Quickstart: Waarschuwingen maken met Azure Resource Graph en Log Analytics
Artikel
In deze quickstart leert u hoe u Azure Log Analytics kunt gebruiken om waarschuwingen te maken voor Azure Resource Graph-query's. U kunt waarschuwingen maken met Azure Resource Graph-query, Log Analytics-werkruimte en beheerde identiteiten. De voorwaarden van de waarschuwing verzenden meldingen met een bepaald interval.
U kunt query's gebruiken om waarschuwingen in te stellen voor uw geïmplementeerde Azure-resources. U kunt query's maken met behulp van Azure Resource Graph-tabellen of u kunt Azure Resource Graph-tabellen en Log Analytics-gegevens uit Azure Monitor-logboeken combineren.
Dit artikel bevat twee voorbeelden van waarschuwingen:
Azure Resource Graph: maakt gebruik van de Azure Resource Graph-tabelResources om een query te maken die gegevens ophaalt voor uw geïmplementeerde Azure-resources en een waarschuwing maakt.
Azure Resource Graph en Log Analytics: maakt gebruik van de Azure Resource Graph-tabel Resources en Log Analytics-gegevens uit de tabel Azure Monitor-logboeken Heartbeat . In dit voorbeeld wordt een virtuele machine gebruikt om te laten zien hoe u de query en waarschuwing instelt.
Notitie
Integratie van Azure Resource Graph-waarschuwingen met Log Analytics is in openbare preview.
Vereisten
Als u geen Azure-account hebt, maak dan een gratis account aan voordat u begint.
Resources die zijn geïmplementeerd in Azure, zoals virtuele machines of opslagaccounts.
Als u het voorbeeld voor de Azure Resource Graph- en Log Analytics-query wilt gebruiken, hebt u ten minste één virtuele Azure-machine met de Azure Monitor-agent nodig.
Welk probleem gaan we oplossen?
U wilt een Azure Resource Graph-query gebruiken om informatie over uw Azure-resources op te halen. U kunt Azure Log Analytics gebruiken om waarschuwingen in te stellen die u waarschuwen wanneer aan bepaalde voorwaarden wordt voldaan.
Werkruimte maken
Maak een Log Analytics-werkruimte in het abonnement dat wordt bewaakt.
U hoeft geen virtuele machine te maken voor het voorbeeld dat gebruikmaakt van de Azure Resource Graph-tabel.
Notitie
Deze sectie is optioneel als u bestaande virtuele machines hebt of weet hoe u een virtuele machine maakt. In dit voorbeeld wordt een virtuele machine gebruikt om te laten zien hoe u een query maakt met behulp van een Azure Resource Graph-tabel en Log Analytics-gegevens.
Als u logboekgegevens wilt ophalen, wordt de Azure Monitor-agent op de virtuele machine geïnstalleerd wanneer u uw virtuele machine verbindt met de Log Analytics-werkruimte. Als u geen virtuele machine hebt, kunt u er een maken voor dit voorbeeld. Als u onnodige kosten wilt voorkomen, verwijdert u de virtuele machine wanneer u klaar bent met het voorbeeld.
De volgende instructies zijn basisinstellingen voor een virtuele Linux-machine. Gedetailleerde stappen voor het maken van een virtuele machine vallen buiten het bereik van dit artikel.
Gebruik de virtuele machine maken. U kunt de meeste standaardinstellingen accepteren met de volgende uitzonderingen:
Maak een virtuele machine
Resourcegroep: demo-arg-alert-rg
naam van virtuele machine: typ de naam van een virtuele machine
Beschikbaarheidsopties: er is geen infrastructuurredundantie vereist
Grootte: B1ms
Beheer istrator-account: sleutelpaar of gebruikersnaam en wachtwoord maken
Openbare binnenkomende poorten: Geen
Schijven: standaardwaarden accepteren
Controleer of Verwijderen met VM is geselecteerd.
