Creare o modificare una regola di avviso

Questo articolo illustra come creare una nuova regola di avviso o modificare una regola di avviso esistente. Per altre informazioni sugli avvisi, vedere la panoramica degli avvisi.

È possibile creare una regola di avviso combinando:

• Le risorse da monitorare.
• Il segnale o i dati dalla risorsa.
• Condizioni.

È quindi possibile definire questi elementi per le azioni di avviso:

• Gruppi di azioni
• Regole di elaborazione degli avvisi

Gli avvisi attivati da queste regole di avviso contengono un payload che usa lo schema di avviso comune.

Creare o modificare una regola di avviso nel portale di Azure

Esistono diversi modi per creare una nuova regola di avviso.

Per creare una nuova regola di avviso dalla home page del portale:

1. Nel portale selezionare Monitoraggio>avvisi.

2. Aprire il menu + Crea e selezionare Regola di avviso.

   

Per creare una nuova regola di avviso da una risorsa specifica:

1. Nel portale passare alla risorsa.

2. Selezionare Avvisi nel riquadro sinistro e quindi selezionare + Crea>regola di avviso.

   

Per modificare una regola di avviso esistente:

1. Nel portale, dalla home page o da una risorsa specifica, selezionare Avvisi nel riquadro sinistro.

2. Selezionare Regole di avviso.

3. Selezionare la regola di avviso da modificare e quindi selezionare Modifica.

   

4. Selezionare una delle schede per la regola di avviso per modificare le impostazioni.

Impostare l'ambito della regola di avviso

1. Nel riquadro Seleziona una risorsa impostare l'ambito per la regola di avviso. È possibile filtrare in base alla sottoscrizione, al tipo di risorsa o alla posizione della risorsa.

2. Selezionare Applica.

3. Al termine, selezionare Avanti: Condizione in fondo alla pagina.

   

Impostare le condizioni delle regole di avviso

1. Nella scheda Condizione, quando si seleziona il campo Nome segnale, nell'elenco a discesa vengono visualizzati i segnali più usati. Selezionare uno di questi segnali popolari oppure selezionare Visualizza tutti i segnali se si vuole scegliere un segnale diverso per la condizione.

   

2. (Facoltativo) Se si sceglie Di visualizzare tutti i segnali nel passaggio precedente, usare il riquadro Selezionare un segnale per cercare il nome del segnale o filtrare l'elenco dei segnali. Filter by:

   • Tipo di segnale: tipo di regola di avviso che si sta creando.
   • Origine segnale: il servizio che invia il segnale. L'elenco viene precompilato in base al tipo di regola di avviso selezionata.

   Questa tabella descrive i servizi disponibili per ogni tipo di regola di avviso:

   Tipo di segnale	Origine segnale	Descrizione
   Metriche	Piattaforma	Per i segnali delle metriche, il servizio di monitoraggio è lo spazio dei nomi delle metriche. "Piattaforma" indica che le metriche vengono fornite dal provider di risorse, vale a dire Azure.
   	Azure.ApplicationInsights	Metriche segnalate dal cliente, inviate da Application Insights SDK.
   	Azure.VM.Windows.GuestMetrics	Metriche guest della macchina virtuale, raccolte da un'estensione in esecuzione nella macchina virtuale. Può includere contatori delle prestazioni predefinite del sistema operativo e contatori delle prestazioni personalizzati.
   	<spazio dei nomi personalizzato>	Spazio dei nomi delle metriche personalizzato contenente le metriche personalizzate inviate con l'API Metriche di Monitoraggio di Azure.
   Log	Log Analytics	Il servizio che fornisce i segnali "Ricerca log personalizzata" e "Log (query salvata)".
   Log attività	Log attività: Amministrazione istrative	Servizio che fornisce gli eventi del log attività Amministrazione istrative.
   	Log attività - Criteri	Servizio che fornisce gli eventi del log attività dei criteri.
   	Log attività - Scalabilità automatica	Servizio che fornisce gli eventi del log attività di scalabilità automatica.
   	Log attività - Sicurezza	Servizio che fornisce gli eventi del log attività di sicurezza.
   Resource Health	Resource Health	Servizio che fornisce lo stato di integrità a livello di risorsa.
   Service Health	Service Health	Servizio che fornisce lo stato di integrità a livello di sottoscrizione.

   Selezionare il nome del segnale e Applica.

3. Seguire i passaggi nella scheda corrispondente al tipo di avviso che si sta creando.

   Avviso metrica

   1. Visualizzare in anteprima i risultati del segnale di metrica selezionato nella sezione Anteprima . Selezionare i valori per i campi seguenti.

      Campo	Descrizione
      Intervallo di tempo	Intervallo di tempo da includere nei risultati. Può essere dalle ultime sei ore all'ultima settimana.
      Serie temporale	Serie temporale da includere nei risultati.

