Zelfstudie: Een waarschuwing voor zoeken in logboeken maken voor een Azure-resource

  • Artikel

Met Azure Monitor-waarschuwingen wordt u proactief op de hoogte gesteld wanneer aan bepaalde belangrijke voorwaarden wordt voldaan in uw controlegegevens. Waarschuwingsregels voor zoeken in logboeken maken een waarschuwing wanneer een logboekquery een bepaald resultaat retourneert. Ontvang bijvoorbeeld een waarschuwing wanneer een bepaalde gebeurtenis wordt gemaakt op een virtuele machine of verzend een waarschuwing wanneer overmatige anonieme aanvragen naar een opslagaccount worden gedaan.

In deze zelfstudie leert u het volgende:

  • Toegang tot vooraf samengestelde logboekquery's die zijn ontworpen ter ondersteuning van waarschuwingsregels voor verschillende soorten resources
  • Een waarschuwingsregel voor zoeken in logboeken maken
  • Een actiegroep maken om meldingsgegevens te definiëren

Vereisten

U hebt het volgende nodig om deze zelfstudie af te ronden:

  • Een Azure-resource die moet worden bewaakt. U kunt hiervoor elke resource in uw Azure-abonnement gebruiken die ondersteuning biedt voor diagnostische instellingen. Dit kunt u vaststellen door in de Azure-portal naar het menu van de resource te gaan en te kijken of er een optie Diagnostische instellingen staat in de sectie Controle van het menu.

Als u een andere Azure-resource gebruikt dan een virtuele machine:

Als u een virtuele Azure-machine gebruikt:

Selecteer een logboekquery en controleer de resultaten

U kunt gegevens ophalen uit een Log Analytics-werkruimte met behulp van een logboekquery die is geschreven in Kusto Query Language (KQL). Inzichten en oplossingen in Azure Monitor bieden logboekquery's voor het ophalen van gegevens voor een bepaalde service, maar u kunt rechtstreeks werken met logboekquery's en de bijbehorende resultaten in Azure Portal met Log Analytics.

Selecteer Logboeken in het menu van uw resource. Log Analytics wordt geopend met het venster Query's met vooraf gedefinieerde query's voor uw resourcetype. Selecteer Waarschuwingen om query's weer te geven die zijn ontworpen voor waarschuwingsregels.

Notitie

Als het venster Query's niet wordt geopend, klikt u rechtsboven op Query's.

Log Analytics met queryvenster

Selecteer een query en klik op Uitvoeren om deze in de queryeditor te laden en resultaten te retourneren. U kunt de query wijzigen en opnieuw uitvoeren. De query anonieme aanvragen voor opslagaccounts weergeven wordt bijvoorbeeld weergegeven in de volgende schermopname. Mogelijk wilt u het AuthenticationType of filter op een andere kolom wijzigen.

Queryresultaten

Waarschuwingsregel maken

Zodra u de query hebt geverifieerd, kunt u de waarschuwingsregel maken. Selecteer Nieuwe waarschuwingsregel om een nieuwe waarschuwingsregel te maken op basis van de huidige logboekquery. Het bereik is al ingesteld op de huidige resource. U hoeft deze waarde niet te wijzigen.

Waarschuwingsregel maken

Voorwaarde configureren

Op het tabblad Voorwaarde is de logboekquery al ingevuld. In de sectie Meting wordt gedefinieerd hoe de records uit de logboekquery worden gemeten. Als de query geen samenvatting uitvoert, is de enige optie het aantal tabelrijen te tellen. Als de query een of meer samengevatte kolommen bevat, kunt u het aantal tabelrijen of een berekening gebruiken op basis van een van de samengevatte kolommen. Aggregatiegranulariteit definieert het tijdsinterval waarvoor de verzamelde waarden worden geaggregeerd. Als de aggregatiegranulariteit bijvoorbeeld is ingesteld op 5 minuten, evalueert de waarschuwingsregel de gegevens die in de afgelopen vijf minuten zijn geaggregeerd. Als de aggregatiegranulariteit is ingesteld op 15 minuten, evalueert de waarschuwingsregel de gegevens die in de afgelopen 15 minuten zijn geaggregeerd. Het is belangrijk om de juiste aggregatiegranulariteit voor uw waarschuwingsregel te kiezen, omdat deze van invloed kan zijn op de nauwkeurigheid van de waarschuwing.

Notitie

De gecombineerde grootte van alle gegevens in de eigenschappen van de logboekwaarschuwingsregel mag niet groter zijn dan 64 kB. Dit kan worden veroorzaakt door te veel dimensies, de query is te groot, te veel actiegroepen of een lange beschrijving. Wanneer u een grote waarschuwingsregel maakt, moet u deze gebieden optimaliseren.

Voorwaarde voor waarschuwingsregel

Dimensies configureren

Door te splitsen op dimensies kunt u afzonderlijke waarschuwingen voor verschillende resources maken. Deze instelling is handig wanneer u een waarschuwingsregel maakt die van toepassing is op meerdere resources. Als het bereik is ingesteld op één resource, wordt deze instelling doorgaans niet gebruikt.

