Problemen met Azure Monitor-waarschuwingen oplossen

In dit artikel worden veelvoorkomende problemen in Azure Monitor-waarschuwingen en -meldingen besproken. Azure Monitor-waarschuwingen melden u proactief wanneer belangrijke voorwaarden worden gevonden in uw bewakingsgegevens.

Zie voor specifieke informatie over het oplossen van problemen met metrische gegevens of logboekzoekwaarschuwingen in Azure:

• Problemen met metrische waarschuwingen van Azure Monitor oplossen
• Problemen met azure Monitor-waarschuwingen voor zoeken in logboeken oplossen

Voordat u problemen gaat oplossen

Als de waarschuwing wordt geactiveerd zoals bedoeld, maar de juiste meldingen niet werken zoals verwacht, test u eerst uw actiegroep om te controleren of deze juist is geconfigureerd.

Gebruik anders de informatie in de rest van dit artikel om uw probleem op te lossen.

Ik heb de verwachte e-mail niet ontvangen

Als u een geactiveerde waarschuwing in Azure Portal ziet, maar de e-mail die u hebt geconfigureerd, niet heeft ontvangen, voert u de volgende stappen uit:

1. Is het e-mailbericht onderdrukt door een waarschuwingsverwerkingsregel?

   Controleer door op de geactiveerde waarschuwing in de portal te klikken en bekijk het tabblad geschiedenis voor onderdrukte actiegroepen:

   

2. Is het type actie E-mail naar een Azure Resource Manager-rol?

   Met deze actie wordt alleen gekeken naar Azure Resource Manager-roltoewijzingen die zich binnen het abonnementsbereik bevinden en van het type Gebruiker of Groep. Zorg ervoor dat u de rol op abonnementsniveau hebt toegewezen en niet op het niveau van de resource of resourcegroep.

3. Accepteren uw e-mailserver en postvak externe e-mailberichten?

   Controleer of e-mails van deze drie adressen niet worden geblokkeerd:

   • azure-noreply@microsoft.com
   • azureemail-noreply@microsoft.com
   • alerts-noreply@mail.windowsazure.com

   Het is gebruikelijk dat interne mailinglijsten of distributielijsten e-mails van externe e-mailadressen blokkeren. Zorg ervoor dat u e-mail van de bovenstaande e-mailadressen toestaat. Als u wilt testen, voegt u een normaal zakelijk e-mailadres (geen adressenlijst) toe aan de actiegroep en controleert u of er waarschuwingen voor deze e-mail binnenkomen.

4. Is het e-mailbericht verwerkt door de regels voor het Postvak IN of een spamfilter?

   Controleer of er geen regels voor het Postvak IN zijn die ervoor zorgen dat de e-mailberichten worden verwijderd of verplaatst naar een side-map. De regels voor het Postvak IN kunnen bijvoorbeeld specifieke afzenders of specifieke woorden in het onderwerp vangen. Controleer ook het volgende:

   • De spaminstellingen van uw e-mailclient (zoals Outlook, Gmail)
   • De afzenderlimieten/spaminstellingen/quarantaine-instellingen van uw e-mailserver (zoals Exchange, Microsoft 365, G-suite)
   • De instellingen van uw e-mailbeveiligingsapparaat (zoals Barracuda, Cisco).

5. Hebt u zich per ongeluk afgemeld voor de actiegroep?

   Notitie

   Houd er rekening mee dat als u zich afmeldt voor een actiegroep, alle leden van een distributielijst ook worden afgemeld. U kunt uw e-mailadres van de distributielijst blijven gebruiken. U moet de gebruikers echter op de hoogte stellen van uw distributielijst dat als ze zich afmelden, ze zich niet abonneren op de hele distributielijst in plaats van alleen zichzelf. U kunt dit omzeilen door het e-mailadres van alle gebruikers in de actiegroep afzonderlijk toe te voegen. Eén actiegroep kan maximaal 1000 e-mailadressen bevatten. Als een specifieke gebruiker zich vervolgens wil afmelden, kan hij dit doen zonder dat dit van invloed is op de andere gebruikers. U kunt ook zien welke gebruikers zich hebben afgemeld.