   2. Nella sezione Logica di avviso:

      Campo	Descrizione
      Threshold	Selezionare se la soglia deve essere valutata in base a un valore statico o a un valore dinamico. Una soglia statica valuta la regola usando il valore soglia configurato. Le soglie dinamiche usano algoritmi di Machine Learning per apprendere continuamente i modelli di comportamento delle metriche e calcolare le soglie appropriate per il comportamento imprevisto. Altre informazioni sull'uso delle soglie dinamiche per gli avvisi delle metriche.
      Operatore	Selezionare l'operatore per confrontare il valore della metrica con la soglia. Se si usano soglie dinamiche, le regole di avviso possono usare soglie personalizzate in base al comportamento delle metriche per limiti superiori e inferiori nella stessa regola di avviso. Selezionare uno di questi operatori: - Maggiore della soglia superiore o inferiore alla soglia inferiore (impostazione predefinita) - Maggiore della soglia superiore - Inferiore alla soglia inferiore
      Tipo di aggregazione	Selezionare la funzione di aggregazione da applicare ai punti dati: Sum, Count, Average, Min o Max.
      Valore soglia	Se è stata selezionata una soglia statica , immettere il valore soglia per la logica della condizione.
      Unità	Se il segnale metrica selezionato supporta unità diverse, ad esempio byte, KB, MB e GB e, se è stata selezionata una soglia statica , immettere l'unità per la logica della condizione.
      Sensibilità soglia	Se è stata selezionata una soglia dinamica , immettere il livello di riservatezza. Il livello di riservatezza influisce sulla quantità di deviazione dal modello di serie di metriche necessario per attivare un avviso. - Alta: le soglie sono strette e vicine al modello di serie delle metriche. Una regola di avviso viene attivata sulla deviazione più piccola, con conseguente aumento degli avvisi. - Medio: le soglie sono meno strette e più bilanciate. Sono presenti meno avvisi rispetto a quelli con riservatezza elevata (impostazione predefinita). - Bassa: le soglie sono sciolte, consentendo una maggiore deviazione dal modello di serie delle metriche. Le regole di avviso vengono attivate solo in caso di deviazioni di grandi dimensioni, con conseguente minor numero di avvisi.
      Granularità aggregazione	Selezionare l'intervallo usato per raggruppare i punti dati usando la funzione del tipo di aggregazione. Scegliere una granularità aggregazione (periodo) maggiore della frequenza di valutazione per ridurre la probabilità di mancanza del primo periodo di valutazione di una serie temporale aggiunta.
      Frequenza della valutazione	Selezionare la frequenza di esecuzione della regola di avviso. Selezionare una frequenza inferiore alla granularità dell'aggregazione per generare una finestra temporale scorrevole per la valutazione.

   3. (Facoltativo) A seconda del tipo di segnale, è possibile che venga visualizzata la sezione Divisione per dimensioni .

      Le dimensioni sono coppie nome-valore che contengono più dati sul valore della metrica. Usando le dimensioni, è possibile filtrare le metriche e monitorare serie temporali specifiche, anziché monitorare l'aggregazione di tutti i valori dimensionali.

      Se si selezionano più valori di dimensione, ogni serie temporale risultante dalla combinazione attiva il proprio avviso e viene addebitato separatamente. Ad esempio, la metrica delle transazioni di un account di archiviazione può avere una dimensione del nome API contenente il nome dell'API chiamata da ogni transazione, ad esempio GetBlob, DeleteBlob e PutPage. È possibile scegliere di attivare un avviso quando è presente un numero elevato di transazioni in un'API specifica (i dati aggregati). In alternativa, è possibile usare le dimensioni per avvisare solo quando il numero di transazioni è elevato per API specifiche.

      Campo	Descrizione
      Nome della dimensione	Le dimensioni possono essere numeri o colonne stringa. Le dimensioni vengono usate per monitorare serie temporali specifiche e fornire contesto a un avviso attivato. La suddivisione nella colonna ID risorsa di Azure rende la risorsa specificata nella destinazione dell'avviso. Se rilevata, la colonna ResourceID viene selezionata automaticamente e modifica il contesto dell'avviso attivato nella risorsa del record.
      Operatore	Operatore utilizzato per il nome e il valore della dimensione.
      Valori di dimensione	I valori delle dimensioni sono basati sui dati delle ultime 48 ore. Selezionare Aggiungi valore personalizzato per aggiungere valori di dimensione personalizzati.
      Includere tutti i valori futuri	Selezionare questo campo per includere eventuali valori futuri aggiunti alla dimensione selezionata.

   4. (Facoltativo) Nella sezione Quando valutare :

      Campo	Descrizione
      Controllare ogni	Selezionare la frequenza con cui la regola di avviso controlla se la condizione viene soddisfatta.
      Periodo di ricerca posticipata	Selezionare la distanza da visualizzare ogni volta che vengono controllati i dati. Ad esempio, ogni 1 minuto, guardare indietro di 5 minuti.

   5. (Facoltativo) Nella sezione Opzioni avanzate è possibile specificare il numero di errori entro un periodo di tempo specifico che attivano un avviso. Ad esempio, è possibile specificare che si vuole attivare un avviso solo se si sono verificati tre errori nell'ultima ora. I criteri aziendali dell'applicazione devono determinare questa impostazione.

