Tworzenie nowej reguły alertu

W tym artykule pokazano, jak utworzyć regułę alertu. Dowiedz się więcej o alertach tutaj.

Regułę alertu można utworzyć, łącząc:

  • Zasoby, które mają być monitorowane.
  • Sygnał lub dane telemetryczne z zasobu
  • Warunki

Następnie należy zdefiniować te elementy dla wynikowych akcji alertu przy użyciu następujących elementów:

Tworzenie nowej reguły alertu w Azure Portal

  1. W portalu wybierz pozycję Monitor, a następnie pozycję Alerty.

  2. Rozwiń menu + Utwórz i wybierz pozycję Reguła alertu.

    Zrzut ekranu przedstawiający kroki tworzenia nowej reguły alertu.

  3. W okienku Wybierz zasób ustaw zakres reguły alertu. Możesz filtrować według subskrypcji, typu zasobu, lokalizacji zasobu lub wyszukiwania.

    Dostępne typy sygnałów dla wybranych zasobów znajdują się w prawym dolnym rogu okienka.

    Zrzut ekranu przedstawiający okienko wybierz zasób do tworzenia nowej reguły alertu.

  4. Wybierz pozycję Uwzględnij wszystkie przyszłe zasoby , aby uwzględnić wszystkie przyszłe zasoby dodane do wybranego zakresu.

  5. Kliknij Gotowe.

  6. Wybierz pozycję Dalej: Warunek> w dolnej części strony.

  7. W okienku Wybierz sygnał przefiltruj listę sygnałów przy użyciu typu sygnału i usługi Monitor.

    • Typ sygnału: typ tworzonej reguły alertu .
    • Monitorowanie usługi: usługa wysyłająca sygnał. Ta lista jest wstępnie wypełniana na podstawie wybranego typu reguły alertu.

    W tej tabeli opisano usługi dostępne dla każdego typu reguły alertu:

    Typ sygnału Monitorowanie usługi Opis
    Metryki Platforma W przypadku sygnałów metryk usługa monitorowania jest przestrzenią nazw metryki. "Platforma" oznacza, że metryki są dostarczane przez dostawcę zasobów, a mianowicie "Azure".
    Azure.ApplicationInsights Metryki zgłaszane przez klientów wysyłane przez zestaw SDK usługi Application Insights.
    Azure.VM.Windows.GuestMetrics Metryki gościa maszyny wirtualnej zebrane przez rozszerzenie uruchomione na maszynie wirtualnej. Może zawierać wbudowane liczniki wydajności systemu operacyjnego i niestandardowe liczniki wydajności.
    <niestandardowa przestrzeń nazw> Niestandardowa przestrzeń nazw metryk zawierająca metryki niestandardowe wysyłane za pomocą interfejsu API metryk usługi Azure Monitor.
    Dziennik Log Analytics Usługa, która udostępnia sygnały "Niestandardowe wyszukiwanie dzienników" i "Dziennik (zapisane zapytanie)".
    Dziennik aktywności Dziennik aktywności — administracyjny Usługa, która udostępnia zdarzenia dziennika aktywności "Administracyjne".
    Dziennik aktywności — zasady Usługa, która udostępnia zdarzenia dziennika aktywności "Zasady".
    Dziennik aktywności — skalowanie automatyczne Usługa, która udostępnia zdarzenia dziennika aktywności "Autoskalowania".
    Dziennik aktywności — zabezpieczenia Usługa, która udostępnia zdarzenia dziennika aktywności "Zabezpieczenia".
    Kondycja zasobów Kondycja zasobów Usługa, która zapewnia stan kondycji na poziomie zasobu.
    Kondycja usługi Kondycja usługi Usługa, która zapewnia stan kondycji na poziomie subskrypcji.
  8. Wybierz nazwę sygnału i wykonaj kroki opisane na poniższej karcie, która odpowiada typowi tworzonego alertu.

    1. W okienku Konfigurowanie logiki sygnału można wyświetlić podgląd wyników wybranego sygnału metryki. Wybierz wartości dla następujących pól.

