Een metrische waarschuwing maken in Azure Monitor Logs
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
U kunt metrische waarschuwingsmogelijkheden gebruiken voor een vooraf gedefinieerde set logboeken in Azure Monitor-logboeken. De bewaakte logboeken, die kunnen worden verzameld van Azure- of on-premises computers, worden geconverteerd naar metrische gegevens en worden vervolgens bewaakt met metrische waarschuwingsregels, net als andere metrische gegevens.
Een Log Analytics-werkruimte ondersteunt deze logboektypen:
- Prestatiemeteritems voor Windows- en Linux-machines (overeenkomend met de ondersteunde metrische gegevens voor Log Analytics-werkruimten)
- Heartbeatrecords voor agentstatus
- Updatebeheerrecords
- Gebeurtenisgegevenslogboeken
Voordelen van het gebruik van metrische waarschuwingen voor logboeken via waarschuwingen voor zoeken in logboeken op basis van query's in Azure zijn onder andere:
- Metrische waarschuwingen bieden een bijna realtime bewakingsmogelijkheid. Ze forkgegevens uit de logboekbron om deze mogelijkheid te garanderen.
- Waarschuwingen voor metrische gegevens zijn stateful. Ze melden u eenmaal wanneer een waarschuwing wordt geactiveerd en één keer wanneer de waarschuwing is opgelost. Waarschuwingen voor zoeken in logboeken zijn staatloos en blijven elke interval geactiveerd als aan de waarschuwingsvoorwaarde wordt voldaan.
- Metrische waarschuwingen bieden meerdere dimensies. Ze kunnen filteren op specifieke waarden, zoals computers en typen besturingssystemen, zonder dat u een complexe query hoeft te definiëren in Log Analytics.
Notitie
Een specifieke metrische waarde of dimensie wordt alleen weergegeven als er gegevens voor deze gegevens bestaan in de gekozen periode. Deze metrische gegevens zijn beschikbaar voor klanten met Log Analytics-werkruimten.
Ondersteunde metrische gegevens en dimensies voor logboeken
Met metrische waarschuwingen kunt u dimensies gebruiken om uw metrische gegevens naar het juiste niveau te filteren. De volledige lijst met metrische gegevens die worden ondersteund voor logboeken, is gelijk aan de lijst met metrische gegevens van Log Analytics-werkruimte.
Notitie
Als u een ondersteunde metriek wilt weergeven die is geëxtraheerd uit een Log Analytics-werkruimte via metrische gegevens van Azure Monitor, moet u een metrische waarschuwing maken voor logboeken op die specifieke metrische gegevens. De dimensies die u in de metrische waarschuwing voor logboeken kiest, worden alleen weergegeven voor verkenning via metrische gegevens van Azure Monitor.
Een metrische waarschuwing voor logboeken maken
Voordat metrische gegevens uit populaire logboeken worden verwerkt in Log Analytics, worden deze doorgesluisd naar metrische gegevens van Azure Monitor. U kunt vervolgens profiteren van de mogelijkheden van het metrische platform naast metrische waarschuwingen, waaronder waarschuwingen met een frequentie van slechts één minuut.
Het proces voor het maken van metrische waarschuwingen voor logboeken is twee stappen:
- Maak een regel voor het extraheren van metrische gegevens uit ondersteunde logboeken met behulp van de API voor geplande queryregels (
scheduledQueryRules). - Maak een metrische waarschuwing voor de metrische gegevens die zijn geëxtraheerd uit het logboek (in stap 1) en de Log Analytics-werkruimte als doelresource.
Vereisten
Voordat u een metrische waarschuwing voor logboeken maakt, moet u ervoor zorgen dat de volgende items zijn ingesteld en beschikbaar zijn:
- Log Analytics-werkruimte: u moet een geldige en actieve Log Analytics-werkruimte hebben. Zie Een Log Analytics-werkruimte maken voor meer informatie.
- Agent die is geconfigureerd voor de Log Analytics-werkruimte: u moet een agent configureren voor virtuele Azure-machines of on-premises machines om gegevens naar de Log Analytics-werkruimte te verzenden. Zie het overzicht van de Azure Monitor-agent voor meer informatie.
