gebeurtenis
17 mrt, 21 - 21 mrt, 10
Neem deel aan de meetup-serie om schaalbare AI-oplossingen te bouwen op basis van praktijkgebruiksvoorbeelden met collega-ontwikkelaars en experts.
Nu registrerenZelfstudie: Een waarschuwing voor zoeken in logboeken maken voor een Azure-resource
Met Azure Monitor-waarschuwingen wordt u proactief op de hoogte gesteld wanneer aan bepaalde belangrijke voorwaarden wordt voldaan in uw controlegegevens. Waarschuwingsregels voor zoeken in logboeken maken een waarschuwing wanneer een logboekquery een bepaald resultaat retourneert. Ontvang bijvoorbeeld een waarschuwing wanneer een bepaalde gebeurtenis wordt gemaakt op een virtuele machine of verzend een waarschuwing wanneer overmatige anonieme aanvragen naar een opslagaccount worden gedaan.
In deze zelfstudie leert u het volgende:
- Toegang tot vooraf samengestelde logboekquery's die zijn ontworpen ter ondersteuning van waarschuwingsregels voor verschillende soorten resources
- Een waarschuwingsregel voor zoeken in logboeken maken
- Een actiegroep maken om meldingsgegevens te definiëren
U hebt het volgende nodig om deze zelfstudie af te ronden:
- Een Azure-resource die moet worden bewaakt. U kunt hiervoor elke resource in uw Azure-abonnement gebruiken die ondersteuning biedt voor diagnostische instellingen. Dit kunt u vaststellen door in de Azure-portal naar het menu van de resource te gaan en te kijken of er een optie Diagnostische instellingen staat in de sectie Controle van het menu.
Als u een andere Azure-resource gebruikt dan een virtuele machine:
- Een diagnostische instelling voor het verzenden van de resourcelogboeken van uw Azure-resource naar een Log Analytics-werkruimte. Zie zelfstudie: Log Analytics-werkruimte maken in Azure Monitor.
Als u een virtuele Azure-machine gebruikt:
- Een regel voor gegevensverzameling voor het verzenden van gastlogboeken en metrische gegevens naar een Log Analytics-werkruimte. Zie zelfstudie: Gastlogboeken en metrische gegevens verzamelen van virtuele Azure-machines.
U kunt gegevens ophalen uit een Log Analytics-werkruimte met behulp van een logboekquery die is geschreven in Kusto Query Language (KQL). Inzichten en oplossingen in Azure Monitor bieden logboekquery's voor het ophalen van gegevens voor een bepaalde service, maar u kunt rechtstreeks werken met logboekquery's en de bijbehorende resultaten in Azure Portal met Log Analytics.
Selecteer Logboeken in het menu van uw resource. Log Analytics wordt geopend met het venster Query's met vooraf gedefinieerde query's voor uw resourcetype. Selecteer Waarschuwingen om query's weer te geven die zijn ontworpen voor waarschuwingsregels.
Notitie
Als het venster Query's niet wordt geopend, klikt u rechtsboven op Query's.
Selecteer een query en klik op Uitvoeren om deze in de queryeditor te laden en resultaten te retourneren. U kunt de query wijzigen en opnieuw uitvoeren. De query anonieme aanvragen voor opslagaccounts weergeven wordt bijvoorbeeld weergegeven in de volgende schermopname. Mogelijk wilt u het AuthenticationType of filter op een andere kolom wijzigen.
Zodra u de query hebt geverifieerd, kunt u de waarschuwingsregel maken. Selecteer Nieuwe waarschuwingsregel om een nieuwe waarschuwingsregel te maken op basis van de huidige logboekquery. Het bereik is al ingesteld op de huidige resource. U hoeft deze waarde niet te wijzigen.
Op het tabblad Voorwaarde is de logboekquery al ingevuld. In de sectie Meting wordt gedefinieerd hoe de records uit de logboekquery worden gemeten. Als de query geen samenvatting uitvoert, is de enige optie het aantal tabelrijen te tellen. Als de query een of meer samengevatte kolommen bevat, kunt u het aantal tabelrijen of een berekening gebruiken op basis van een van de samengevatte kolommen. Aggregatiegranulariteit definieert het tijdsinterval waarvoor de verzamelde waarden worden geaggregeerd. Als de aggregatiegranulariteit bijvoorbeeld is ingesteld op 5 minuten, evalueert de waarschuwingsregel de gegevens die in de afgelopen vijf minuten zijn geaggregeerd. Als de aggregatiegranulariteit is ingesteld op 15 minuten, evalueert de waarschuwingsregel de gegevens die in de afgelopen 15 minuten zijn geaggregeerd. Het is belangrijk om de juiste aggregatiegranulariteit voor uw waarschuwingsregel te kiezen, omdat deze van invloed kan zijn op de nauwkeurigheid van de waarschuwing.
Notitie
De gecombineerde grootte van alle gegevens in de eigenschappen van de logboekwaarschuwingsregel mag niet groter zijn dan 64 kB. Dit kan worden veroorzaakt door te veel dimensies, de query is te groot, te veel actiegroepen of een lange beschrijving. Wanneer u een grote waarschuwingsregel maakt, moet u deze gebieden optimaliseren.
Door te splitsen op dimensies kunt u afzonderlijke waarschuwingen voor verschillende resources maken. Deze instelling is handig wanneer u een waarschuwingsregel maakt die van toepassing is op meerdere resources. Als het bereik is ingesteld op één resource, wordt deze instelling doorgaans niet gebruikt.