      Selezionare i valori per questi campi:

      Campo	Descrizione
      Numero di violazioni	Numero di violazioni nell'intervallo di tempo configurato che attivano l'avviso.
      Periodo di valutazione	Periodo di tempo entro il quale si verifica il numero di violazioni.
      Ignora dati prima	Usare questa impostazione per selezionare la data da cui iniziare a usare i dati cronologici delle metriche per calcolare le soglie dinamiche. Ad esempio, se una risorsa è in esecuzione in modalità di test e viene spostata nell'ambiente di produzione, è possibile ignorare il comportamento della metrica durante il test della risorsa.

   6. Selezionare Fine.

   Avviso del log

   1. Nel riquadro Log scrivere una query che restituisce gli eventi di log per i quali si vuole creare un avviso.

      

      Per usare una delle query predefinite sulle regole di avviso, espandere il riquadro Schema e filtro a sinistra del riquadro Log . Selezionare quindi la scheda Query e selezionare una delle query.

   2. (Facoltativo) Se si esegue una query su un cluster ADX o ARG, Log Analytics non è in grado di identificare automaticamente la colonna con il timestamp dell'evento, quindi è consigliabile aggiungere un filtro di intervallo di tempo alla query. Ad esempio:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
      

      arg("").Resources
      | where type =~ 'Microsoft.Compute/virtualMachines'
      | project _ResourceId=tolower(id), tags
      

      

   3. Selezionare Esegui per eseguire l'avviso.

   4. La sezione Anteprima mostra i risultati della query. Al termine della modifica della query, selezionare Continua modifica avviso.

   5. Viene visualizzata la scheda Condizione popolata con la query di log. Per impostazione predefinita, la regola conta il numero di risultati negli ultimi cinque minuti. Se il sistema rileva risultati di query riepilogati, la regola viene aggiornata automaticamente con tali informazioni.

   6. Nella sezione Misurazione selezionare i valori per questi campi:

      

      Campo	Descrizione
      Misura	Gli avvisi del log possono misurare due aspetti diversi, che possono essere usati per diversi scenari di monitoraggio: Righe di tabella: il numero di righe restituite può essere usato per lavorare con eventi quali registri eventi di Windows, Syslog ed eccezioni dell'applicazione. Calcolo di una colonna numerica: i calcoli basati su qualsiasi colonna numerica possono essere usati per includere un numero qualsiasi di risorse. Un esempio è la percentuale di CPU.
      Tipo di aggregazione	Il calcolo eseguito su più record per aggregarli a un valore numerico usando la granularità dell'aggregazione. Gli esempi sono Total, Average, Minimum o Maximum.
      Granularità aggregazione	Intervallo per l'aggregazione di più record a un valore numerico.

   7. (Facoltativo) Nella sezione Divisione per dimensioni è possibile usare le dimensioni per fornire il contesto per l'avviso attivato.

      

      Le dimensioni sono colonne dei risultati della query che contengono dati aggiuntivi. Quando si usano dimensioni, la regola di avviso raggruppa i risultati della query in base ai valori della dimensione e valuta i risultati di ogni gruppo separatamente. Se la condizione viene soddisfatta, la regola genera un avviso per tale gruppo. Il payload dell'avviso include la combinazione che ha attivato l'avviso.

      È possibile applicare fino a sei dimensioni per ogni regola di avviso. Le dimensioni possono essere solo colonne di tipo stringa o numerico. Se si desidera utilizzare una colonna che non è un numero o un tipo stringa come dimensione, è necessario convertirla in un valore stringa o numerico nella query. Se si selezionano più valori di dimensione, ogni serie temporale risultante dalla combinazione attiva il proprio avviso e viene addebitato separatamente.

      Ad esempio:

      • È possibile usare le dimensioni per monitorare l'utilizzo della CPU in più istanze che eseguono il sito Web o l'app. Ogni istanza viene monitorata singolarmente e le notifiche vengono inviate per ogni istanza in cui l'utilizzo della CPU supera il valore configurato.
      • È possibile decidere di non suddividere in base alle dimensioni quando si desidera applicare una condizione a più risorse nell'ambito. Ad esempio, non si userebbero dimensioni se si vuole generare un avviso se almeno cinque computer nell'ambito del gruppo di risorse hanno un utilizzo della CPU superiore al valore configurato.

      Selezionare i valori per questi campi:

      • Colonna ID risorsa: in generale, se l'ambito della regola di avviso è un'area di lavoro, gli avvisi vengono attivati nell'area di lavoro. Se si vuole un avviso separato per ogni risorsa di Azure interessata, è possibile:
        • usare la colonna AZURE Resource ID (ID risorsa di Azure Resource Resource) di Resource Manager come dimensione
        • specificarlo come dimensione nella proprietà ID risorsa di Azure, che rende la risorsa restituita dalla query come destinazione dell'avviso, quindi gli avvisi vengono attivati sulla risorsa restituita dalla query, ad esempio una macchina virtuale o un account di archiviazione, anziché nell'area di lavoro. Quando si usa questa opzione, se l'area di lavoro ottiene i dati dalle risorse in più sottoscrizioni, gli avvisi possono essere attivati sulle risorse di una sottoscrizione diversa dalla sottoscrizione della regola di avviso.