      Pole Opis
      Wybieranie szeregów czasowych Wybierz szereg czasowy do uwzględnienia w wynikach.
      Okres wykresu Wybierz przedział czasu, który ma być uwzględniny w wynikach. Może to być od ostatnich 6 godzin do ostatniego tygodnia.
    2. (Opcjonalnie) W zależności od typu sygnału może zostać wyświetlona sekcja Podział według wymiarów .

      Wymiary to pary nazwa-wartość, które zawierają więcej danych o wartości metryki. Użycie wymiarów umożliwia filtrowanie metryk i monitorowanie określonych szeregów czasowych zamiast monitorowania agregacji wszystkich wartości wymiarowych. Wymiary mogą być kolumnami liczbowymi lub kolumnami ciągu.

      Jeśli wybierzesz więcej niż jedną wartość wymiaru, każda seria czasowa, która wynika z kombinacji, wyzwoli własny alert i zostanie naliczona oddzielnie. Na przykład metryka transakcji konta magazynu może mieć wymiar nazwy interfejsu API, który zawiera nazwę interfejsu API wywoływanego przez każdą transakcję (na przykład GetBlob, DeleteBlob, PutPage). Możesz zdecydować się na wyzwolenie alertu w przypadku dużej liczby transakcji w określonym interfejsie API (zagregowanych danych) lub użyć wymiarów, aby otrzymywać alerty tylko wtedy, gdy liczba transakcji jest wysoka dla określonych interfejsów API.

      Pole Opis
      Nazwa wymiaru Wymiary mogą być kolumnami liczbowymi lub kolumnami ciągu. Wymiary służą do monitorowania określonych szeregów czasowych i zapewniania kontekstu wyzwalanego alertu.
      Podział w kolumnie Identyfikator zasobu platformy Azure sprawia, że określony zasób jest kierowany do obiektu docelowego alertu. W przypadku wykrycia kolumna ResourceID zostanie wybrana automatycznie i zmieni kontekst wyzwolonego alertu na zasób rekordu.
      Operator Operator używany w nazwie i wartości wymiaru.
      Wartości wymiarów Wartości wymiarów są oparte na danych z ostatnich 48 godzin. Wybierz pozycję Dodaj wartość niestandardową , aby dodać niestandardowe wartości wymiarów.
      Uwzględnij wszystkie przyszłe wartości Wybierz to pole, aby uwzględnić wszystkie przyszłe wartości dodane do wybranego wymiaru.
    3. W sekcji Logika alertu :

      Pole Opis
      Próg Wybierz, czy próg ma być oceniany na podstawie wartości statycznej lub wartości dynamicznej.
      Próg statyczny ocenia regułę przy użyciu skonfigurowanej wartości progowej.
      Progi dynamiczne używają algorytmów uczenia maszynowego, aby stale uczyć się wzorców zachowań metryk i obliczać odpowiednie progi pod kątem nieoczekiwanego zachowania. Możesz dowiedzieć się więcej na temat używania progów dynamicznych dla alertów metryk.
      Operator Wybierz operator do porównywania wartości metryki z progiem.
      Typ agregacji Wybierz funkcję agregacji, która ma być stosowana w punktach danych: Sum, Count, Average, Min lub Max.
      Wartość progu W przypadku wybrania progu statycznego wprowadź wartość progową logiki warunku.
      Jednostka Jeśli wybrany sygnał metryki obsługuje różne jednostki, takie jak bajty, KB, MB i GB, a jeśli wybrano próg statyczny , wprowadź jednostkę logiki warunku.
      Czułość progowa W przypadku wybrania progu dynamicznego wprowadź poziom poufności. Poziom poufności wpływa na wielkość odchylenia od wzorca serii metryk jest wymagany do wyzwolenia alertu.
      Stopień szczegółowości agregacji Wybierz interwał używany do grupowania punktów danych przy użyciu funkcji typu agregacji. Wybierz stopień szczegółowości agregacji (okres), który jest większy niż częstotliwość oceny , aby zmniejszyć prawdopodobieństwo braku pierwszego okresu oceny dodanego szeregu czasowego.
      Częstotliwość szacowania Wybierz częstotliwość uruchamiania reguły alertu. Wybierz częstotliwość mniejszą niż stopień szczegółowości agregacji, aby wygenerować okno przewijania dla oceny.
    4. Kliknij Gotowe.