Netwerken
Accepteer de standaardinstellingen.
Selecteer Openbaar IP- en NIC-adres verwijderen wanneer de VIRTUELE machine wordt verwijderd.
Beheer
Standaardwaarden accepteren
Wijzig de tijdzone voor automatisch afsluitenin uw tijdzone.
Bewaking, geavanceerd en tags
Er zijn geen wijzigingen nodig voor dit voorbeeld.
Selecteer Controleren en maken en vervolgens Maken.
Als u SSH hebt geselecteerd voor verificatie, wordt u gevraagd om een nieuw sleutelpaar te genereren. Download de persoonlijke sleutel en maak de virtuele machine. Wanneer u klaar bent met de virtuele machine, verwijdert u het sleutelbestand.
Selecteer Naar de resource gaan nadat de virtuele machine is geïmplementeerd.
Notitie
Deze sectie is optioneel als u weet hoe u een virtuele machine verbindt met een Log Analytics-werkruimte.
Bewaking instellen voor een virtuele machine.
Ga naar uw virtuele machine.
Selecteer Overzicht van Bewakingsinzichten>>in Azure Monitor.>
Selecteer Niet bewaakt.
Selecteer Inschakelen voor de monitordekking van de virtuele machine.
Selecteer Inschakelen voor de onboarding van Azure Monitor Insights.
De bewakingsconfiguratie instellen
Inzichten inschakelen met behulp van: Azure Monitoring Agent
Selecteer Maken, controleer of de instellingen juist zijn en selecteer Configureren om de implementatie te starten.
Sluit onboarding van Azure Monitor Insights.
Na een geslaagde implementatie toont Insights>Overview>Monitored dat de monitordekking van de virtuele machine is ingeschakeld en een koppeling naar de regel voor gegevensverzameling.
Selecteer de koppeling naar de regel voor gegevensverzameling en controleer de configuratie-instellingen :
Resources: Toont de virtuele machine, resourcegroep en het abonnement.
Gegevensbronnen:
Gegevensbron: Prestatiemeteritems
Bestemming: Azure Monitor-logboeken
U kunt de koppeling Prestatiemeteritems selecteren om details te controleren.
Ga naar de demo-arg-alert-workspace van uw Log Analytics-werkruimte. Selecteer Instellingen> Agents>Linux-servers en één Linux-computer is verbonden met de Azure Monitor Linux-agent.
Ga naar uw virtuele machine en selecteer Instellingen> Extensions + toepassingen en controleer of de AzureMonitorLinuxAgentinrichting is voltooid.
Maak vanuit de Log Analytics-werkruimte een Azure Resource Graph-query om een telling van uw Azure-resources op te halen. In dit voorbeeld wordt de Azure Resource Graph-tabel Resources gebruikt.
Selecteer Logboeken aan de linkerkant van de Log Analytics-werkruimtepagina .
Sluit het venster Query's als dit wordt weergegeven.
Gebruik de volgende code in de nieuwe query.
arg("").Resources
| count
Tabelnamen in Log Analytics moeten kameel zijn met de eerste letter van elk woord met hoofdletters, zoals Resources of ResourceContainers. U kunt ook kleine letters gebruiken, zoals resources of resourcecontainers.
Selecteer Uitvoeren.
In de resultaten wordt het aantal resources in uw Azure-abonnement weergegeven. Noteer dat getal omdat u dit nodig hebt voor de voorwaarde van de waarschuwingsregel. Wanneer u de query handmatig uitvoert, is het aantal gebaseerd op de gebruikersidentiteit en maakt een geactiveerde waarschuwing gebruik van een beheerde identiteit. Het is mogelijk dat het aantal kan variëren tussen een handmatige uitvoering of geactiveerde waarschuwing.