- Ondersteunde Log Analytics-oplossing: er moet een Log Analytics-oplossing worden geconfigureerd en gegevens naar de Log Analytics-werkruimte worden verzonden. Ondersteunde oplossingen zijn prestatiemeteritems voor Windows en Linux, heartbeatrecords voor Agent Health, Azure Automation Update Management en gebeurtenisgegevens.
- Logboeken die zijn geconfigureerd voor de Log Analytics-oplossing: de Log Analytics-oplossing moet de vereiste logboeken en gegevens bevatten die overeenkomen met metrische gegevens die worden ondersteund voor Log Analytics-werkruimten . De teller % beschikbaar geheugen moet bijvoorbeeld eerst worden geconfigureerd in de oplossing voor prestatiemeteritems.
Methoden voor het maken van een metrische waarschuwing voor logboeken
U kunt metrische waarschuwingen maken en beheren met behulp van Azure Portal, Azure Resource Manager-sjablonen, de REST API, Azure PowerShell en de Azure CLI.
Nadat u metrische waarschuwingen voor logboeken voor een opgegeven Log Analytics-werkruimte hebt gemaakt, hebben ze alle kenmerken en functionaliteiten van metrische waarschuwingen, waaronder het payloadschema, de toepasselijke quotumlimieten en de gefactureerde prijs.
Zie Een waarschuwingsregel voor metrische gegevens maken of bewerken voor stapsgewijze details en voorbeelden. Volg de instructies voor het beheren van metrische waarschuwingen en let op de volgende overwegingen:
Het doel voor een metrische waarschuwing moet een geldige Log Analytics-werkruimte zijn.
Het signaal dat is gekozen voor een metrische waarschuwing voor een geselecteerde Log Analytics-werkruimte, moet van het type Metrisch zijn.
U kunt filteren op specifieke voorwaarden of resources met behulp van dimensiefilters, omdat metrische gegevens voor logboeken multidimensionaal zijn.
Wanneer u signaallogica configureert, kunt u één waarschuwing maken om meerdere waarden van dimensie (zoals computer) te omvatten.
Wanneer u een metrische waarschuwing voor logboeken maakt met behulp van Azure Portal, wordt er automatisch een bijbehorende regel voor het converteren van logboekgegevens naar een metrische waarde
scheduledQueryRulesgemaakt, zonder tussenkomst of actie van de gebruiker.Als u azure Portal niet gebruikt om een metrische waarschuwing te maken voor een geselecteerde Log Analytics-werkruimte, moet u eerst handmatig een expliciete regel maken voor het converteren van logboekgegevens naar een metrische waarde met behulp van
scheduledQueryRules.
Resource Manager-sjablonen
Als u een metrische waarschuwing voor logboeken wilt maken, kunt u de volgende Resource Manager-voorbeeldsjablonen gebruiken.
Voor metrische waarschuwingen voor logboeken die zijn gemaakt via andere methoden dan Azure Portal, kunt u deze voorbeeldsjablonen gebruiken om een scheduledQueryRulesop logboek-naar-metrische conversieregel te maken voordat u een metrische waarschuwing maakt. Als u dat niet doet, zijn er geen gegevens voor de metrische waarschuwing in de logboeken.
Metrische waarschuwing voor logboeken met een statische drempelwaarde
In de volgende voorbeeldsjabloon is het maken van een metrische waarschuwing voor een statische drempelwaarde afhankelijk van het maken van de regel voor het extraheren van metrische gegevens uit logboeken via scheduledQueryRules.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the rule to convert a log to a metric"
}
},
"convertRuleDescription": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Description for the log converted to a metric."
}
},
"convertRuleRegion": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the region used by the workspace."
}
},
"convertRuleStatus": {
"type": "string",
"defaultValue": "true",
"metadata": {
"description": "Specifies whether the log conversion rule is enabled."
}
},
"convertRuleMetric": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric after extraction is done from logs."
}
},
"alertName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the alert."
}
},
"alertDescription": {
"type": "string",
"defaultValue": "This is a metric alert",
"metadata": {
"description": "Description of the alert."
}
},
"alertSeverity": {
"type": "int",
"defaultValue": 3,
"allowedValues": [
0,
1,
2,
3,
4
],
"metadata": {
"description": "Severity of the alert {0,1,2,3,4}."
}
},
"isEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether the alert is enabled."
}
},
"resourceId": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Full resource ID of the resource emitting the metric that will be used for the comparison. For example: /subscriptions/00000000-0000-0000-0000-0000-00000000/resourceGroups/ResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"metricName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric used in the comparison to activate the alert."