      Campo	Descrizione
      Nome della dimensione	Le dimensioni possono essere numeri o colonne stringa. Le dimensioni vengono usate per monitorare serie temporali specifiche e fornire contesto a un avviso attivato.
      Operatore	Operatore utilizzato per il nome e il valore della dimensione.
      Valori di dimensione	I valori delle dimensioni sono basati sui dati delle ultime 48 ore. Selezionare Aggiungi valore personalizzato per aggiungere valori di dimensione personalizzati.
      Includere tutti i valori futuri	Selezionare questo campo per includere eventuali valori futuri aggiunti alla dimensione selezionata.

   8. Nella sezione Logica di avviso selezionare i valori per questi campi:

      

      Campo	Descrizione
      Operatore	I risultati della query vengono trasformati in un numero. In questo campo selezionare l'operatore da usare per confrontare il numero con la soglia.
      Valore soglia	Valore numerico per la soglia.
      Frequenza della valutazione	Frequenza con cui viene eseguita la query. Può essere impostato ovunque da un minuto a un giorno (24 ore).

      Nota

      Esistono alcune limitazioni per l'uso di una frequenza delle regole di avviso di un minuto . Quando si imposta la frequenza della regola di avviso su un minuto, viene eseguita una manipolazione interna per ottimizzare la query. Questa manipolazione può causare l'esito negativo della query se contiene operazioni non supportate. Di seguito sono riportati i motivi più comuni per cui una query non è supportata:

      • La query contiene le operazioni di ricerca, unione o take (limite)
      • La query contiene la funzione ingestion_time()
      • La query usa il modello adx
      • La query chiama una funzione che chiama altre tabelle

   9. (Facoltativo) Nella sezione Opzioni avanzate è possibile specificare il numero di errori e il periodo di valutazione dell'avviso necessario per attivare un avviso. Ad esempio, se si imposta Granularità aggregazione su 5 minuti, è possibile specificare che si vuole attivare un avviso solo se si sono verificati tre errori (15 minuti) nell'ultima ora. I criteri aziendali dell'applicazione determinano questa impostazione.

      

      Selezionare i valori per questi campi in Numero di violazioni per attivare l'avviso:

      Campo	Descrizione
      Numero di violazioni	Numero di violazioni che attivano l'avviso.
      Periodo di valutazione	Periodo di tempo entro il quale si verifica il numero di violazioni.
      Eseguire l'override dell'intervallo di tempo della query	Se si vuole che il periodo di valutazione dell'avviso sia diverso dall'intervallo di tempo della query, immettere un intervallo di tempo qui. L'intervallo di tempo di avviso è limitato a un massimo di due giorni. Anche se la query contiene un comando ago con un intervallo di tempo superiore a due giorni, viene applicato l'intervallo di tempo massimo di due giorni. Ad esempio, anche se il testo della query contiene ago(7d), la query analizza solo fino a due giorni di dati. Se la query richiede più dati rispetto alla valutazione dell'avviso, è possibile modificare manualmente l'intervallo di tempo. Se la query contiene il comando ago , verrà modificata automaticamente in 2 giorni (48 ore).

      Nota

      Se l'utente o l'amministratore ha assegnato il Criteri di Azure avvisi di Ricerca log di Azure nelle aree di lavoro Log Analytics devono usare chiavi gestite dal cliente, è necessario selezionare Controlla l'archiviazione collegata all'area di lavoro. In caso contrario, la creazione della regola avrà esito negativo perché non soddisfa i requisiti dei criteri.

   10. Il grafico Anteprima mostra i risultati delle valutazioni delle query nel tempo. È possibile modificare il periodo del grafico o selezionare serie temporali diverse risultanti da una suddivisione univoca degli avvisi in base alle dimensioni.

       

   Avviso del log attività

   1. Nel riquadro Condizioni selezionare il punto grafico.

   2. Il grafico Anteprima mostra i risultati della selezione.

   3. Selezionare i valori per ognuno di questi campi nella sezione Logica di avviso:

      Campo	Descrizione
      Livello di evento	Selezionare il livello degli eventi per questa regola di avviso. I valori sono Critical, Error, Warning, Informational, Verbose e All.
      Stato	Selezionare i livelli di stato per l'avviso.
      Evento avviato da	Selezionare l'utente o l'entità servizio che ha avviato l'evento.

   avviso Integrità risorse

   Nel riquadro Condizioni selezionare i valori per ognuno di questi campi:

   Campo	Descrizione
   Stato evento	Selezionare gli stati degli eventi Integrità risorse. I valori sono Active, In Progress, Resolved e Updated.
   Stato della risorsa corrente	Selezionare lo stato della risorsa corrente. I valori sono Available, Degraded e Unavailable.
   Stato della risorsa precedente	Selezionare lo stato della risorsa precedente. I valori sono Available, Degraded, Unavailable e Unknown.
   Tipo motivo	Selezionare le cause degli eventi Integrità risorse. I valori sono Avviato dalla piattaforma, Sconosciuto e Avviato dall'utente.

   Avviso di integrità dei servizi

   Nel riquadro Condizioni selezionare i valori per ognuno di questi campi:

   Campo	Descrizione
   Servizi	Selezionare i servizi di Azure.
   Regioni	Selezionare le aree di Azure.
   Tipi di evento	Selezionare i tipi di eventi di integrità dei servizi. I valori sono Problema del servizio, Manutenzione pianificata, Avvisi di integrità e Avvisi di sicurezza.