Verwijder het aantal uit uw query.
arg("").Resources
Maak vanuit de Log Analytics-werkruimte een Azure Resource Graph-query om de laatste heartbeatgegevens van uw virtuele machine op te halen. In dit voorbeeld worden de Azure Resource Graph-tabel Resources - en Log Analytics-gegevens uit de tabel Azure Monitor-logboeken Heartbeat gebruikt.
Ga naar uw Log Analytics-werkruimte met demo-arg-alert-workspace .
Selecteer Logboeken aan de linkerkant van de Log Analytics-werkruimtepagina .
Sluit het venster Query's als dit wordt weergegeven.
Gebruik de volgende code in de nieuwe query.
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
Tabelnamen in Log Analytics moeten kameel zijn met de eerste letter van elk woord met hoofdletters, zoals Resources of ResourceContainers. U kunt ook kleine letters gebruiken, zoals resources of resourcecontainers.
U kunt andere tijdsbestekken voor de TimeGenerated. Bijvoorbeeld, in plaats van minuten zoals 15m gebruiksuren zoals 12h, 24h, . 48h
Selecteer Uitvoeren.
De query moet de laatste heartbeat, de energiestatus, de naam en de resource-id van de virtuele machine retourneren. Als er geen resultaten worden weergegeven, gaat u verder met de volgende stappen.
Selecteer nieuwe waarschuwingsregel in de Log Analytics-werkruimte. De query uit uw Log Analytics-werkruimte wordt gekopieerd naar de waarschuwingsregel. Een waarschuwingsregel maken heeft verschillende tabbladen die moeten worden bijgewerkt om de waarschuwing te maken.
Bereik
Controleer of het bereik is ingesteld op uw Log Analytics-werkruimte met de naam demo-arg-alert-workspace.
Als u het bereik wilt wijzigen, voert u de volgende stappen uit.
Ga naar het tabblad Bereik en selecteer Bereik selecteren.
Verwijder onder aan het scherm Geselecteerde resources het huidige bereik.
Vouw de demo-arg-alert-rg uit in de lijst met resources en selecteer demo-arg-alert-workspace.
Selecteer Toepassen.
Selecteer Volgende: Voorwaarde.
Conditie
Het formulier heeft verschillende velden om te voltooien.
Signaalnaam: Aangepast zoeken in logboeken
Zoekquery: geeft de querycode weer.
Afmeting
Meting: Tabelrijen
Aggregatietype: Aantal
Aggregatiegranulariteit: 5 minuten
Waarschuwingslogica
Operator: Groter dan
Drempelwaarde: gebruik een getal dat kleiner is dan het getal dat wordt geretourneerd uit het aantal resources.
Als uw aantal resources bijvoorbeeld 50 was, gebruikt u 45. Met deze waarde wordt de waarschuwing geactiveerd wanneer deze uw resources evalueert omdat uw aantal resources groter is dan de drempelwaarde.
Schakel het selectievakje E-mail in en typ uw e-mailadres.
Selecteer Ok.
Selecteer Controleren + Maken, controleer of de samenvatting juist is en selecteer Maken. U keert terug naar het tabblad Acties van de pagina Een waarschuwingsregel maken. De naam van de actiegroep toont de actiegroep die u hebt gemaakt.
Selecteer Volgende: Details.
Details
Gebruik de volgende informatie op het tabblad Details .
Abonnement: Selecteer uw Azure-abonnement
Resourcegroep: demo-arg-alert-rg
Ernst: Accepteer de standaardwaarde 3 - Informatie
Naam van waarschuwingsregel: demo-arg-alert-rule
Beschrijving van waarschuwingsregel: e-mailwaarschuwing voor het aantal Azure-resources
Identiteit: Door het systeem toegewezen beheerde identiteit selecteren
Selecteer Controleren + Maken, controleer of de samenvatting juist is en selecteer Maken. U keert terug naar de pagina Logboeken van uw Log Analytics-werkruimte.
U ontvangt een e-mailmelding om te bevestigen dat u bent toegevoegd aan de actiegroep.
