS/Push/Voce per inviare un messaggio di posta elettronica, immettere un nome di azione, selezionare la casella di controllo Posta elettronica, immettere un indirizzo di posta elettronica valido e quindi selezionare OK.

   

7. Nel riquadro Aggiungi gruppo di azioni, selezionare OK.

8. Per i messaggi di posta elettronica di avviso è possibile personalizzare l'oggetto. Selezionare Personalizza azioni in Crea regola e quindi selezionare Oggetto messaggio di posta elettronica.

9. Al termine, selezionare Crea regola di avviso.

Passaggi successivi

• Informazioni sugli avvisi in Monitoraggio di Azure.

• Informazioni sulle query di log per recuperare e analizzare i dati da un'area di lavoro Log Analytics.

• Analizzare l'utilizzo nell'area di lavoro Log Analytics descrive l'analisi e gli avvisi per l'utilizzo dei dati.