   Da questo punto in poi, è possibile selezionare il pulsante Rivedi e crea in qualsiasi momento.

Impostare le azioni della regola di avviso

1. Nella scheda Azioni selezionare o creare i gruppi di azioni necessari.

   

Impostare i dettagli della regola di avviso

1. Nella scheda Dettagli definire i dettagli del progetto.

   • Selezionare la sottoscrizione.
   • Selezionare Gruppo di risorse.

2. Definire i dettagli della regola di avviso.

   Avviso metrica

   

   1. Selezionare la gravità.

   2. Immettere i valori per il nome della regola di avviso e la descrizione della regola di avviso.

   3. (Facoltativo) Se si sta creando una regola di avviso delle metriche che monitora una metrica personalizzata con l'ambito definito come una delle aree seguenti e si vuole assicurarsi che l'elaborazione dei dati per la regola di avviso venga eseguita all'interno di tale area, è possibile selezionare questa opzione per elaborare la regola di avviso in una di queste aree:

      • Europa settentrionale
      • Europa occidentale
      • Svezia centrale
      • Germania centro-occidentale

      Vengono aggiunte continuamente altre aree per l'elaborazione dati a livello di area.

   4. (Facoltativo) Nella sezione Opzioni avanzate è possibile impostare diverse opzioni.

      Campo	Descrizione
      Abilita alla creazione	Selezionare per la regola di avviso per avviare l'esecuzione non appena viene completata la creazione.
      Risolvere automaticamente gli avvisi (anteprima)	Selezionare questa opzione per rendere l'avviso con stato. Quando un avviso è con stato, l'avviso viene risolto quando la condizione non viene più soddisfatta. Se non si seleziona questa casella di controllo, gli avvisi delle metriche sono senza stato. Gli avvisi senza stato vengono attivati ogni volta che viene soddisfatta la condizione, anche se l'avviso è già stato attivato. La frequenza delle notifiche per gli avvisi delle metriche senza stato varia in base alla frequenza configurata della regola di avviso: Frequenza di avviso inferiore a 5 minuti: mentre la condizione continua a essere soddisfatta, viene inviata una notifica tra uno e sei minuti. Frequenza di avviso superiore a 5 minuti: mentre la condizione continua a essere soddisfatta, viene inviata una notifica tra la frequenza configurata e raddoppia il valore della frequenza. Ad esempio, per una regola di avviso con una frequenza di 15 minuti, una notifica viene inviata in un punto compreso tra 15 e 30 minuti.

   Avviso del log

   

   1. Selezionare la gravità.

   2. Immettere i valori per il nome della regola di avviso e la descrizione della regola di avviso.

   3. Selezionare l'area.

   4. Nella sezione Identità selezionare l'identità usata dalla regola di avviso del log per inviare la query di log. Questa identità viene usata per l'autenticazione quando la regola di avviso esegue la query di log.

      Tenere presenti questi aspetti quando si seleziona un'identità:

      • Se si invia una query ad Azure Esplora dati, è necessaria un'identità gestita.
      • Usare un'identità gestita se si vuole visualizzare o modificare le autorizzazioni associate alla regola di avviso.
      • Se non si usa un'identità gestita, le autorizzazioni della regola di avviso si basano sulle autorizzazioni dell'ultimo utente per modificare la regola, al momento dell'ultima modifica della regola.
      • Usare un'identità gestita per evitare un caso in cui la regola non funzioni come previsto perché l'utente che ha modificato l'ultima volta la regola non dispone delle autorizzazioni per tutte le risorse aggiunte all'ambito della regola.

      L'identità associata alla regola deve avere questi ruoli:

      • Se la query accede a un'area di lavoro Log Analytics, all'identità deve essere assegnato un ruolo lettore per tutte le aree di lavoro a cui si accede dalla query. Se si creano avvisi di log incentrati sulle risorse, la regola di avviso può accedere a più aree di lavoro e l'identità deve avere un ruolo lettore su tutte.
      • Se si esegue una query su un cluster ADX o ARG, è necessario aggiungere il ruolo Lettore per tutte le origini dati a cui si accede dalla query. Ad esempio, se la query è incentrata sulle risorse, è necessario un ruolo lettore per tali risorse.
      • Se la query accede a un cluster remoto di Azure Esplora dati, è necessario assegnare l'identità:
        • Ruolo lettore per tutte le origini dati a cui si accede dalla query. Ad esempio, se la query chiama un cluster di Azure Esplora dati remoto usando la funzione adx(), è necessario un ruolo lettore in tale cluster ADX.
        • Visualizzatore di database per tutti i database a cui accede la query.

      Per informazioni dettagliate sulle identità gestite, vedere Identità gestite per le risorse di Azure.