Rol toewijzen
Wijs de Log Analytics-lezer toe aan de door het systeem toegewezen beheerde identiteit, zodat waarschuwingen worden geactiveerd die e-mailmeldingen verzenden.
Selecteer Bewakingswaarschuwingen> in de Log Analytics-werkruimte.
Selecteer OK als u wordt gevraagd of uw niet-opgeslagen bewerkingen worden verwijderd.
Object-id: Toont de GUID voor uw bedrijfstoepassing (service-principal) in Microsoft Entra-id.
Machtiging: Azure-roltoewijzingen selecteren
Controleer of het juiste abonnement is geselecteerd.
Selecteer Roltoewijzing toevoegen
Bereik: Abonnement
Abonnement: de naam van uw Azure-abonnement
Rol: Log Analytics Reader
Selecteer Opslaan.
Het duurt enkele minuten voordat de Log Analytics-lezer wordt weergegeven op de pagina Azure-roltoewijzingen . Selecteer Vernieuwen om de pagina bij te werken.
Gebruik de knop Terug van uw browser om terug te keren naar de identiteit en selecteer vervolgens Overzicht om terug te keren naar de waarschuwingsregel. Selecteer de koppeling naar uw resourcegroep met de naam demo-arg-alert-rg.
Selecteer nieuwe waarschuwingsregel in de Log Analytics-werkruimte. De query uit uw Log Analytics-werkruimte wordt gekopieerd naar de waarschuwingsregel. De waarschuwingsregel maken heeft verschillende tabbladen die moeten worden bijgewerkt.
Bereik
Controleer of het bereik is ingesteld op uw Log Analytics-werkruimte.
Als u het bereik wilt wijzigen, voert u de volgende stappen uit.
Ga naar het tabblad Bereik en selecteer Bereik selecteren.
Verwijder onder aan het scherm Geselecteerde resources het huidige bereik.
Vouw de demo-arg-alert-rg uit in de lijst met resources en selecteer demo-arg-alert-workspace.
Selecteer Toepassen.
Selecteer Volgende: Voorwaarde.
Conditie
Het formulier heeft verschillende velden om te voltooien.
Signaalnaam: Aangepast zoeken in logboeken
Zoekquery: geeft de querycode weer.
Afmeting
Meting: Tabelrijen
Aggregatietype: Aantal
Aggregatiegranulariteit: 5 minuten
Waarschuwingslogica
Operator: kleiner dan
Drempelwaarde: 2
Frequentie van evaluatie: 5 minuten
Selecteer Volgende: Acties.
Acties
Selecteer Actiegroep maken.
Abonnement: selecteer uw Azure-abonnement.
Resourcegroep: demo-arg-alert-rg
Regio: Globaal
Naam van actiegroep: demo-arg-la-alert-action-group
Schakel het selectievakje E-mail in en typ uw e-mailadres
Selecteer OK
Selecteer Controleren + Maken, controleer of de samenvatting juist is en selecteer Maken. U keert terug naar het tabblad Acties van de pagina Een waarschuwingsregel maken. De naam van de actiegroep toont de actiegroep die u hebt gemaakt.
Selecteer Volgende: Details.
Details
Gebruik de volgende informatie op het tabblad Details .
Abonnement: Selecteer uw Azure-abonnement
Resourcegroep: demo-arg-alert-rg
Ernst: Accepteer de standaardwaarde 2 - Waarschuwing
Naam van waarschuwingsregel: demo-arg-la-alert-rule
Beschrijving van waarschuwingsregel: E-mailwaarschuwing voor ARG-LA-query van virtuele Azure-machine
Identiteit: Door het systeem toegewezen beheerde identiteit selecteren
Selecteer Controleren + Maken, controleer of de samenvatting juist is en selecteer Maken. U keert terug naar de pagina Logboeken van uw Log Analytics-werkruimte.
U ontvangt een e-mailmelding om te bevestigen dat u bent toegevoegd aan de actiegroep.