Dimensies van waarschuwingsregel

Als u bepaalde dimensies nodig hebt die zijn opgenomen in de e-mail met waarschuwingsmeldingen, kunt u een dimensie opgeven (bijvoorbeeld 'Computer'), bevat de e-mail met waarschuwingsmeldingen de computernaam die de waarschuwing heeft geactiveerd. De waarschuwingsengine gebruikt de waarschuwingsquery om de beschikbare dimensies te bepalen. Als u de gewenste dimensie niet ziet in de vervolgkeuzelijst voor de dimensienaam, komt dit doordat de waarschuwingsquery die kolom niet beschikbaar maakt in de resultaten. U kunt eenvoudig de gewenste dimensies toevoegen door een Project-regel toe te voegen aan uw query met de kolommen die u wilt gebruiken. U kunt ook de regel Samenvatten gebruiken om meer kolommen toe te voegen aan de queryresultaten.

Schermopname van de dimensies van de waarschuwingsregel met de dimensie Computerset.

Waarschuwingslogica configureren

Configureer in de waarschuwingslogica de operator - en drempelwaarde om te vergelijken met de waarde die is geretourneerd door de meting. Er wordt een waarschuwing gemaakt wanneer deze waarde waar is. Selecteer een waarde voor de frequentie van evaluatie waarmee wordt gedefinieerd hoe vaak de logboekquery wordt uitgevoerd en geëvalueerd. De kosten voor de waarschuwingsregel worden verhoogd met een lagere frequentie. Wanneer u een frequentie selecteert, worden de geschatte maandelijkse kosten weergegeven naast een voorbeeld van de queryresultaten gedurende een bepaalde periode.

Als de meting bijvoorbeeld Tabelrijen is , kan de waarschuwingslogica groter zijn dan 0 , wat aangeeft dat ten minste één record is geretourneerd. Als de meting een kolomwaarde is, moet de logica mogelijk groter zijn dan of kleiner zijn dan een bepaalde drempelwaarde. In het volgende voorbeeld zoekt de logboekquery anonieme aanvragen naar een opslagaccount. Als er een anonieme aanvraag wordt ingediend, moeten we een waarschuwing activeren. In dit geval zou één rij die wordt geretourneerd de waarschuwing activeren, zodat de waarschuwingslogica groter dan 0 moet zijn.

Waarschuwingslogica

Acties configureren

Actiegroepen definiëren een reeks acties die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd, zoals het verzenden van een e-mailbericht of een sms-bericht.

Als u acties wilt configureren, selecteert u het tabblad Acties .

Schermopname van het tabblad Acties gemarkeerd.

Klik op Actiegroepen selecteren om er een toe te voegen aan de waarschuwingsregel.

Schermopname van de knop Actiegroepen selecteren.

Als u nog geen actiegroep in uw abonnement hebt om te selecteren, klikt u op Actiegroep maken om een nieuwe te maken.

Een actiegroep maken

Selecteer een abonnement en resourcegroep voor de actiegroep en geef deze een actiegroepnaam die wordt weergegeven in de portal en een weergavenaam die wordt weergegeven in e-mail- en sms-meldingen.

Basisbeginselen van actiegroepen

Selecteer het tabblad Meldingen en voeg een of meer methoden toe om de juiste personen op de hoogte te stellen wanneer de waarschuwing wordt geactiveerd.

Meldingen van actiegroepen

Details configureren

Selecteer het tabblad Details en configureer verschillende instellingen voor de waarschuwingsregel.

  • Naam van waarschuwingsregel die beschrijvend moet zijn, omdat deze wordt weergegeven wanneer de waarschuwing wordt geactiveerd.
  • Geef desgewenst een beschrijving van de waarschuwingsregel op die is opgenomen in de details van de waarschuwing.
  • Abonnement en resourcegroep waarin de waarschuwingsregel wordt opgeslagen. Dit hoeft zich niet in dezelfde resourcegroep te bevinden als de resource die u bewaakt.
  • Ernst voor de waarschuwing. Met de ernst kunt u waarschuwingen groeperen met een vergelijkbaar relatief belang. De ernst van de fout is geschikt voor een niet-reagerende virtuele machine.
  • Houd onder Geavanceerde opties het selectievakje ingeschakeld om in te schakelen bij het maken.
  • Houd onder Geavanceerde opties het selectievakje ingeschakeld om waarschuwingen automatisch op te lossen. Hierdoor wordt de waarschuwing stateful, wat betekent dat de waarschuwing wordt opgelost wanneer niet meer aan de voorwaarde wordt voldaan.

Details van waarschuwingsregel

Klik op Waarschuwingsregel maken om de waarschuwingsregel te maken.

De waarschuwing weergeven

Wanneer een waarschuwing wordt geactiveerd, worden eventuele meldingen in de actiegroepen verzonden. U kunt de waarschuwing ook bekijken in Azure Portal.

Selecteer Waarschuwingen in het menu van de resource. Als er openstaande waarschuwingen voor de resources zijn, worden deze opgenomen in de weergave.

Weergave Waarschuwingen

Klik op een ernst om de waarschuwingen met die ernst weer te geven. Selecteer het antwoord van de gebruiker en hef de selectie Gesloten op om alleen geopende waarschuwingen weer te geven.

Schermopname van het filter Gebruikersantwoord.

Klik op de naam van een waarschuwing om de details ervan weer te geven.

Waarschuwingsdetails

Volgende stappen

Nu u hebt geleerd hoe u een waarschuwing voor zoeken in logboeken voor een Azure-resource maakt, kunt u werkmappen bekijken voor het maken van interactieve visualisaties van bewakingsgegevens.

Azure Monitor-werkmappen