      Selezionare una delle opzioni seguenti per l'identità usata dalla regola di avviso:

      Identità	Descrizione
      None	Le autorizzazioni delle regole di avviso si basano sulle autorizzazioni dell'ultimo utente che ha modificato la regola, al momento della modifica della regola.
      Identità gestita assegnata dal sistema	Azure crea una nuova identità dedicata per questa regola di avviso. Questa identità non dispone di autorizzazioni e viene eliminata automaticamente quando la regola viene eliminata. Dopo aver creato la regola, è necessario assegnare le autorizzazioni a questa identità per accedere all'area di lavoro e alle origini dati necessarie per la query. Per altre informazioni sull'assegnazione delle autorizzazioni, vedere Assegnare ruoli di Azure usando il portale di Azure.
      Identità gestita assegnata dall'utente	Prima di creare la regola di avviso, creare un'identità e assegnargli le autorizzazioni appropriate per la query di log. Si tratta di una normale identità di Azure. È possibile usare un'identità in più regole di avviso. L'identità non viene eliminata quando la regola viene eliminata. Quando si seleziona questo tipo di identità, viene aperto un riquadro per selezionare l'identità associata per la regola.

   5. (Facoltativo) Nella sezione Opzioni avanzate è possibile impostare diverse opzioni:

      Campo	Descrizione
      Abilita alla creazione	Selezionare per la regola di avviso per avviare l'esecuzione non appena viene completata la creazione.
      Risolvere automaticamente gli avvisi (anteprima)	Selezionare questa opzione per rendere l'avviso con stato. Quando un avviso è con stato, l'avviso viene risolto quando la condizione non viene più soddisfatta per un intervallo di tempo specifico. L'intervallo di tempo è diverso in base alla frequenza dell'avviso: 1 minuto: la condizione di avviso non viene soddisfatta per 10 minuti. 5-15 minuti: la condizione di avviso non viene soddisfatta per tre periodi di frequenza. 15 minuti - 11 ore: la condizione di avviso non viene soddisfatta per due periodi di frequenza. Da 11 a 12 ore: la condizione di avviso non viene soddisfatta per un periodo di frequenza.
      Disattivare le azioni	Selezionare questa opzione per impostare un periodo di tempo di attesa prima che le azioni di avviso vengano nuovamente attivate. Se si seleziona questa casella di controllo, viene visualizzato il campo Disattiva azioni per selezionare la quantità di tempo di attesa dopo l'attivazione di un avviso prima di attivare nuovamente le azioni.
      Controllare l'archiviazione collegata all'area di lavoro	Selezionare se è configurata l'archiviazione collegata all'area di lavoro log per gli avvisi. Se non è configurata alcuna risorsa di archiviazione collegata, la regola non viene creata.

   Avviso del log attività

   

   1. Immettere i valori per il nome della regola di avviso e la descrizione della regola di avviso.
   2. Selezionare Abilita al momento della creazione per avviare l'esecuzione della regola di avviso non appena viene creata.

   avviso Integrità risorse

   

   1. Immettere i valori per il nome della regola di avviso e la descrizione della regola di avviso.
   2. Selezionare Abilita al momento della creazione per avviare l'esecuzione della regola di avviso non appena viene creata.

   Avviso di integrità dei servizi

   

   1. Immettere i valori per il nome della regola di avviso e la descrizione della regola di avviso.
   2. Selezionare Abilita al momento della creazione per avviare l'esecuzione della regola di avviso non appena viene creata.

3. (Facoltativo) Nella sezione Proprietà personalizzate, se sono stati configurati gruppi di azioni per questa regola di avviso, è possibile aggiungere proprietà personalizzate da includere nel payload della notifica di avviso. È possibile usare queste proprietà nelle azioni chiamate dal gruppo di azioni, ad esempio webhook, funzioni di Azure o azioni dell'app per la logica.

   Le proprietà personalizzate vengono specificate come coppie key:value, usando testo statico, un valore dinamico estratto dal payload dell'avviso o una combinazione di entrambi.

   Il formato per estrarre un valore dinamico dal payload dell'avviso è: ${<path to schema field>}. Ad esempio: ${data.essentials.monitorCondition}.

   Usare il formato comune dello schema di avviso per specificare il campo nel payload, indipendentemente dal fatto che i gruppi di azioni configurati per la regola di avviso usino lo schema comune.

   

   Negli esempi seguenti, i valori nelle proprietà personalizzate vengono usati per utilizzare i dati di un payload che usa lo schema di avviso comune:

   Esempio 1

   In questo esempio viene creato un tag "Dettagli aggiuntivi" con i dati relativi all'ora di inizio della finestra e all'ora di fine della finestra.

   • Nome: "Dettagli aggiuntivi"
   • Valore: "Finestra di valutazioneStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
   • Risultato: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

   Esempio 2 Questo esempio aggiunge i dati relativi al motivo della risoluzione o dell'attivazione dell'avviso.

   • Nome: "Avviso ${data.essentials.monitorCondition} reason"
   • Valore: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Il valore è ${data.alertContext.condition.allOf[0].metricValue}"
   • Risultato: i risultati di esempio possono essere simili ai seguenti:
     • "Motivo risolto avviso: Percentuale CPU GreaterThan5 risolta. Il valore è 3,585"
     • "Avviso attivato motivo": "Percentuale CPU GreaterThan5 attivata. Il valore è 10,585"

   Nota

   Lo schema comune sovrascrive le configurazioni personalizzate. Pertanto, non è possibile usare sia le proprietà personalizzate che lo schema comune per gli avvisi del log.

