Een waarschuwingsregel voor zoeken in logboeken maken of bewerken
In dit artikel leest u hoe u een nieuwe waarschuwingsregel voor zoeken in logboeken maakt of een bestaande waarschuwingsregel voor zoeken in logboeken bewerkt in Azure Monitor. Zie het overzicht van waarschuwingen voor meer informatie over waarschuwingen.
Waarschuwingsregels combineren de resources die moeten worden bewaakt, de bewakingsgegevens van de resource en de voorwaarden waaraan u de waarschuwing wilt activeren. Vervolgens kunt u actiegroepen en waarschuwingsverwerkingsregels definiëren om te bepalen wat er gebeurt wanneer een waarschuwing wordt geactiveerd.
Waarschuwingen die worden geactiveerd door deze waarschuwingsregels bevatten een nettolading die gebruikmaakt van het algemene waarschuwingsschema.
Vereisten
Als u een waarschuwingsregel wilt maken of bewerken, moet u over de volgende machtigingen beschikken:
- Leesmachtiging voor de doelresource van de waarschuwingsregel.
- Schrijfmachtiging voor de resourcegroep waarin de waarschuwingsregel wordt gemaakt. Als u de waarschuwingsregel maakt vanuit Azure Portal, wordt de waarschuwingsregel standaard gemaakt in dezelfde resourcegroep waarin de doelresource zich bevindt.
- Leesmachtiging voor een actiegroep die is gekoppeld aan de waarschuwingsregel, indien van toepassing.
De wizard Waarschuwingsregel openen in Azure Portal
Er zijn meerdere manieren om een waarschuwingsregel te maken of te bewerken.
Een waarschuwingsregel maken of bewerken vanaf de startpagina van de portal
- Selecteer Monitor in Azure Portal.
- Selecteer Waarschuwingen in het linkerdeelvenster.
- Selecteer + Waarschuwingsregel maken>.
Een waarschuwingsregel maken of bewerken vanuit een specifieke resource
- Ga in Azure Portal naar de resource.
- Selecteer Waarschuwingen in het linkerdeelvenster.
- Selecteer + Waarschuwingsregel maken>.
Een bestaande waarschuwingsregel bewerken
Selecteer waarschuwingen in het linkerdeelvenster in Azure Portal, op de startpagina of vanuit een specifieke resource.
Selecteer Waarschuwingsregels.
Selecteer de waarschuwingsregel die u wilt bewerken en selecteer Vervolgens Bewerken.
Selecteer een van de tabbladen voor de waarschuwingsregel om de instellingen te bewerken.
Het bereik van de waarschuwingsregel configureren
Stel in het deelvenster Een resource selecteren het bereik voor de waarschuwingsregel in. U kunt filteren op abonnement, resourcetype of resourcelocatie.
Selecteer Toepassen.
Voorwaarden voor waarschuwingsregels configureren
Wanneer u het veld Signaalnaam selecteert, selecteert u Aangepast zoeken in logboeken op het tabblad Voorwaarde. Of selecteer Alle signalen weergeven als u een ander signaal voor de voorwaarde wilt kiezen.
(Optioneel) Als u alle signalen in de vorige stap weergeven hebt geselecteerd, gebruikt u het deelvenster Een signaal selecteren om naar de signaalnaam te zoeken of de lijst met signalen te filteren. Filteren op:
- Signaaltype: Selecteer Zoeken in logboeken.
- Signaalbron: de service die de aangepaste logboekzoekopdrachten en logboeksignalen (opgeslagen query's) verzendt. Selecteer de signaalnaam en selecteer vervolgens Toepassen.
Schrijf in het deelvenster Logboeken een query die de logboek gebeurtenissen retourneert waarvoor u een waarschuwing wilt maken. Als u een van de vooraf gedefinieerde waarschuwingsregelquery's wilt gebruiken, vouwt u het schema en filtervenster naast het deelvenster Logboeken uit. Selecteer vervolgens het tabblad Query's en selecteer een van de query's.