    Od tego momentu możesz wybrać przycisk Przejrzyj i utwórz w dowolnym momencie.

  9. Na karcie Akcje wybierz lub utwórz wymagane grupy akcji.

  10. (Opcjonalnie) Jeśli chcesz się upewnić, że przetwarzanie danych dla grupy akcji odbywa się w określonym regionie, możesz wybrać grupę akcji w jednym z tych regionów, w których ma zostać przetworzyna grupa akcji:

    • Szwecja Środkowa
    • Niemcy Środkowo-Zachodnie

    Uwaga

    Stale dodajemy więcej regionów do regionalnego przetwarzania danych.

    Zrzut ekranu przedstawiający kartę akcji podczas tworzenia nowej reguły alertu.

  11. Na karcie Szczegóły zdefiniuj szczegóły projektu.

    • Wybierz pozycję Subskrypcja.
    • Wybierz grupę zasobów.
    • (Opcjonalnie) Jeśli tworzysz regułę alertu dotyczącego metryk, która monitoruje metrykę niestandardową z zakresem zdefiniowanym jako jeden z poniższych regionów i chcesz upewnić się, że przetwarzanie danych dla reguły alertu odbywa się w tym regionie, możesz wybrać opcję przetworzenia reguły alertu w jednym z następujących regionów:
      • Europa Północna
      • West Europe
      • Szwecja Środkowa
      • Niemcy Środkowo-Zachodnie

    Uwaga

    Stale dodajemy więcej regionów do regionalnego przetwarzania danych.

  12. Zdefiniuj szczegóły reguły alertu.

    1. Wybierz ważność.

    2. Wprowadź wartości nazwy reguły alertu i opisu reguły alertu.

    3. Wybierz region.

    4. (Opcjonalnie) W sekcji Opcje zaawansowane można ustawić kilka opcji.

      Pole Opis
      Włącz po utworzeniu Wybierz regułę alertu, aby uruchomić ją natychmiast po zakończeniu tworzenia.
      Automatyczne rozwiązywanie alertów (wersja zapoznawcza) Wybierz, aby ustawić alert jako stanowy. Alert zostanie rozwiązany, gdy warunek nie zostanie już spełniony.
    5. (Opcjonalnie) Jeśli skonfigurowano grupy akcji dla tej reguły alertu, możesz dodać właściwości niestandardowe do ładunku alertu, aby dodać dodatkowe informacje do ładunku. W sekcji Właściwości niestandardowe dodaj właściwość Name (Nazwa ) i Value (Wartość ) dla właściwości niestandardowej, która ma zostać uwzględniona w ładunku.

      Zrzut ekranu przedstawiający kartę szczegółów podczas tworzenia nowej reguły alertu.

  13. Na karcie Tagi ustaw wszystkie wymagane tagi w zasobie reguły alertu.

    Zrzut ekranu przedstawiający kartę Tagi podczas tworzenia nowej reguły alertu.

  14. Na karcie Przeglądanie i tworzenie zostanie uruchomiona weryfikacja i zostaną wyświetlone informacje o wszelkich problemach.

  15. Po zakończeniu weryfikacji i zapoznaniu się z ustawieniami wybierz przycisk Utwórz.

    Zrzut ekranu przedstawiający kartę Przeglądanie i tworzenie podczas tworzenia nowej reguły alertu.

Tworzenie nowej reguły alertu przy użyciu interfejsu wiersza polecenia

Nową regułę alertu można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure. Poniższe przykłady kodu korzystają z usługi Azure Cloud Shell. Pełną listę poleceń interfejsu wiersza polecenia platformy Azure dla usługi Azure Monitor można wyświetlić.

  1. W portalu wybierz pozycję Cloud Shell, a w wierszu polecenia użyj następujących poleceń:

    Aby utworzyć regułę alertu dotyczącego metryk, użyj polecenia az monitor metrics alert create . Szczegółową dokumentację dotyczącą polecenia tworzenia reguły alertu dotyczącego metryk można znaleźć w sekcji az monitor metrics alert create w dokumentacji referencyjnej interfejsu wiersza polecenia dla alertów dotyczących metryk.