Completare la creazione della regola di avviso

1. Nella scheda Tag impostare i tag necessari nella risorsa regola di avviso.

   

2. Nella scheda Rivedi e crea la regola viene convalidata e consente di conoscere eventuali problemi.

3. Quando la convalida viene superata e le impostazioni sono state esaminate, selezionare il pulsante Crea.

   

Creare una nuova regola di avviso usando l'interfaccia della riga di comando

È possibile creare una nuova regola di avviso usando l'interfaccia della riga di comando di Azure. Gli esempi di codice seguenti usano Azure Cloud Shell. È possibile visualizzare l'elenco completo dei comandi dell'interfaccia della riga di comando di Azure per Monitoraggio di Azure.

1. Nel portale selezionare Cloud Shell. Al prompt usare i comandi seguenti.

   Avviso metrica

   Per creare una regola di avviso per le metriche, usare il az monitor metrics alert create comando . È possibile visualizzare la documentazione dettagliata sul comando di creazione della regola di avviso delle metriche nella az monitor metrics alert create sezione della documentazione di riferimento dell'interfaccia della riga di comando per gli avvisi delle metriche.

   Per creare una regola di avviso delle metriche che monitora se la percentuale media di CPU in una macchina virtuale è maggiore di 90:

    az monitor metrics alert create -n {nameofthealert} -g {ResourceGroup} --scopes {VirtualMachineResourceID} --condition "avg Percentage CPU > 90" --description {descriptionofthealert}
   

   Avviso del log

   Il supporto dell'interfaccia della riga di comando di Azure è disponibile solo per la versione 2021-08-01 dell'API scheduledQueryRules e versioni successive. Le versioni precedenti dell'API possono usare l'interfaccia della riga di comando di Azure Resource Manager con i modelli. Se si usa l'API di avviso di Log Analytics legacy, passare all'uso dell'interfaccia della riga di comando. Altre informazioni sul passaggio.

   Per creare una regola di avviso del log che monitora il numero di errori degli eventi di sistema:

   az monitor scheduled-query create -g {ResourceGroup} -n {nameofthealert} --scopes {vm_id} --condition "count \'union Event, Syslog | where TimeGenerated > a(1h) | where EventLevelName == \"Error\" or SeverityLevel== \"err\"\' > 2" --description {descriptionofthealert}
   

   Avviso del log attività

   Per creare una nuova regola di avviso del log attività, usare i comandi seguenti:

   • az monitor activity-log alert create: creare una nuova risorsa della regola di avviso del log attività.
   • az monitor activity-log alert scope: aggiungere l'ambito per la regola di avviso del log attività creata.
   • az monitor activity-log alert action-group: aggiungere un gruppo di azioni alla regola di avviso del log attività.

   È possibile trovare documentazione dettagliata sul comando di creazione della regola di avviso del log attività nella az monitor activity-log alert create sezione della documentazione di riferimento dell'interfaccia della riga di comando per gli avvisi del log attività.

   avviso Integrità risorse

   Per creare una nuova regola di avviso del log attività, usare i comandi seguenti usando la Resource Health categoria :

   • az monitor activity-log alert create: creare una nuova risorsa della regola di avviso del log attività.
   • az monitor activity-log alert scope: aggiungere l'ambito per la regola di avviso del log attività creata.
   • az monitor activity-log alert action-group: aggiungere un gruppo di azioni alla regola di avviso del log attività.

   È possibile trovare documentazione dettagliata sul comando di creazione della regola di avviso nella az monitor activity-log alert create sezione della documentazione di riferimento dell'interfaccia della riga di comando per gli avvisi del log attività.

   Avviso di integrità dei servizi

   Per creare una nuova regola di avviso del log attività, usare i comandi seguenti usando la Service Health categoria :

   • az monitor activity-log alert create: creare una nuova risorsa della regola di avviso del log attività.
   • az monitor activity-log alert scope: aggiungere l'ambito per la regola di avviso del log attività creata.
   • az monitor activity-log alert action-group: aggiungere un gruppo di azioni alla regola di avviso del log attività.

   È possibile trovare documentazione dettagliata sul comando di creazione della regola di avviso nella az monitor activity-log alert create sezione della documentazione di riferimento dell'interfaccia della riga di comando per gli avvisi del log attività.

---

Creare una nuova regola di avviso con PowerShell

• Per creare una regola di avviso delle metriche con PowerShell, usare il cmdlet Add-AzMetricAlertRuleV2 .
• Per creare una regola di avviso del log con PowerShell, usare il cmdlet New-AzScheduledQueryRule .
• Per creare una regola di avviso del log attività tramite PowerShell, usare il cmdlet Set-AzActivityLogAlert .

Creare una nuova regola di avviso usando un modello di Resource Manager

È possibile usare un modello di Azure Resource Manager per configurare le regole di avviso in modo coerente in tutti gli ambienti.