Houd rekening met deze beperkingen voor query's voor waarschuwingsregels voor zoeken in logboeken:
- Query's voor waarschuwingsregels voor zoeken in logboeken bieden geen ondersteuning voor
bag_unpack()
,pivot()
ennarrow()
. - Query's voor waarschuwingsregels voor zoeken in logboeken bieden alleen ondersteuning voor ago() met letterlijke tijdsduur .
AggregatedValue
is een gereserveerd woord. U kunt deze niet gebruiken in de query voor waarschuwingsregels voor zoeken in logboeken.- De gecombineerde grootte van alle gegevens in de eigenschappen van de waarschuwingsregels voor zoeken in logboeken mag niet groter zijn dan 64 kB.
- Bij het definiëren van aangepaste functies in de KQL-query voor waarschuwingen voor zoeken in logboeken is het belangrijk om voorzichtig te zijn met functiecode die relatieve tijdclausules bevat (bijvoorbeeld now()). Aangepaste functies met relatieve tijdclausules die niet zijn gedefinieerd in de KQL-query voor logboekzoekwaarschuwingen zelf, kunnen inconsistenties veroorzaken in queryresultaten, die mogelijk van invloed zijn op de nauwkeurigheid en betrouwbaarheid van waarschuwingsevaluaties. Daarom:
- Om nauwkeurige en tijdige waarschuwingen te garanderen, definieert u altijd relatieve tijdclausules rechtstreeks in de KQL-query voor logboekzoekopdrachten.
- Als tijdsbereiken nodig zijn binnen de functie, moeten ze worden doorgegeven als parameters en worden gebruikt in de functie.
- Query's voor waarschuwingsregels voor zoeken in logboeken bieden geen ondersteuning voor
(Optioneel) Als u een query uitvoert op een Azure Data Explorer- of Azure Resource Graph-cluster, kan de Log Analytics-werkruimte de kolom niet automatisch identificeren met het tijdstempel van de gebeurtenis. U wordt aangeraden een tijdsbereikfilter toe te voegen aan de query. Voorbeeld:
adx('https://help.kusto.windows.net/Samples').table | where MyTS >= ago(5m) and MyTS <= now()
arg("").Resources | where type =~ 'Microsoft.Compute/virtualMachines' | project _ResourceId=tolower(id), tags
Voorbeeldquery's voor zoeken in logboeken zijn beschikbaar voor Azure Data Explorer en Resource Graph.
Query's tussen services worden niet ondersteund in overheidsclouds. Zie Querybeperkingen voor meerdere services en Azure Resource Graph-tabellen combineren met een Log Analytics-werkruimte voor meer informatie over beperkingen.
Selecteer Uitvoeren om de waarschuwing uit te voeren.
In de sectie Voorbeeld ziet u de queryresultaten. Wanneer u klaar bent met het bewerken van de query, selecteert u Waarschuwing doorgaan met bewerken.
Het tabblad Voorwaarde wordt geopend en wordt gevuld met uw logboekquery. De regel telt standaard het aantal resultaten in de afgelopen vijf minuten. Als het systeem samengevatte queryresultaten detecteert, wordt de regel automatisch bijgewerkt met die informatie.
Selecteer in de sectie Meting waarden voor deze velden:
Veld Beschrijving Meten Waarschuwingen voor zoeken in logboeken kunnen twee dingen meten die u kunt gebruiken voor verschillende bewakingsscenario's:
Tabelrijen: u kunt het aantal geretourneerde rijen gebruiken om te werken met gebeurtenissen zoals Windows-gebeurtenislogboeken, Syslog en toepassingsuitzonderingen.
Berekening van een numerieke kolom: U kunt berekeningen gebruiken op basis van elke numerieke kolom om een willekeurig aantal resources op te nemen. Een voorbeeld is cpu-percentage.Aggregatietype De berekening die wordt uitgevoerd op meerdere records om ze te aggregeren naar één numerieke waarde met behulp van de aggregatiegranulariteit. Voorbeelden zijn Totaal, Gemiddelde, Minimum en Maximum. Aggregatiegranulariteit Het interval voor het samenvoegen van meerdere records tot één numerieke waarde. (Optioneel) In de sectie Splitsen op dimensies kunt u dimensies gebruiken om context te bieden voor de geactiveerde waarschuwing.