}
},
"operator": {
"type": "string",
"defaultValue": "GreaterThan",
"allowedValues": [
"Equals",
"NotEquals",
"GreaterThan",
"GreaterThanOrEqual",
"LessThan",
"LessThanOrEqual"
],
"metadata": {
"description": "Operator comparing the current value with the threshold value."
}
},
"threshold": {
"type": "string",
"defaultValue": "0",
"metadata": {
"description": "The threshold value at which the alert is activated."
}
},
"timeAggregation": {
"type": "string",
"defaultValue": "Average",
"allowedValues": [
"Average",
"Minimum",
"Maximum",
"Total"
],
"metadata": {
"description": "How the data that's collected should be combined over time."
}
},
"windowSize": {
"type": "string",
"defaultValue": "PT5M",
"metadata": {
"description": "Period of time used to monitor alert activity based on the threshold. Must be between five minutes and one day. ISO 8601 duration format."
}
},
"evaluationFrequency": {
"type": "string",
"defaultValue": "PT1M",
"metadata": {
"description": "How often the metric alert is evaluated, represented in ISO 8601 duration format."
}
},
"actionGroupId": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The ID of the action group that's triggered when the alert is activated or deactivated."
}
}
},
"variables": {
"convertRuleSourceWorkspace": {
"SourceId": "/subscriptions/1234-56789-1234-567a/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"resources": [
{
"name": "[parameters('convertRuleName')]",
"type": "Microsoft.Insights/scheduledQueryRules",
"apiVersion": "2018-04-16",
"location": "[parameters('convertRuleRegion')]",
"properties": {
"description": "[parameters('convertRuleDescription')]",
"enabled": "[parameters('convertRuleStatus')]",
"source": {
"dataSourceId": "[variables('convertRuleSourceWorkspace').SourceId]"
},
"action": {
"odata.type": "Microsoft.WindowsAzure.Management.Monitoring.Alerts.Models.Microsoft.AppInsights.Nexus.DataContracts.Resources.ScheduledQueryRules.LogToMetricAction",
"criteria": [{
"metricName": "[parameters('convertRuleMetric')]",
"dimensions": []
}
]
}
}
},
{
"name": "[parameters('alertName')]",
"type": "Microsoft.Insights/metricAlerts",
"location": "global",
"apiVersion": "2018-03-01",
"tags": {},
"dependsOn":["[resourceId('Microsoft.Insights/scheduledQueryRules',parameters('convertRuleName'))]"],
"properties": {
"description": "[parameters('alertDescription')]",
"severity": "[parameters('alertSeverity')]",
"enabled": "[parameters('isEnabled')]",
"scopes": ["[parameters('resourceId')]"],
"evaluationFrequency":"[parameters('evaluationFrequency')]",
"windowSize": "[parameters('windowSize')]",
"criteria": {
"odata.type": "Microsoft.Azure.Monitor.SingleResourceMultipleMetricCriteria",
"allOf": [
{
"name" : "1st criterion",
"metricName": "[parameters('metricName')]",
"dimensions":[],
"operator": "[parameters('operator')]",
"threshold" : "[parameters('threshold')]",
"timeAggregation": "[parameters('timeAggregation')]"
}
]
},
"actions": [
{
"actionGroupId": "[parameters('actionGroupId')]"
}
]
}
}
]
}
Als u de voorgaande JSON opslaat als metricfromLogsAlertStatic.json, kunt u deze koppelen aan een JSON-parameterbestand voor het maken op basis van een Resource Manager-sjabloon. Hier volgt een JSON-voorbeeldparameterbestand:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"value": "TestLogtoMetricRule"
},
"convertRuleDescription": {
"value": "Test rule to extract metrics from logs via template"
},
"convertRuleRegion": {
"value": "West Central US"
},
"convertRuleStatus": {
"value": "true"
},
"convertRuleMetric": {
"value": "Average_% Idle Time"
},
"alertName": {
"value": "TestMetricAlertonLog"
},
"alertDescription": {
"value": "New multidimensional metric alert created via template"
},
"alertSeverity": {
"value":3
},
"isEnabled": {
"value": true
},
"resourceId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
},
"metricName":{
"value": "Average_% Idle Time"
},
"operator": {
"value": "GreaterThan"
},
"threshold":{
"value": "1"
},
"timeAggregation":{
"value": "Average"
},
"actionGroupId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/microsoft.insights/actionGroups/actionGroupName"
}
}
}
Ervan uitgaande dat u het voorgaande parameterbestand hebt opgeslagen als metricfromLogsAlertStatic.parameters.json, kunt u metrische waarschuwingen voor logboeken maken met behulp van de Resource Manager-sjabloon voor het maken in Azure Portal.
