Esercitazione: Creare un avviso di ricerca log per una risorsa di Azure
Gli avvisi di Monitoraggio di Azure notificano in modo proattivo quando vengono riscontrate importanti condizioni nei dati di monitoraggio. Le regole di avviso di ricerca log creano un avviso quando una query di log restituisce un determinato risultato. Ad esempio, ricevere un avviso quando viene creato un determinato evento in una macchina virtuale o inviare un avviso quando vengono effettuate richieste anonime eccessive a un account di archiviazione.
In questa esercitazione apprenderai a:
- Accedere alle query di log predefinite progettate per supportare regole di avviso per diversi tipi di risorse
- Creare una regola di avviso di ricerca log
- Creare un gruppo di azioni per definire i dettagli delle notifiche
Prerequisiti
Per completare l'esercitazione è necessario quanto segue:
- Una risorsa di Azure da monitorare. È possibile usare tutte le risorse della sottoscrizione di Azure che supportano le impostazioni di diagnostica. Per determinare se una risorsa supporta le impostazioni di diagnostica, passare al relativo menu nel portale di Azure e verificare se è presente un'opzione Impostazioni di diagnostica nella sezione Monitoraggio del menu.
Se si usa una risorsa di Azure diversa da una macchina virtuale:
- Impostazione di diagnostica per inviare i log delle risorse dalla risorsa di Azure a un'area di lavoro Log Analytics. Vedere Esercitazione: Creare un'area di lavoro Log Analytics in Monitoraggio di Azure.
Se si usa una macchina virtuale di Azure:
- Regola di raccolta dati per inviare log guest e metriche a un'area di lavoro Log Analytics. Vedere Esercitazione: Raccogliere i log guest e le metriche dalla macchina virtuale di Azure.
Selezionare una query di log e verificare i risultati
I dati vengono recuperati da un'area di lavoro Log Analytics tramite una query su log scritta nel linguaggio di query Kusto (KQL). Informazioni dettagliate e soluzioni in Monitoraggio di Azure forniscono query di log per recuperare i dati per un determinato servizio, ma è possibile lavorare direttamente con le query di log e i relativi risultati nella portale di Azure con Log Analytics.
Selezionare Log dal menu delle risorse. Si apre Log Analytics con la finestra Query che include query predefinite per il tipo di risorsa. Selezionare Avvisi per visualizzare le query progettate per le regole di avviso.
Nota
Se la finestra Query non è aperta, fare clic su Query in alto a destra.
Selezionare una query e fare clic su Esegui per caricarla nell'editor di query e restituire i risultati. È possibile modificare la query ed eseguirla di nuovo. Ad esempio, la query Mostra richieste anonime per gli account di archiviazione è illustrata nello screenshot seguente. È possibile modificare AuthenticationType o filtrare in base a una colonna diversa.
Crea regola di avviso
Dopo aver verificato la query, è possibile creare la regola di avviso. Selezionare Nuova regola di avviso per creare una nuova regola di avviso in base alla query di log corrente. L'ambito è già impostato sulla risorsa corrente. Non è necessario modificare questo valore.
Configurare la condizione
Nella scheda Condizione la query di log è già compilata. La sezione Misurazione definisce il modo in cui vengono misurati i record della query di log. Se la query non esegue un riepilogo, l'unica opzione consiste nel contare il numero di righe di tabella. Se la query include una o più colonne riepilogate, è possibile usare il numero di righe di tabella o un calcolo basato su una delle colonne riepilogate. La granularità delle aggregazioni definisce l'intervallo di tempo in cui vengono aggregati i valori raccolti. Ad esempio, se la granularità dell'aggregazione è impostata su 5 minuti, la regola di avviso valuta i dati aggregati negli ultimi 5 minuti. Se la granularità delle aggregazioni è impostata su 15 minuti, la regola di avviso valuta i dati aggregati negli ultimi 15 minuti. È importante scegliere la granularità di aggregazione corretta per la regola di avviso, in quanto può influire sull'accuratezza dell'avviso.
Nota
Le dimensioni combinate di tutti i dati nelle proprietà della regola di avviso del log non possono superare i 64 KB. Ciò può essere causato da troppe dimensioni, dalla query troppo grande, da troppi gruppi di azioni o da una descrizione lunga. Quando si crea una regola di avviso di grandi dimensioni, ricordarsi di ottimizzare queste aree.
Configurare le dimensioni
La suddivisione in base alle dimensioni consente di creare avvisi separati per risorse diverse. Questa impostazione è utile quando si crea una regola di avviso che si applica a più risorse. Con l'ambito impostato su una singola risorsa, questa impostazione in genere non viene usata.