Dimensies zijn kolommen uit uw queryresultaten die extra gegevens bevatten. Wanneer u dimensies gebruikt, worden met de waarschuwingsregel de queryresultaten gegroepeerd op basis van de dimensiewaarden en worden de resultaten van elke groep afzonderlijk geëvalueerd. Als aan de voorwaarde wordt voldaan, wordt met de regel een waarschuwing voor die groep geactiveerd. De nettolading van de waarschuwing bevat de combinatie die de waarschuwing heeft geactiveerd.
U kunt maximaal zes dimensies per waarschuwingsregel toepassen. Dimensies kunnen alleen tekenreeks- of numerieke kolommen zijn. Als u een kolom wilt gebruiken die geen getal of tekenreekstype is als dimensie, moet u deze converteren naar een tekenreeks of numerieke waarde in uw query. Als u meer dan één dimensiewaarde selecteert, wordt voor elke tijdreeks die het resultaat is van de combinatie een eigen waarschuwing geactiveerd en afzonderlijk in rekening gebracht.
Voorbeeld:
- U kunt dimensies gebruiken om het CPU-gebruik te bewaken op meerdere exemplaren waarop uw website of app wordt uitgevoerd. Elk exemplaar wordt afzonderlijk bewaakt en meldingen worden verzonden voor elk exemplaar waarbij het CPU-gebruik de geconfigureerde waarde overschrijdt.
- U kunt besluiten om niet te splitsen op dimensies wanneer u een voorwaarde wilt toepassen op meerdere resources in het bereik. U kunt bijvoorbeeld geen dimensies gebruiken als u een waarschuwing wilt activeren als ten minste vijf computers in het bereik van de resourcegroep CPU-gebruik hebben boven de geconfigureerde waarde.
Als het bereik van de waarschuwingsregel een werkruimte is, worden de waarschuwingen in de werkruimte geactiveerd. Als u een afzonderlijke waarschuwing wilt voor elke betrokken Azure-resource, kunt u het volgende doen:
Gebruik de kolom Azure Resource ID van Azure Resource Manager als dimensie. Wanneer u deze optie gebruikt, wordt de waarschuwing in de werkruimte geactiveerd met de kolom Azure-resource-id als dimensie.
Geef de waarschuwing op als een dimensie in de eigenschap Azure-resource-id . Met deze optie wordt de resource die door uw query wordt geretourneerd, het doel van de waarschuwing geretourneerd. Waarschuwingen worden vervolgens geactiveerd op de resource die uw query retourneert, zoals een virtuele machine of een opslagaccount, in plaats van de werkruimte.
Wanneer u deze optie gebruikt, kunnen waarschuwingen worden geactiveerd voor resources uit een ander abonnement dan het waarschuwingsregelabonnement als de werkruimte gegevens ophaalt uit resources van een ander abonnement dan het waarschuwingsregelabonnement.
Selecteer waarden voor deze velden:
Veld Beschrijving Dimensienaam Dimensies kunnen getal- of tekenreekskolommen zijn. Dimensies worden gebruikt om specifieke tijdreeksen te bewaken en context te bieden voor een geactiveerde waarschuwing. Operator De operator die wordt gebruikt voor de dimensienaam en -waarde. Dimensiewaarden De dimensiewaarden zijn gebaseerd op gegevens van de afgelopen 48 uur. Selecteer Aangepaste waarde toevoegen om aangepaste dimensiewaarden toe te voegen. Alle toekomstige waarden opnemen Selecteer dit veld om toekomstige waarden op te nemen die aan de geselecteerde dimensie zijn toegevoegd. Selecteer in de sectie Waarschuwingslogica waarden voor deze velden:
Veld Beschrijving Operator De queryresultaten worden omgezet in een getal. Selecteer in dit veld de operator die u wilt gebruiken om het getal te vergelijken met de drempelwaarde. Drempelwaarde Een getalwaarde voor de drempelwaarde. Frequentie van evaluatie Hoe vaak de query wordt uitgevoerd. U kunt deze instellen vanaf één minuut tot één dag (24 uur). Notitie
De frequentie is geen specifiek tijdstip waarop de waarschuwing elke dag wordt uitgevoerd. Dit is hoe vaak de waarschuwingsregel wordt uitgevoerd.