   In de waarschuwingsmails vindt u een link waarmee u zich kunt afmelden bij de actiegroep. Ga als volgt te werk om te controleren of u zich per ongeluk hebt afgemeld voor deze actiegroep:

   1. Open de actiegroep in de portal en controleer de kolom Status:

   

   2. Zoek in uw e-mail naar de afmeldingsbevestiging:

   

   Als u zich opnieuw wilt abonneren, gebruikt u de koppeling in de bevestigingsmail die u hebt ontvangen of verwijdert u het e-mailadres uit de actiegroep en voegt u het opnieuw toe.

6. Hebt u de servicelimieten overschreden door veel e-mailberichten naar één e-mailadres te verzenden?

   E-mail heeft een frequentielimiet van max. 100 e-mails per uur naar elk e-mailadres. Als u deze drempelwaarde doorgeeft, worden er geen e-mailmeldingen meer verzonden. Controleer of u een bericht hebt ontvangen dat aangeeft dat uw e-mailadres tijdelijk beperkt is:

   

   Als u een groot aantal meldingen wilt ontvangen zonder frequentiebeperking, kunt u overwegen een andere actie te gebruiken, zoals:

   • Webhook
   • Logische apps
   • Azure-functie
   • Automation-runbooks

   Geen van deze acties is beperkt.

Ik heb de verwachte sms, spraakoproep of pushmelding niet ontvangen

Als u een geactiveerde waarschuwing in de portal ziet, maar de sms-, spraak- of pushmelding die u hebt geconfigureerd, niet heeft ontvangen, voert u de volgende stappen uit:

1. Is de actie onderdrukt door eenregel voor het verwerken van waarschuwingen?

   Controleer door op de geactiveerde waarschuwing in de portal te klikken en bekijk het tabblad geschiedenis voor onderdrukte actiegroepen:

   

   Als dat onbedoeld is, kunt u de regel voor het verwerken van waarschuwingen aanpassen, uitschakelen of verwijderen.

2. SMS/spraak: Is uw telefoonnummer juist?

   Controleer de sms-actie op typfouten in het land- of telefoonnummer.

3. SMS/spraak: hebt u de servicelimieten overschreden?

   Sms-berichten en spraakoproepen hebben een frequentielimiet van max. 1 melding per 5 minuten per telefoonnummer. Als u deze drempelwaarde doorgeeft, worden de meldingen verwijderd.

   • Spraakoproep: controleer uw oproepgeschiedenis en kijk of u in de voorgaande vijf minuten een andere oproep van Azure hebt gehad.
   • SMS - controleer uw SMS-geschiedenis voor een bericht dat aangeeft dat uw telefoonnummer is beperkt.

   Als u een groot aantal meldingen wilt ontvangen zonder frequentiebeperking, kunt u overwegen een andere actie te gebruiken, zoals:

   • Webhook
   • Logische apps
   • Azure-functie
   • Automation-runbooks

   Geen van deze acties is beperkt.

4. Sms: hebt u zich per ongeluk afgemeld voor de actiegroep?

   Open uw SMS-geschiedenis en controleer of u zich hebt afgemeld voor sms-bezorging van deze specifieke actiegroep (met het uitschakelen action_group_short_name beantwoorden) of vanuit alle actiegroepen (met behulp van het STOP-antwoord).

   Als u zich opnieuw wilt aanmelden, verzendt u de relevante sms-opdracht (action_group_short_name INSCHAKELEN of STARTEN) of verwijdert u de SMS-actie uit de actiegroep en voegt u deze vervolgens weer toe. Zie voor meer informatie gedrag van sms-waarschuwingen in actiegroepen.

5. Hebt u per ongeluk de meldingen op uw telefoon geblokkeerd?

   De meeste mobiele telefoons bieden u de mogelijkheid om oproepen of sms-berichten van specifieke telefoonnummers of korte codes te blokkeren, of om pushmeldingen van specifieke apps te blokkeren (zoals de mobiele Azure-toepassing). Als u wilt controleren of u per ongeluk de meldingen op uw telefoon hebt geblokkeerd, zoekt u dit op in de documentatie die specifiek is voor het besturingssysteem en het model van uw telefoon, of test u dit met een andere telefoon -en ander telefoonnummer.