Als u bepaalde dimensies nodig hebt die zijn opgenomen in de e-mail met waarschuwingsmeldingen, kunt u een dimensie opgeven (bijvoorbeeld 'Computer'), bevat de e-mail met waarschuwingsmeldingen de computernaam die de waarschuwing heeft geactiveerd. De waarschuwingsengine gebruikt de waarschuwingsquery om de beschikbare dimensies te bepalen. Als u de gewenste dimensie niet ziet in de vervolgkeuzelijst voor de dimensienaam, komt dit doordat de waarschuwingsquery die kolom niet beschikbaar maakt in de resultaten. U kunt eenvoudig de gewenste dimensies toevoegen door een Project-regel toe te voegen aan uw query met de kolommen die u wilt gebruiken. U kunt ook de regel Samenvatten gebruiken om meer kolommen toe te voegen aan de queryresultaten.
Configureer in de waarschuwingslogica de operator - en drempelwaarde om te vergelijken met de waarde die is geretourneerd door de meting. Er wordt een waarschuwing gemaakt wanneer deze waarde waar is. Selecteer een waarde voor de frequentie van evaluatie waarmee wordt gedefinieerd hoe vaak de logboekquery wordt uitgevoerd en geëvalueerd. De kosten voor de waarschuwingsregel worden verhoogd met een lagere frequentie. Wanneer u een frequentie selecteert, worden de geschatte maandelijkse kosten weergegeven naast een voorbeeld van de queryresultaten gedurende een bepaalde periode.
Als de meting bijvoorbeeld Tabelrijen is , kan de waarschuwingslogica groter zijn dan 0 , wat aangeeft dat ten minste één record is geretourneerd. Als de meting een kolomwaarde is, moet de logica mogelijk groter zijn dan of kleiner zijn dan een bepaalde drempelwaarde. In het volgende voorbeeld zoekt de logboekquery anonieme aanvragen naar een opslagaccount. Als er een anonieme aanvraag wordt ingediend, moeten we een waarschuwing activeren. In dit geval zou één rij die wordt geretourneerd de waarschuwing activeren, zodat de waarschuwingslogica groter dan 0 moet zijn.
Actiegroepen definiëren een reeks acties die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd, zoals het verzenden van een e-mailbericht of een sms-bericht.
Als u acties wilt configureren, selecteert u het tabblad Acties .
Klik op Actiegroepen selecteren om er een toe te voegen aan de waarschuwingsregel.
Als u nog geen actiegroep in uw abonnement hebt om te selecteren, klikt u op Actiegroep maken om een nieuwe te maken.
Selecteer een abonnement en resourcegroep voor de actiegroep en geef deze een actiegroepnaam die wordt weergegeven in de portal en een weergavenaam die wordt weergegeven in e-mail- en sms-meldingen.
Selecteer het tabblad Meldingen en voeg een of meer methoden toe om de juiste personen op de hoogte te stellen wanneer de waarschuwing wordt geactiveerd.
Selecteer het tabblad Details en configureer verschillende instellingen voor de waarschuwingsregel.
- Naam van waarschuwingsregel die beschrijvend moet zijn, omdat deze wordt weergegeven wanneer de waarschuwing wordt geactiveerd.
- Geef desgewenst een beschrijving van de waarschuwingsregel op die is opgenomen in de details van de waarschuwing.
- Abonnement en resourcegroep waarin de waarschuwingsregel wordt opgeslagen. Dit hoeft zich niet in dezelfde resourcegroep te bevinden als de resource die u bewaakt.
- Ernst voor de waarschuwing. Met de ernst kunt u waarschuwingen groeperen met een vergelijkbaar relatief belang. De ernst van de fout is geschikt voor een niet-reagerende virtuele machine.
- Houd onder Geavanceerde opties het selectievakje ingeschakeld om in te schakelen bij het maken.
- Houd onder Geavanceerde opties het selectievakje ingeschakeld om waarschuwingen automatisch op te lossen. Hierdoor wordt de waarschuwing stateful, wat betekent dat de waarschuwing wordt opgelost wanneer niet meer aan de voorwaarde wordt voldaan.
Klik op Waarschuwingsregel maken om de waarschuwingsregel te maken.
Wanneer een waarschuwing wordt geactiveerd, worden eventuele meldingen in de actiegroepen verzonden. U kunt de waarschuwing ook bekijken in Azure Portal.
Selecteer Waarschuwingen in het menu van de resource. Als er openstaande waarschuwingen voor de resources zijn, worden deze opgenomen in de weergave.
Klik op een ernst om de waarschuwingen met die ernst weer te geven. Selecteer het antwoord van de gebruiker en hef de selectie Gesloten op om alleen geopende waarschuwingen weer te geven.
Klik op de naam van een waarschuwing om de details ervan weer te geven.
Nu u hebt geleerd hoe u een waarschuwing voor zoeken in logboeken voor een Azure-resource maakt, kunt u werkmappen bekijken voor het maken van interactieve visualisaties van bewakingsgegevens.
Aanvullende resources
Training
Module
Incidentrespons verbeteren met Azure Monitor-waarschuwingen - Training
Reageren op incidenten en activiteiten in uw infrastructuur met behulp van Azure Monitor-waarschuwingen.
Certificering
Microsoft Gecertificeerd: Beveiligingsoperatiesanalist Associate - Certifications
Bedreigingen onderzoeken, zoeken en beperken met Behulp van Microsoft Sentinel, Microsoft Defender voor Cloud en Microsoft 365 Defender.