U kunt ook deze Azure PowerShell-opdracht gebruiken:
New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile metricfromLogsAlertStatic.json TemplateParameterFile metricfromLogsAlertStatic.parameters.json
U kunt ook de Resource Manager-sjabloon implementeren met behulp van de Azure CLI:
az deployment group create --resource-group myRG --template-file metricfromLogsAlertStatic.json --parameters @metricfromLogsAlertStatic.parameters.json
Metrische waarschuwing voor logboeken met dynamische drempelwaarden
In de volgende voorbeeldsjabloon is het maken van een metrische waarschuwing voor dynamische drempelwaarden afhankelijk van het maken van de regel voor het extraheren van metrische gegevens uit logboeken via scheduledQueryRules.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the rule to convert a log to a metric."
}
},
"convertRuleDescription": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Description for the log converted to a metric."
}
},
"convertRuleRegion": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the region used by the workspace."
}
},
"convertRuleStatus": {
"type": "string",
"defaultValue": "true",
"metadata": {
"description": "Specifies whether the log conversion rule is enabled."
}
},
"convertRuleMetric": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric after extraction is done from logs."
}
},
"alertName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the alert."
}
},
"alertDescription": {
"type": "string",
"defaultValue": "This is a metric alert",
"metadata": {
"description": "Description of the alert."
}
},
"alertSeverity": {
"type": "int",
"defaultValue": 3,
"allowedValues": [
0,
1,
2,
3,
4
],
"metadata": {
"description": "Severity of the alert {0,1,2,3,4}."
}
},
"isEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether the alert is enabled."
}
},
"resourceId": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Full resource ID of the resource emitting the metric that will be used for the comparison. For example: /subscriptions/00000000-0000-0000-0000-0000-00000000/resourceGroups/ResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"metricName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric used in the comparison to activate the alert."
}
},
"operator": {
"type": "string",
"defaultValue": "GreaterOrLessThan",
"allowedValues": [
"GreaterThan",
"LessThan",
"GreaterOrLessThan"
],
"metadata": {
"description": "Operator comparing the current value with the threshold value."
}
},
"alertSensitivity": {
"type": "string",
"defaultValue": "Medium",
"allowedValues": [
"High",
"Medium",
"Low"
],
"metadata": {
"description": "Tunes how 'noisy' the alerts for dynamic thresholds will be. 'High' will result in more alerts. 'Low' will result in fewer alerts."
}
},
"numberOfEvaluationPeriods": {
"type": "string",
"defaultValue": "4",
"metadata": {
"description": "The number of periods to check in the alert evaluation."
}
},
"minFailingPeriodsToAlert": {
"type": "string",
"defaultValue": "3",
"metadata": {
"description": "The number of unhealthy periods to alert on (must be lower or equal to numberOfEvaluationPeriods)."
}
},
"timeAggregation": {
"type": "string",
"defaultValue": "Average",
"allowedValues": [
"Average",
"Minimum",
"Maximum",
"Total"
],
"metadata": {
"description": "How the data that's collected should be combined over time."
}
},
"windowSize": {
"type": "string",
"defaultValue": "PT5M",
"metadata": {
"description": "Period of time used to monitor alert activity based on the threshold. Must be between five minutes and one day. ISO 8601 duration format."
}
},
"evaluationFrequency": {
"type": "string",
"defaultValue": "PT1M",
"metadata": {
"description": "How often the metric alert is evaluated, represented in ISO 8601 duration format."
}
},
"actionGroupId": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The ID of the action group that's triggered when the alert is activated or deactivated."