De verwachte actie is niet geactiveerd

Als u een geactiveerde waarschuwing in de portal ziet, maar de geconfigureerde actie niet is geactiveerd, voert u de volgende stappen uit:

1. Is de actie onderdrukt door een waarschuwingsverwerkingsregel?

   Controleer door op de geactiveerde waarschuwing in de portal te klikken en bekijk het tabblad geschiedenis voor onderdrukte actiegroepen:

   

   Als dat onbedoeld is, kunt u de regel voor het verwerken van waarschuwingen aanpassen, uitschakelen of verwijderen.

2. Is de webhook geactiveerd?

   1. Is het ip-adres van de bron geblokkeerd?

      Voeg de IP-adressen toe van waaruit de webhook wordt aangeroepen naar uw acceptatielijst.

   2. Werkt uw webhook-eindpunt correct?

      Controleer of het geconfigureerde webhookeindpunt juist is en of het eindpunt correct werkt. Controleer de logboeken van uw webhook of instrumenteer de code ervan, zodat u deze kunt onderzoeken (bijvoorbeeld de binnenkomende nettolading registreren).

   3. Gebruikt u de juiste indeling voor het aanroepen van Slack of Microsoft Teams?
      Elk van deze eindpunten verwacht een specifieke JSON-indeling. Volg deze instructies om in plaats daarvan een actie van een logische app te configureren.

   4. Reageert uw webhook niet meer of retourneert deze fouten?

      Webhook-actiegroepen volgen over het algemeen de volgende regels wanneer deze worden aangeroepen:

      • Wanneer een webhook wordt aangeroepen, als de eerste aanroep mislukt, wordt er ten minste één keer geprobeerd en maximaal vijf keer (5 nieuwe pogingen) met verschillende vertragingsintervallen (5, 20, 40 seconden).
        • De vertraging tussen 1e en 2e poging is 5 seconden
        • De vertraging tussen 2e en 3e poging is 20 seconden
        • De vertraging tussen de 3e en de 4e poging is 5 seconden
        • De vertraging tussen 4e en 5e poging is 40 seconden
        • De vertraging tussen de 5e en de 6e poging is 5 seconden
      • Nadat er opnieuw pogingen zijn gedaan om de webhook aan te roepen, wordt het eindpunt gedurende 15 minuten niet door een actiegroep aangeroepen.
      • Bij de logica voor opnieuw proberen wordt ervan uitgegaan dat de aanroep opnieuw kan worden geprobeerd. De statuscodes: 408, 429, 503, 504 of HttpRequestException, WebExceptionof TaskCancellationException toestaan dat de oproep opnieuw wordt geprobeerd.

De actie of melding is meerdere keren uitgevoerd

Als u meerdere keren een melding hebt ontvangen voor een waarschuwing (zoals een e-mailbericht of sms) of als de actie van de waarschuwing (zoals webhook of Azure-functie) meerdere keren is geactiveerd:

1. Is het echt dezelfde waarschuwing?

   In sommige gevallen worden meerdere vergelijkbare waarschuwingen rond dezelfde tijd geactiveerd. Dan lijkt het net alsof de actie meerdere keren is geactiveerd door dezelfde waarschuwing. Een waarschuwingsregel voor activiteitenlogboeken kan bijvoorbeeld worden geconfigureerd om te worden geactiveerd wanneer een gebeurtenis wordt gestart en voltooid (geslaagd of mislukt), door niet te filteren op het veld gebeurtenisstatus.

   Als u wilt controleren of deze acties of meldingen afkomstig zijn van verschillende waarschuwingen, bekijkt u de details van de waarschuwing, zoals de timestamp en de id van de waarschuwing of de correlatie-id. U kunt ook de lijst met geactiveerde waarschuwingen in de portal controleren. Als dat het geval is, moet u de logica van de waarschuwingsregel aanpassen of de waarschuwingsbron op een andere manier configureren.

2. Wordt de actie in meerdere actiegroepen herhaald?

   Wanneer een waarschuwing wordt geactiveerd, worden alle actiegroepen onafhankelijk van elkaar verwerkt. Als er dus een actie (zoals een e-mail adres) wordt weergegeven in meerdere geactiveerde actiegroepen, wordt deze eenmaal per actiegroep aangeroepen.

