Waarschuwingsregels beheren die in eerdere versies zijn gemaakt
In dit artikel wordt het proces beschreven voor het beheren van waarschuwingsregels die zijn gemaakt in de vorige gebruikersinterface of met behulp van api-versie 2018-04-16
of eerder. Waarschuwingsregels die zijn gemaakt in de nieuwste gebruikersinterface, worden bekeken en beheerd in de nieuwe gebruikersinterface, zoals beschreven in Waarschuwingen voor zoeken in logboeken maken, weergeven en beheren met behulp van Azure Monitor.
Wijzigingen in het maken van waarschuwingsregels voor logboekzoekopdrachten
De huidige wizard waarschuwingsregel verschilt van de eerdere ervaring:
- Voorheen werden zoekresultaten opgenomen in de nettolading van de geactiveerde waarschuwing en de bijbehorende meldingen. De e-mail bevatte slechts 10 rijen uit de niet-gefilterde resultaten terwijl de nettolading van de webhook 1000 niet-gefilterde resultaten bevatte. Voor gedetailleerde contextinformatie over de waarschuwing, zodat u kunt beslissen over de juiste actie:
- U wordt aangeraden dimensies te gebruiken. Dimensies bieden de kolomwaarde die de waarschuwing heeft geactiveerd, waardoor u context krijgt voor de reden waarom de waarschuwing is geactiveerd en hoe u het probleem kunt oplossen.
- Wanneer u in de logboeken wilt onderzoeken, gebruikt u de koppeling in de waarschuwing naar de zoekresultaten in logboeken.
- Als u de onbewerkte zoekresultaten of voor andere geavanceerde aanpassingen nodig hebt, gebruikt u Azure Logic Apps.
- De nieuwe wizard voor waarschuwingsregels biedt geen ondersteuning voor het aanpassen van de JSON-payload.
- Gebruik aangepaste eigenschappen in de nieuwe API om statische parameters en gekoppelde waarden toe te voegen aan de webhookacties die door de waarschuwing worden geactiveerd.
- Gebruik Azure Logic Apps voor meer geavanceerde aanpassingen.
- De nieuwe wizard voor waarschuwingsregels biedt geen ondersteuning voor het aanpassen van het e-mailonderwerp.
- Klanten gebruiken vaak het aangepaste e-mailonderwerp om de resource aan te geven waarover de waarschuwing is verzonden in plaats van de Log Analytics-werkruimte te gebruiken. Gebruik de nieuwe API om een waarschuwing voor de gewenste resource te activeren met behulp van de kolom Resource-id.
- Gebruik Azure Logic Apps voor meer geavanceerde aanpassingen.
Waarschuwingsregels beheren die zijn gemaakt in eerdere versies in Azure Portal
Selecteer in Azure Portal de gewenste resource.
Selecteer Waarschuwingen onder Controle.
Selecteer waarschuwingsregels op de bovenste balk.
Selecteer de waarschuwingsregel die u wilt bewerken.
Selecteer de voorwaarde in de sectie Voorwaarde .
Het deelvenster Signaallogica configureren wordt geopend met historische gegevens voor de query die wordt weergegeven als een grafiek. U kunt het tijdsbereik van de grafiek wijzigen om gegevens van de afgelopen zes uur weer te geven in de afgelopen week. Als uw queryresultaten samengevatte gegevens of specifieke kolommen bevatten zonder de tijdkolom, wordt in de grafiek één waarde weergegeven.
Bewerk de voorwaarden van de waarschuwingsregel met behulp van deze secties:
Zoekquery: In deze sectie kunt u uw query wijzigen.
Waarschuwingslogica: waarschuwingen voor zoeken in logboeken kunnen worden gebaseerd op twee soorten metingen:
- Aantal resultaten: het aantal records dat door de query wordt geretourneerd.
- Meting van metrische waarde: Aggregatiewaarde wordt berekend met behulp van gegroepeerd op basis van
summarize
de gekozen expressies en de bin() -selectie. Bijvoorbeeld:// Reported errors union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records | where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Voor waarschuwingslogica voor metrische metingen kunt u opgeven hoe u de waarschuwingen splitst op dimensies met behulp van de optie Aggregaat op . De expressie voor rijgroepering moet uniek en gesorteerd zijn.
De functie bin() kan leiden tot ongelijke tijdsintervallen, zodat de waarschuwingsservice de bin()-functie automatisch converteert naar een binat()-functie met de juiste tijd tijdens runtime om resultaten met een vast punt te garanderen.
Notitie
De optie Splitsen op waarschuwingsdimensies is alleen beschikbaar voor de huidige scheduledQueryRules-API. Als u de verouderde Log Analytics-waarschuwings-API gebruikt, moet u overschakelen. Meer informatie over overschakelen. Resourcegerichte waarschuwingen op schaal worden alleen ondersteund in de API-versie
2021-08-01
en hoger.Periode: Kies het tijdsbereik waarvoor u de opgegeven voorwaarde wilt evalueren met behulp van de optie Periode .
Wanneer u klaar bent met het bewerken van de voorwaarden, selecteert u Gereed.
Gebruik de voorbeeldgegevens om de operator, drempelwaarde en frequentie in te stellen.
Stel het aantal schendingen in om een waarschuwing te activeren met behulp van totaal - of opeenvolgende schendingen.
Selecteer Gereed.
U kunt de regelbeschrijving en ernst van de regel bewerken. Deze details worden gebruikt in alle waarschuwingsacties. U kunt er ook voor kiezen om de waarschuwingsregel niet te activeren bij het maken door bij het maken de regel Inschakelen te selecteren.