Er zijn enkele beperkingen voor het gebruik van een waarschuwingsregelfrequentie van één minuut. Wanneer u de frequentie van de waarschuwingsregel op één minuut instelt, wordt er een interne wijziging uitgevoerd om de query te optimaliseren. Deze wijziging kan ervoor zorgen dat de query mislukt als deze niet-ondersteunde bewerkingen bevat. De meest voorkomende redenen waarom een query niet wordt ondersteund, zijn:
- De query bevat de
search
bewerking ,union
oftake
(limiet). - De query bevat de
ingestion_time()
functie. - De query maakt gebruik van het
adx
patroon. - De query roept een functie aan die andere tabellen aanroept.
Voorbeeldquery's voor zoeken in logboeken zijn beschikbaar voor Azure Data Explorer en Resource Graph.
- De query bevat de
(Optioneel) In de sectie Geavanceerde opties kunt u het aantal fouten en de evaluatieperiode voor waarschuwingen opgeven die nodig zijn om een waarschuwing te activeren. Als u bijvoorbeeld Aggregatiegranulariteit instelt op 5 minuten, kunt u opgeven dat u alleen een waarschuwing wilt activeren als er in het afgelopen uur drie fouten (15 minuten) zijn opgetreden. Het bedrijfsbeleid van uw toepassing bepaalt deze instelling.
Selecteer waarden voor deze velden onder Aantal schendingen om de waarschuwing te activeren:
Veld Beschrijving Aantal schendingen Het aantal schendingen dat de waarschuwing activeert. Evaluatieperiode De periode waarin het aantal schendingen plaatsvindt. Tijdsbereik voor query's overschrijven Als u wilt dat de evaluatieperiode van de waarschuwing verschilt van het tijdsbereik van de query, voert u hier een tijdsbereik in.
Het tijdsbereik voor waarschuwingsregels is beperkt tot maximaal twee dagen. Zelfs als de query eenago
opdracht bevat met een tijdsbereik van meer dan twee dagen, wordt het maximale tijdsbereik van twee dagen toegepast. Zelfs als de querytekst bijvoorbeeld bevatago(7d)
, scant de query slechts twee dagen aan gegevens. Als de query meer gegevens vereist dan de evaluatie van de waarschuwing, kunt u het tijdsbereik voor de query handmatig wijzigen. Als de query eenago
opdracht bevat, wordt deze automatisch gewijzigd in twee dagen (48 uur).Notitie
Als u of uw beheerder azure policy Azure Log Search-waarschuwingen voor Log Analytics-werkruimten heeft toegewezen, moet u door de klant beheerde sleutels gebruiken. Selecteer Gekoppelde werkruimteopslag controleren. Als u dit niet doet, mislukt het maken van de regel omdat deze niet voldoet aan de beleidsvereisten.
In de preview-grafiek ziet u de resultaten van queryevaluaties in de loop van de tijd. U kunt de grafiekperiode wijzigen of verschillende tijdreeksen selecteren die het gevolg zijn van een unieke waarschuwing die wordt gesplitst op dimensies.
Selecteer Gereed. Vanaf dit moment kunt u op elk gewenst moment de knop Beoordelen en maken selecteren.
Acties voor waarschuwingsregels configureren
Selecteer of maak de vereiste actiegroepen op het tabblad Acties.
Details van waarschuwingsregel configureren
Selecteer op het tabblad Details onder Projectdetails de waarden abonnement en resourcegroep .
Onder Details van waarschuwingsregel:
Selecteer de ernstwaarde .
Voer waarden in voor de naam van de waarschuwingsregel en de beschrijving van de waarschuwingsregel.
Notitie
Een regel die gebruikmaakt van een identiteit kan niet de puntkomma (;) teken in de waarde van de waarschuwingsregelnaam hebben.
Selecteer de waarde Regio .