   Als u wilt controleren welke actiegroepen zijn geactiveerd, controleert u het tabblad Waarschuwingsgeschiedenis. U ziet daar beide actiegroepen die zijn gedefinieerd in de waarschuwingsregel en actiegroepen die zijn toegevoegd aan de waarschuwing door regels voor waarschuwingsverwerking:

   

De actie of melding heeft onverwachte inhoud

1. Was er een storing waardoor het gebruik van de terugval-e-mailprovider werd geactiveerd?

   Actiegroepen maken gebruik van twee verschillende e-mailproviders om ervoor te zorgen dat e-mailmeldingen worden bezorgd. De primaire e-mailprovider is flexibel en snel, maar af en toe ondervindt storingen. Wanneer er storingen zijn, verwerkt de secundaire e-mailprovider e-mailaanvragen. De secundaire provider is slechts een terugvaloplossing. Vanwege verschillen tussen providers kan een e-mail die is verzonden van onze secundaire provider een verminderde e-mailervaring hebben. De afname resulteert in iets andere e-mailopmaak en -inhoud. Omdat e-mailsjablonen verschillen in de twee systemen, is het niet haalbaar om pariteit tussen de twee systemen te behouden.

   Meldingen die door de terugvaloplossing worden gegenereerd, bevatten een opmerking met de volgende tekst:

   "Dit is een verminderde e-mailervaring. Dit betekent dat de opmaak mogelijk is uitgeschakeld of dat er details ontbreken. Lees hier voor meer informatie over de gedegradeerde e-mailervaring.

   Als uw melding deze notitie niet bevat en u de waarschuwing hebt ontvangen, maar denkt dat sommige velden ontbreken of onjuist zijn, controleert u de indeling van de nettolading.

2. Welke indeling hebt u gebruikt bij het configureren van de waarschuwingsregel?

   Elk actietype (e-mail, webhook, enzovoort) heeft twee indelingen: de standaardindeling, de verouderde indeling en de algemene schema-indeling. Wanneer u een actiegroep maakt, geeft u de indeling van de actie op. Verschillende acties in de actiegroepen kunnen verschillende indelingen hebben.

   Bijvoorbeeld voor webhookacties:

   

   Controleer of de indeling die u voor de actie hebt opgegeven, overeenkomt met uw verwachting. U hebt bijvoorbeeld code ontwikkeld die reageert op waarschuwingen (webhook, functie, logische app, enzovoort), maar later in de actie heeft u of een andere persoon een andere indeling opgegeven.

   Controleer ook de payload-indeling (JSON) voor waarschuwingen voor activiteitenlogboeken, voor zoekwaarschuwingen voor logboeken (zowel Application Insights als Log Analytics), voor metrische waarschuwingen, voor het algemene schema voor waarschuwingen, en voor de afgeschafte klassieke metrische waarschuwingen.

De zoekresultaten worden niet opgenomen in de waarschuwingsmeldingen voor zoeken in logboeken.

Vanaf API-versie 2021-08-01 voor zoeken in logboeken zijn zoekresultaten verwijderd uit de nettolading van waarschuwingsmeldingen. Zoekresultaten zijn alleen beschikbaar voor waarschuwingsregels die zijn gemaakt met oudere API-versies (2018-04-16). Het maken van nieuwe waarschuwingsregels via Azure Portal maakt standaard de regel met de nieuwere versie. Volg Wijzigingen in de ervaring voor het maken van logboekwaarschuwingen voor meer informatie over de wijzigingen en aanbevolen aanpassingen voor het gebruik van de bijgewerkte versie.

Het MetricValue veld bevat null voor waarschuwingsmeldingen voor opgeloste logboekzoekopdrachten.

Dit is standaard. Waarschuwingen voor stateful zoeken in logboeken maken gebruik van een oplossingslogica op basis van tijd in plaats van op waarden gebaseerde logica. Azure Monitor verzendt een null-metrische waarde omdat er geen waarde is waardoor de waarschuwing is opgelost, maar eerder verstreken tijd.

De lijst met dimensies is leeg of de titel van de waarschuwing bevat geen dimensienaam

Wanneer u een waarschuwingsregel voor zoeken in logboeken hebt die geen resultaten retourneert, kan de waarschuwing worden geactiveerd zoals verwacht, maar de lijst met dimensies is leeg of de waarschuwingstitel bevat geen dimensienaam. Wanneer een query geen rijen retourneert, is het resource-id-veld (de basis voor het vullen van dimensie- en titelvelden) leeg.