Gebruik de optie Waarschuwingen onderdrukken als u regelacties gedurende een opgegeven tijd wilt onderdrukken nadat een waarschuwing is geactiveerd. De regel wordt nog steeds uitgevoerd en maakt waarschuwingen, maar acties worden niet geactiveerd om ruis te voorkomen. De waarde van de dempingsacties moet groter zijn dan de frequentie van de waarschuwing om effectief te zijn.
Als u waarschuwingen stateful wilt maken, selecteert u Waarschuwingen automatisch oplossen (preview).
Geef op of de waarschuwingsregel een of meer actiegroepen moet activeren wanneer aan de waarschuwingsvoorwaarde wordt voldaan. Zie Azure Monitor-servicelimieten voor limieten voor de acties die kunnen worden uitgevoerd.
(Optioneel) Acties aanpassen in waarschuwingsregels voor zoeken in logboeken:
- Aangepast e-mailonderwerp: overschrijft het e-mailonderwerp van e-mailacties. U kunt de hoofdtekst van de e-mail niet wijzigen en dit veld is niet voor e-mailadressen.
- Voeg aangepaste Json-nettolading toe voor webhook: overschrijft de webhook-JSON die wordt gebruikt door actiegroepen, ervan uitgaande dat de actiegroep een webhookactie bevat. Meer informatie over webhookacties voor waarschuwingen voor zoeken in logboeken.
Nadat u alle opties voor waarschuwingsregels hebt bewerkt, selecteert u Opslaan.
Waarschuwingen voor zoeken in logboeken beheren met PowerShell
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Gebruik de volgende PowerShell-cmdlets om regels te beheren met de API geplande queryregels:
- New-AzScheduledQueryRule: PowerShell-cmdlet voor het maken van een nieuwe waarschuwingsregel voor zoeken in logboeken.
- Set-AzScheduledQueryRule: PowerShell-cmdlet voor het bijwerken van een bestaande waarschuwingsregel voor zoeken in logboeken.
- New-AzScheduledQueryRuleSource: PowerShell-cmdlet voor het maken of bijwerken van het object waarmee bronparameters voor een waarschuwing voor zoeken in logboeken worden opgegeven. Wordt gebruikt als invoer door de cmdlets New-AzScheduledQueryRule en Set-AzScheduledQueryRule .
- New-AzScheduledQueryRuleSchedule: PowerShell-cmdlet voor het maken of bijwerken van het object dat schemaparameters voor een waarschuwing voor zoeken in logboeken specificeert. Wordt gebruikt als invoer door de cmdlets New-AzScheduledQueryRule en Set-AzScheduledQueryRule .
- New-AzScheduledQueryRuleAlertingAction: PowerShell-cmdlet voor het maken of bijwerken van het object dat actieparameters voor een waarschuwing voor zoeken in logboeken specificeert. Wordt gebruikt als invoer door de cmdlets New-AzScheduledQueryRule en Set-AzScheduledQueryRule .
- New-AzScheduledQueryRuleAznsActionGroup: PowerShell-cmdlet voor het maken of bijwerken van het object dat parameters voor actiegroepen voor een waarschuwing voor zoeken in logboeken specificeert. Wordt gebruikt als invoer door de cmdlet New-AzScheduledQueryRuleAlertingAction .
- New-AzScheduledQueryRuleTriggerCondition: PowerShell-cmdlet voor het maken of bijwerken van het object dat parameters voor triggervoorwaarde specificeert voor een waarschuwing voor zoeken in logboeken. Wordt gebruikt als invoer door de cmdlet New-AzScheduledQueryRuleAlertingAction .
- New-AzScheduledQueryRuleLogMetricTrigger: PowerShell-cmdlet voor het maken of bijwerken van het object dat parameters voor metrische triggervoorwaarde specificeert voor een waarschuwing voor zoeken in metrische metingenlogboeken. Wordt gebruikt als invoer door de cmdlet New-AzScheduledQueryRuleTriggerCondition .
- Get-AzScheduledQueryRule: PowerShell-cmdlet om bestaande waarschuwingsregels voor zoeken in logboeken of een specifieke waarschuwingsregel voor zoeken in logboeken weer te geven.
- Update-AzScheduledQueryRule: PowerShell-cmdlet om een waarschuwingsregel voor zoeken in logboeken in of uit te schakelen.
- Remove-AzScheduledQueryRule: PowerShell-cmdlet om een bestaande waarschuwingsregel voor zoeken in logboeken te verwijderen.
Notitie
De ScheduledQueryRules
PowerShell-cmdlets kunnen alleen regels beheren die zijn gemaakt in deze versie van de API geplande queryregels. Waarschuwingsregels voor zoeken in logboeken die zijn gemaakt met behulp van de verouderde Log Analytics-waarschuwings-API , kunnen alleen worden beheerd met behulp van PowerShell nadat u overschakelt naar de API voor geplande queryregels.
Voorbeeldstappen voor het maken van een waarschuwingsregel voor zoeken in logboeken met behulp van PowerShell:
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"
Voorbeeldstappen voor het maken van een waarschuwingsregel voor zoeken in logboeken met behulp van PowerShell met query's voor meerdere resources:
$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"
U kunt ook de waarschuwing voor zoeken in logboeken maken met behulp van een sjabloon en parametersbestanden met behulp van PowerShell:
Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
-TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json
Volgende stappen
- Meer informatie over waarschuwingen voor zoeken in logboeken.
- Waarschuwingen voor zoeken in logboeken maken met behulp van Azure Resource Manager-sjablonen.
- Informatie over webhookacties voor waarschuwingen voor zoeken in logboeken.
- Meer informatie over logboekquery's.