Selecteer in de sectie Identiteit welke identiteit de waarschuwingsregel voor zoeken in logboeken gebruikt voor verificatie wanneer de logboekquery wordt verzonden.
Houd rekening met deze punten wanneer u een identiteit selecteert:
- Een beheerde identiteit is vereist als u een query verzendt naar Azure Data Explorer of Resource Graph.
- Gebruik een beheerde identiteit als u de machtigingen wilt kunnen bekijken of bewerken die zijn gekoppeld aan de waarschuwingsregel.
- Als u geen beheerde identiteit gebruikt, zijn de machtigingen voor waarschuwingsregels gebaseerd op de machtigingen van de laatste gebruiker om de regel te bewerken, op het moment dat de regel voor het laatst is bewerkt.
- Gebruik een beheerde identiteit om te voorkomen dat de regel niet werkt zoals verwacht omdat de gebruiker die de regel het laatst heeft bewerkt, geen machtigingen heeft voor alle resources die zijn toegevoegd aan het bereik van de regel.
De identiteit die aan de regel is gekoppeld, moet de volgende rollen hebben:
- Als de query toegang heeft tot een Log Analytics-werkruimte, moet aan de identiteit een lezerrol worden toegewezen voor alle werkruimten waartoe de query toegang heeft. Als u resourcegerichte waarschuwingen voor zoeken in logboeken maakt, heeft de waarschuwingsregel mogelijk toegang tot meerdere werkruimten en moet de identiteit een lezerrol hebben voor al deze werkruimten.
- Als u een query uitvoert op een Azure Data Explorer- of Resource Graph-cluster, moet u de rol lezer toevoegen voor alle gegevensbronnen waartoe de query toegang heeft. Als de query bijvoorbeeld gericht is op resources, heeft deze een lezerrol voor die resource nodig.
- Als de query toegang heeft tot een extern Azure Data Explorer-cluster, moet de identiteit worden toegewezen:
- Een lezerrol voor alle gegevensbronnen waartoe de query toegang heeft. Als de query bijvoorbeeld een extern Azure Data Explorer-cluster aanroept met behulp van de
adx()
functie, heeft deze een lezerrol nodig voor dat Azure Data Explorer-cluster. - Een databaseviewerrol voor alle databases waartoe de query toegang heeft.
- Een lezerrol voor alle gegevensbronnen waartoe de query toegang heeft. Als de query bijvoorbeeld een extern Azure Data Explorer-cluster aanroept met behulp van de
Zie Beheerde identiteiten voor Azure-resources voor gedetailleerde informatie over beheerde identiteiten.
Selecteer een van de volgende opties voor de identiteit die door de waarschuwingsregel wordt gebruikt:
Optie Identiteit Beschrijving Geen Waarschuwingsregelmachtigingen zijn gebaseerd op de machtigingen van de laatste gebruiker die de regel heeft bewerkt, op het moment dat de regel is bewerkt. Door het systeem toegewezen beheerde identiteit inschakelen Azure maakt een nieuwe, toegewezen identiteit voor deze waarschuwingsregel. Deze identiteit heeft geen machtigingen en wordt automatisch verwijderd wanneer de regel wordt verwijderd. Nadat u de regel hebt gemaakt, moet u machtigingen toewijzen aan deze identiteit om toegang te krijgen tot de benodigde werkruimte en gegevensbronnen voor de query. Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van machtigingen. Waarschuwingsregels voor zoeken in logboeken die gekoppelde opslag gebruiken, worden niet ondersteund. Door de gebruiker toegewezen beheerde identiteit inschakelen Voordat u de waarschuwingsregel maakt, maakt u een identiteit en wijst u deze juiste machtigingen toe voor de logboekquery. Dit is een gewone Azure-identiteit. U kunt één identiteit gebruiken in meerdere waarschuwingsregels. De identiteit wordt niet verwijderd wanneer de regel wordt verwijderd. Wanneer u dit type identiteit selecteert, wordt er een deelvenster geopend waarin u de bijbehorende identiteit voor de regel kunt selecteren. (Optioneel) In de sectie Geavanceerde opties kunt u verschillende opties instellen:
Veld Beschrijving Inschakelen bij het maken Selecteer deze optie om ervoor te zorgen dat de waarschuwingsregel wordt uitgevoerd zodra u klaar bent met het maken ervan. Waarschuwingen automatisch oplossen Selecteer deze optie om de waarschuwing stateful te maken. Wanneer een waarschuwing stateful is, wordt de waarschuwing opgelost wanneer niet meer aan de voorwaarde wordt voldaan voor een specifiek tijdsbereik. Het tijdsbereik verschilt op basis van de frequentie van de waarschuwing:
1 minuut: aan de waarschuwingsvoorwaarde wordt niet 10 minuten voldaan.