}
}
},
"variables": {
"convertRuleSourceWorkspace": {
"SourceId": "/subscriptions/1234-56789-1234-567a/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"resources": [
{
"name": "[parameters('convertRuleName')]",
"type": "Microsoft.Insights/scheduledQueryRules",
"apiVersion": "2018-04-16",
"location": "[parameters('convertRuleRegion')]",
"properties": {
"description": "[parameters('convertRuleDescription')]",
"enabled": "[parameters('convertRuleStatus')]",
"source": {
"dataSourceId": "[variables('convertRuleSourceWorkspace').SourceId]"
},
"action": {
"odata.type": "Microsoft.WindowsAzure.Management.Monitoring.Alerts.Models.Microsoft.AppInsights.Nexus.DataContracts.Resources.ScheduledQueryRules.LogToMetricAction",
"criteria": [{
"metricName": "[parameters('convertRuleMetric')]",
"dimensions": []
}
]
}
}
},
{
"name": "[parameters('alertName')]",
"type": "Microsoft.Insights/metricAlerts",
"location": "global",
"apiVersion": "2018-03-01",
"tags": {},
"dependsOn":["[resourceId('Microsoft.Insights/scheduledQueryRules',parameters('convertRuleName'))]"],
"properties": {
"description": "[parameters('alertDescription')]",
"severity": "[parameters('alertSeverity')]",
"enabled": "[parameters('isEnabled')]",
"scopes": ["[parameters('resourceId')]"],
"evaluationFrequency":"[parameters('evaluationFrequency')]",
"windowSize": "[parameters('windowSize')]",
"criteria": {
"odata.type": "Microsoft.Azure.Monitor.MultipleResourceMultipleMetricCriteria",
"allOf": [
{
"criterionType": "DynamicThresholdCriterion",
"name" : "1st criterion",
"metricName": "[parameters('metricName')]",
"dimensions":[],
"operator": "[parameters('operator')]",
"alertSensitivity": "[parameters('alertSensitivity')]",
"failingPeriods": {
"numberOfEvaluationPeriods": "[parameters('numberOfEvaluationPeriods')]",
"minFailingPeriodsToAlert": "[parameters('minFailingPeriodsToAlert')]"
},
"timeAggregation": "[parameters('timeAggregation')]"
}
]
},
"actions": [
{
"actionGroupId": "[parameters('actionGroupId')]"
}
]
}
}
]
}
Als u de voorgaande JSON opslaat als metricfromLogsAlertDynamic.json, kunt u deze koppelen aan een JSON-parameterbestand voor het maken op basis van een Resource Manager-sjabloon. Hier volgt een JSON-voorbeeldparameterbestand:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"value": "TestLogtoMetricRule"
},
"convertRuleDescription": {
"value": "Test rule to extract metrics from logs via template"
},
"convertRuleRegion": {
"value": "West Central US"
},
"convertRuleStatus": {
"value": "true"
},
"convertRuleMetric": {
"value": "Average_% Idle Time"
},
"alertName": {
"value": "TestMetricAlertonLog"
},
"alertDescription": {
"value": "New multidimensional metric alert created via template"
},
"alertSeverity": {
"value":3
},
"isEnabled": {
"value": true
},
"resourceId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
},
"metricName":{
"value": "Average_% Idle Time"
},
"operator": {
"value": "GreaterOrLessThan"
},
"alertSensitivity": {
"value": "Medium"
},
"numberOfEvaluationPeriods": {
"value": "4"
},
"minFailingPeriodsToAlert": {
"value": "3"
},
"timeAggregation":{
"value": "Average"
},
"actionGroupId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/microsoft.insights/actionGroups/actionGroupName"
}
}
}
Ervan uitgaande dat u het voorgaande parameterbestand hebt opgeslagen als metricfromLogsAlertDynamic.parameters.json, kunt u metrische waarschuwingen voor logboeken maken met behulp van de Resource Manager-sjabloon voor het maken in Azure Portal.
U kunt ook deze Azure PowerShell-opdracht gebruiken:
New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile metricfromLogsAlertDynamic.json TemplateParameterFile metricfromLogsAlertDynamic.parameters.json
U kunt ook de Resource Manager-sjabloon implementeren met behulp van de Azure CLI:
az deployment group create --resource-group myRG --template-file metricfromLogsAlertDynamic.json --parameters @metricfromLogsAlertDynamic.parameters.json
Gerelateerde inhoud
- Meer informatie over waarschuwingen voor metrische gegevens.
- Meer informatie over waarschuwingen voor zoeken in logboeken in Azure.
- Meer informatie over waarschuwingen in Azure.