Rol toewijzen
Wijs de Log Analytics-lezer toe aan de door het systeem toegewezen beheerde identiteit, zodat waarschuwingen worden geactiveerd die e-mailmeldingen verzenden.
Selecteer Bewakingswaarschuwingen> in de Log Analytics-werkruimte.
Selecteer OK als u wordt gevraagd of uw niet-opgeslagen bewerkingen worden verwijderd.
Object-id: Toont de GUID voor uw bedrijfstoepassing (service-principal) in Microsoft Entra-id.
Machtiging: Azure-roltoewijzingen selecteren
Controleer of het juiste abonnement is geselecteerd.
Selecteer Roltoewijzing toevoegen
Bereik: Abonnement
Abonnement: de naam van uw Azure-abonnement
Rol: Log Analytics Reader
Selecteer Opslaan.
Het duurt enkele minuten voordat de Log Analytics-lezer wordt weergegeven op de pagina Azure-roltoewijzingen . Selecteer Vernieuwen om de pagina bij te werken.
Gebruik de knop Terug van uw browser om terug te keren naar de identiteit en selecteer Overzicht om terug te keren naar de waarschuwingsregel. Selecteer de koppeling naar uw resourcegroep met de naam demo-arg-alert-rg.
Nadat de rol is toegewezen aan uw waarschuwingsregel, begint u e-mail te ontvangen voor waarschuwingsberichten. De regel is elke vijf minuten gemaakt om waarschuwingen te verzenden en het duurt enkele minuten om de eerste waarschuwing op te halen.
U kunt de waarschuwingen ook bekijken in Azure Portal.
Ga naar de demo-arg-alert-rg van de resourcegroep.
Selecteer demo-arg-alert-workspace in uw lijst met resources.
Selecteer Bewakingswaarschuwingen>.
Er wordt een lijst met waarschuwingen weergegeven.
Nadat de rol is toegewezen aan uw waarschuwingsregel, begint u e-mail te ontvangen voor waarschuwingsberichten. De regel is elke vijf minuten gemaakt om waarschuwingen te verzenden en het duurt enkele minuten om de eerste waarschuwing op te halen.
U kunt de waarschuwingen ook bekijken in Azure Portal.
Ga naar de demo-arg-alert-rg van de resourcegroep.
Selecteer uw virtuele machine.
Selecteer Bewakingswaarschuwingen>.
Er wordt een lijst met waarschuwingen weergegeven.
Notitie
Het kan 30 minuten duren voordat logboekgegevens beschikbaar zijn om waarschuwingen te maken.
Hoe hebben we het probleem opgelost?
U hebt een Azure Resource Graph-query en een Log Analytics-werkruimte gemaakt om Azure-resources te bewaken. U stelt ook waarschuwingen in om u op de hoogte te stellen van gebeurtenissen en een rol toe te wijzen aan de door het systeem toegewezen beheerde identiteit. Nadat de waarschuwing is gemaakt, hebt u e-mailwaarschuwingen ontvangen op basis van voorwaarden in de waarschuwingsregel.
Resources opschonen
Als u de waarschuwingsconfiguratie wilt behouden, maar wilt voorkomen dat de waarschuwing wordt geactiveerd en e-mailmeldingen worden verzonden, kunt u deze uitschakelen. Ga naar de demo-arg-alert-rule of demo-arg-la-alert-rule en selecteer Uitschakelen.
Als u deze waarschuwing of de resources die u in dit voorbeeld hebt gemaakt niet nodig hebt, verwijdert u de resourcegroep met de volgende stappen:
Ga naar de demo-arg-alert-rg van uw resourcegroep.
Selecteer Resourcegroep verwijderen.
Typ de naam van de resourcegroep om te bevestigen.
Selecteer Verwijderen.
Gerelateerde inhoud
Ga naar de volgende artikelen voor meer informatie over de querytaal of het verkennen van resources.