5 tot 15 minuten: aan de waarschuwingsvoorwaarde wordt niet voldaan voor drie frequentieperioden.
15 minuten tot 11 uur: aan de waarschuwingsvoorwaarde wordt niet voldaan voor twee frequentieperioden.
11 tot 12 uur: Aan de waarschuwingsvoorwaarde wordt niet voor één frequentieperiode voldaan.
Houd er rekening mee dat stateful waarschuwingen voor zoeken in logboeken deze beperkingen hebben.Acties dempen Selecteer deze optie om een periode in te stellen waarop moet worden gewacht voordat waarschuwingsacties opnieuw worden geactiveerd. Selecteer in de acties Dempen voor het veld dat wordt weergegeven de hoeveelheid tijd die moet worden gewacht nadat een waarschuwing is geactiveerd voordat acties opnieuw worden geactiveerd. Gekoppelde werkruimteopslag controleren Selecteer deze optie als gekoppelde werkruimteopslag voor waarschuwingen is geconfigureerd. Als er geen gekoppelde opslag is geconfigureerd, wordt de regel niet gemaakt. -
(Optioneel) Als deze waarschuwingsregel actiegroepen bevat, kunt u in de sectie Aangepaste eigenschappen uw eigen eigenschappen toevoegen om op te nemen in de nettolading van de waarschuwingsmelding. U kunt deze eigenschappen gebruiken in de acties die door de actiegroep worden aangeroepen, zoals door een webhook, azure-functie of actie voor logische apps.
De aangepaste eigenschappen worden opgegeven als sleutel-waardeparen met behulp van statische tekst, een dynamische waarde die is geëxtraheerd uit de nettolading van de waarschuwing of een combinatie van beide.
De indeling voor het extraheren van een dynamische waarde uit de nettolading van de waarschuwing is:
${<path to schema field>}
. Voorbeeld:${data.essentials.monitorCondition}
.Gebruik de indeling van het algemene waarschuwingsschema om het veld in de nettolading op te geven, ongeacht of de actiegroepen die voor de waarschuwingsregel zijn geconfigureerd, gebruikmaken van het algemene schema.
Notitie
- Aangepaste eigenschappen worden toegevoegd aan de nettolading van de waarschuwing, maar worden niet weergegeven in de e-mailsjabloon of in de waarschuwingsdetails in Azure Portal.
In de volgende voorbeelden worden waarden in aangepaste eigenschappen gebruikt om gegevens te gebruiken van een nettolading die gebruikmaakt van het algemene waarschuwingsschema.
In dit voorbeeld wordt een tag Aanvullende details gemaakt met gegevens met betrekking tot de begin- en eindtijd van het venster:
- Naam:
Additional Details
- Waarde:
Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
- Resultaat:
AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z
In dit voorbeeld worden gegevens toegevoegd met betrekking tot de reden voor het oplossen of activeren van de waarschuwing:
- Naam:
Alert ${data.essentials.monitorCondition} reason
- Waarde:
${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
- Mogelijke resultaten:
Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585
Waarschuwingsregeltags configureren
Stel op het tabblad Tags de vereiste tags in voor de resource van de waarschuwingsregel.
De waarschuwingsregel controleren en maken
Op het tabblad Controleren en maken wordt de regel gevalideerd. Als er een probleem is, gaat u terug en lost u het op.
Wanneer de validatie is geslaagd en u de instellingen hebt gecontroleerd, selecteert u de knop Maken.