Se sono necessarie determinate dimensioni incluse nel messaggio di posta elettronica di notifica degli avvisi, è possibile specificare una dimensione ,ad esempio "Computer", il messaggio di posta elettronica di notifica dell'avviso includerà il nome del computer che ha attivato l'avviso. Il motore di avvisi usa la query di avviso per determinare le dimensioni disponibili. Se non viene visualizzata la dimensione desiderata nell'elenco a discesa per "Nome dimensione", la query di avviso non espone tale colonna nei risultati. È possibile aggiungere facilmente le dimensioni desiderate aggiungendo una riga di Progetto alla query che include le colonne da usare. È anche possibile usare la riga Summarize per aggiungere altre colonne ai risultati della query.
Configurare la logica degli avvisi
Nella logica di avviso configurare il valore Operator e Threshold per confrontare il valore restituito dalla misurazione. Quando questo valore è true, viene creato un avviso. Selezionare un valore per Frequenza di valutazione che definisce la frequenza con cui viene eseguita e valutata la query di log. Il costo per la regola di avviso aumenta con una frequenza inferiore. Quando si seleziona una frequenza, viene visualizzato il costo mensile stimato oltre a un'anteprima dei risultati della query in un periodo di tempo.
Ad esempio, se la misura è Tabella righe, la logica di avviso può essere maggiore di 0 che indica che è stato restituito almeno un record. Se la misura è un valore di colonne, potrebbe essere necessario che la logica sia maggiore o minore di un determinato valore soglia. Nell'esempio seguente la query di log cerca richieste anonime a un account di archiviazione. Se viene effettuata una richiesta anonima, è necessario attivare un avviso. In questo caso, una singola riga restituita attiverà l'avviso, quindi la logica dell'avviso deve essere maggiore di 0.
Configurazione di azioni
I gruppi di azioni definiscono un set di azioni da eseguire quando viene generato un avviso, ad esempio l'invio di un messaggio di posta elettronica o un messaggio SMS.
Per configurare le azioni, selezionare la scheda Azioni .
Fare clic su Seleziona gruppi di azioni per aggiungerne uno alla regola di avviso.
Se non si ha già un gruppo di azioni nella sottoscrizione da selezionare, fare clic su Crea gruppo di azioni per crearne uno nuovo.
Selezionare una sottoscrizione e un gruppo di risorse per il gruppo di azioni e assegnargli un nome gruppo di azioni che verrà visualizzato nel portale e un nome visualizzato che verrà visualizzato nelle notifiche tramite posta elettronica e SMS.
Selezionare la scheda Notifiche e aggiungere uno o più metodi per notificare agli utenti appropriati quando viene generato l'avviso.
Configurare i dettagli
Selezionare la scheda Dettagli e configurare impostazioni diverse per la regola di avviso.
- Nome della regola di avviso che deve essere descrittivo perché verrà visualizzato quando viene generato l'avviso.
- Specificare facoltativamente una descrizione della regola di avviso inclusa nei dettagli dell'avviso.
- Sottoscrizione e gruppo di risorse in cui verrà archiviata la regola di avviso. Non è necessario che si trovi nello stesso gruppo di risorse della risorsa monitorata.
- Gravità per l'avviso. La gravità consente di raggruppare gli avvisi con un'importanza relativa simile. La gravità dell'errore è appropriata per una macchina virtuale che non risponde.
- In Opzioni avanzate mantenere selezionata la casella Abilita al momento della creazione.
- In Opzioni avanzate mantenere la casella selezionata per Risolvere automaticamente gli avvisi. Ciò rende l'avviso con stato, il che significa che l'avviso viene risolto quando la condizione non viene più soddisfatta.
Fare clic su Crea regola di avviso per creare la regola di avviso.
Visualizzare l'avviso
Quando viene generato un avviso, invia tutte le notifiche nei relativi gruppi di azioni. È anche possibile visualizzare l'avviso nel portale di Azure.
Selezionare Avvisi dal menu della risorsa. Se sono presenti avvisi aperti per le risorse, vengono inclusi nella visualizzazione.
Fare clic su una gravità per visualizzare gli avvisi con tale gravità. Selezionare La risposta utente e deselezionare Chiuso per visualizzare solo gli avvisi aperti.
Fare clic sul nome di un avviso per visualizzarne i dettagli.
Passaggi successivi
Dopo aver appreso come creare un avviso di ricerca log per una risorsa di Azure, vedere le cartelle di lavoro per la creazione di visualizzazioni interattive dei dati di monitoraggio.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per