1. Creare una nuova risorsa usando i tipi di risorsa seguenti:
   • Per gli avvisi delle metriche: Microsoft.Insights/metricAlerts
   • Per gli avvisi del log: Microsoft.Insights/scheduledQueryRules
   • Per gli avvisi relativi al log attività, all'integrità dei servizi e all'integrità delle risorse: microsoft.Insights/activityLogAlerts

   Nota

   • Gli avvisi delle metriche per un tipo di risorsa dell'area di lavoro Log Analytics di Azure (Microsoft.OperationalInsights/workspaces) sono configurati in modo diverso rispetto ad altri avvisi delle metriche. Per altre informazioni, vedere Modello di risorsa per gli avvisi delle metriche per i log.
   • È consigliabile creare l'avviso della metrica usando lo stesso gruppo di risorse della risorsa di destinazione.
2. Copiare uno dei modelli da questi modelli di Azure Resource Manager di esempio.
   • Per gli avvisi delle metriche: esempi di modelli di Resource Manager per le regole di avviso delle metriche
   • Per gli avvisi del log: esempi di modelli di Resource Manager per le regole di avviso del log
   • Per gli avvisi del log attività: esempi di modelli di Resource Manager per le regole di avviso del log attività
   • Per gli avvisi di integrità delle risorse: esempi di modelli di Resource Manager per le regole di avviso sull'integrità delle risorse
3. Modificare il file modello per contenere le informazioni appropriate per l'avviso e salvare il file come <your-alert-template-file.json>.
4. Modificare il file di parametri corrispondente per personalizzare l'avviso e salvarlo come <your-alert-template-file.parameters.json>.
5. Impostare il metricName parametro usando uno dei valori nelle metriche supportate da Monitoraggio di Azure.
6. Distribuire il modello usando PowerShell o l'interfaccia della riga di comando.

Proprietà aggiuntive per i modelli arm di avviso del log attività

Nota

• Gli avvisi del log attività vengono definiti a livello di sottoscrizione. Non è possibile definire una singola regola di avviso in più sottoscrizioni.
• Potrebbero essere necessari fino a cinque minuti prima che una nuova regola di avviso del log attività diventi attiva.

I modelli di Resource Manager per gli avvisi del log attività contengono proprietà aggiuntive per i campi delle condizioni. I campi Integrità risorse, Advisor e Integrità dei servizi includono campi di proprietà aggiuntivi.

Campo	Descrizione
resourceId	ID risorsa della risorsa interessata nell'evento del log attività in cui viene generato l'avviso.
Categoria	Categoria dell'evento del log attività. I valori possibili sono Administrative, ServiceHealth, AutoscaleResourceHealth, Security, , Recommendationo Policy.
caller	L'indirizzo di posta elettronica o l'identificatore Microsoft Entra dell'utente che ha eseguito l'operazione dell'evento del log attività.
level	Livello dell'attività nell'evento del log attività per l'avviso. I valori possibili sono Critical, Error, Warning, Informationalo Verbose.
operationName	nome dell'operazione nell'evento del log attività. I valori possibili sono Microsoft.Resources/deployments/write.
resourceGroup	Nome del gruppo di risorse per la risorsa interessata nell'evento del log attività.
resourceProvider	Per altre informazioni, vedere Provider e tipi di risorse di Azure. Per un elenco con il mapping dei provider di risorse ai servizi di Azure, vedere provider di risorse per i servizi di Azure.
stato	stringa che descrive lo stato dell'operazione nell'evento attività. I valori possibili sono Started, In Progress, Succeeded, Failed, Activeo Resolved.
subStatus	In genere, questo campo è il codice di stato HTTP della chiamata REST corrispondente. Questo campo può includere anche altre stringhe che descrivono uno stato secondario. Esempi di codici di stato HTTP includono OK (codice di stato HTTP: 200), No Content (codice di stato HTTP: 204) e Service Unavailable (codice di stato HTTP: 503), tra gli altri.
resourceType	Tipo della risorsa interessata dall'evento. Un esempio è Microsoft.Resources/deployments.

Per altre informazioni sui campi del log attività, vedere Schema degli eventi del log attività di Azure.

Creare una regola di avviso del log attività dal riquadro Log attività

È anche possibile creare un avviso del log attività per eventi futuri simili a un evento del log attività già verificatosi.

1. Nel portale passare al riquadro Log attività.

2. Filtrare o trovare l'evento desiderato. Creare quindi un avviso selezionando Aggiungi avviso del log attività.

   

3. Verrà visualizzata la procedura guidata Crea regola di avviso, con l'ambito e la condizione già specificati in base all'evento del log attività selezionato in precedenza. Se necessario, è possibile modificare l'ambito e la condizione in questa fase. Per impostazione predefinita, l'ambito e la condizione esatti per la nuova regola vengono copiati dagli attributi dell'evento originale. Ad esempio, la risorsa esatta in cui si è verificato l'evento e il nome dell'utente o del servizio specifico che ha avviato l'evento, sono entrambi inclusi per impostazione predefinita nella nuova regola di avviso.

   Se si vuole rendere la regola di avviso più generale, modificare di conseguenza l'ambito e la condizione. Vedere i passaggi da 3 a 9 nella sezione "Creare una nuova regola di avviso nella portale di Azure".

4. Seguire il resto dei passaggi descritti in Creare una nuova regola di avviso nella portale di Azure.

Passaggi successivi

Visualizzare e gestire le istanze di avviso