Informatie ontbreekt in een waarschuwing voor activiteitenlogboeken

Waarschuwingen voor activiteitenlogboeken zijn waarschuwingen die zijn gebaseerd op gebeurtenissen die zijn geschreven naar het Azure-activiteitenlogboek, zoals gebeurtenissen over het maken, bijwerken of verwijderen van Azure-resources, servicestatus- en resourcestatus-gebeurtenissen of bevindingen van Azure Advisor en Azure Policy. Als u een waarschuwing hebt ontvangen op basis van het activiteitenlogboek, maar sommige velden die u nodig hebt ontbreken of onjuist zijn, controleert u eerst de gebeurtenissen in het activiteitenlogboek zelf. Als de Azure-resource de velden die u zoekt niet heeft geschreven in de gebeurtenis van het activiteitenlogboek, worden deze velden niet opgenomen in de bijbehorende waarschuwing.

De aangepaste eigenschappen ontbreken in e-mail-, sms- of pushmeldingen.

Aangepaste eigenschappen worden alleen doorgegeven aan de nettolading voor acties, zoals webhook, Azure-functie of logische apps. Aangepaste eigenschappen zijn niet opgenomen in meldingen (e-mail/sms/push).

De regel voor waarschuwingsverwerking werkt niet zoals verwacht

Als u een geactiveerde waarschuwing in de portal kunt zien, maar een gerelateerde regel voor waarschuwingsverwerking niet werkt zoals verwacht, voert u de volgende stappen uit:

1. Is de regel voor waarschuwingsverwerking ingeschakeld?

   Controleer het veld status van de waarschuwingsverwerkingsregel om te controleren of de gerelateerde actierol is ingeschakeld. Standaard worden in de portal alleen waarschuwingsregels weergegeven die zijn ingeschakeld, maar u kunt het filter wijzigen om alle regels weer te geven.

   

   Als deze niet is ingeschakeld, kunt u de regel voor waarschuwingsverwerking inschakelen door deze te selecteren en op Inschakelen te klikken.

2. Is dit een statusmelding voor de service?

   Servicestatus waarschuwingen niet worden beïnvloed door regels voor waarschuwingsverwerking. Als u dus een regel voor waarschuwingsverwerking hebt geconfigureerd voor een bereik dat servicestatuswaarschuwingen bevat, terwijl de servicestatuswaarschuwingen binnen het bereik vallen, heeft de regel voor waarschuwingsverwerking geen invloed op deze waarschuwingen.

3. Heeft de regel voor waarschuwingsverwerking uw waarschuwing verwerkt?

   Selecteer de geactiveerde waarschuwing in de portal en bekijk het tabblad Geschiedenis om te zien of de regel voor waarschuwingsverwerking is verwerkt.

   Hier volgt een voorbeeld van een waarschuwingsverwerkingsregel waarmee alle actiegroepen worden onderdrukt:

   

   Hier volgt een voorbeeld van een regel voor waarschuwingsverwerking waarmee een andere actiegroep wordt toegevoegd:

   

4. Komt het bereik van de regel voor waarschuwingsverwerking en het filter overeen met de geactiveerde waarschuwing?

   Als u denkt dat de regel voor waarschuwingsverwerking moet zijn geactiveerd, maar niet, of dat deze niet had moeten worden geactiveerd, maar wel, controleert u zorgvuldig het bereik van de regel voor waarschuwingsverwerking en filtervoorwaarden en vergelijkt u deze met de eigenschappen van de geactiveerde waarschuwing.

Problemen met het maken, bijwerken of verwijderen van waarschuwingsverwerkingsregels in Azure Portal

Als u een fout hebt ontvangen tijdens het maken, bijwerken of verwijderen van een waarschuwingsverwerkingsregel, voert u de volgende stappen uit:

1. Controleer de machtigingen.

   U moet de ingebouwde rol Controlebijdrager hebben of de specifieke machtigingen met betrekking tot waarschuwingsverwerkingsregels en -waarschuwingen.

2. Controleer de regelparameters voor waarschuwingsverwerking.

   Raadpleeg de documentatie voor waarschuwingsverwerkingsregel of de PowerShell Set-AzAlertProcessingRule-opdracht voor waarschuwingsverwerking.

Volgende stappen

• Problemen met metrische waarschuwingen van Azure Monitor oplossen
• Problemen met azure Monitor-waarschuwingen voor zoeken in logboeken oplossen