    Aby utworzyć regułę alertu metryki, która monitoruje, jeśli średni procent procesora CPU na maszynie wirtualnej jest większy niż 90:

     az monitor metrics alert create -n {nameofthealert} -g {ResourceGroup} --scopes {VirtualMachineResourceID} --condition "avg Percentage CPU > 90" --description {descriptionofthealert}
    

Tworzenie nowej reguły alertu przy użyciu programu PowerShell

  • Aby utworzyć regułę alertu dotyczącego metryk przy użyciu programu PowerShell, użyj tego polecenia cmdlet: Add-AzMetricAlertRuleV2
  • Aby utworzyć regułę alertu dziennika przy użyciu programu PowerShell, użyj tego polecenia cmdlet: New-AzScheduledQueryRule
  • Aby utworzyć regułę alertu dziennika aktywności przy użyciu programu PowerShell, użyj tego polecenia cmdlet: Set-AzActivityLogAlert

Tworzenie reguły alertu dziennika aktywności w okienku Dziennik aktywności

Możesz również utworzyć alert dziennika aktywności dla przyszłych zdarzeń podobnych do zdarzenia dziennika aktywności, które już wystąpiło.

  1. W portaluprzejdź do okienka dziennika aktywności.

  2. Filtruj lub znajdź żądane zdarzenie, a następnie utwórz alert, wybierając pozycję Dodaj alert dziennika aktywności.

    Zrzut ekranu przedstawiający tworzenie reguły alertu na podstawie zdarzenia dziennika aktywności.

  3. Zostanie otwarty kreator Tworzenia reguły alertu z zakresem i warunkiem, który został już podany zgodnie z wcześniej wybranym zdarzeniem dziennika aktywności. W razie potrzeby możesz edytować i modyfikować zakres i warunek na tym etapie. Domyślnie dokładny zakres i warunek nowej reguły są kopiowane z oryginalnych atrybutów zdarzenia. Na przykład dokładny zasób, na którym wystąpiło zdarzenie, oraz określona nazwa użytkownika lub usługi, która zainicjowała zdarzenie, są domyślnie uwzględniane w nowej regule alertu. Jeśli chcesz bardziej ogólne zasady alertu, zmodyfikuj zakres i warunek odpowiednio (zobacz kroki 3–9 w sekcji "Tworzenie reguły alertu z okienka alertów usługi Azure Monitor").

  4. Wykonaj pozostałe kroki z sekcji Tworzenie nowej reguły alertu w Azure Portal.

Tworzenie reguły alertu dziennika aktywności przy użyciu szablonu usługi Azure Resource Manager

Aby utworzyć regułę alertu dziennika aktywności przy użyciu szablonu usługi Azure Resource Manager, utwórz microsoft.insights/activityLogAlerts zasób i wypełnij wszystkie powiązane właściwości.

Uwaga

Najwyższy poziom, na który można zdefiniować alerty dziennika aktywności, to poziom subskrypcji. Zdefiniuj alert do alertu dla każdej subskrypcji. Nie można zdefiniować alertu dla dwóch subskrypcji.

Poniższe pola to opcje w szablonie usługi Azure Resource Manager dla pól warunków. (Pola Resource Health, Advisor i Service Health mają dodatkowe pola właściwości).

Pole Opis
resourceId Identyfikator zasobu, którego dotyczy ten zasób, w zdarzeniu dziennika aktywności, na którym jest generowany alert.
category Kategoria zdarzenia dziennika aktywności. Możliwe wartości: Administrative, , ResourceHealthServiceHealth, AutoscaleSecurity, , RecommendationlubPolicy
Obiekt wywołujący Adres e-mail lub identyfikator usługi Azure Active Directory użytkownika, który wykonał operację zdarzenia dziennika aktywności.
poziom Poziom działania w zdarzeniu dziennika aktywności dla alertu. Możliwe wartości: Critical, , WarningError, Informationallub Verbose.
operationName Nazwa operacji w zdarzeniu dziennika aktywności. Możliwe wartości: Microsoft.Resources/deployments/write.
resourceGroup Nazwa grupy zasobów dla zasobu, na który ma to wpływ, w zdarzeniu dziennika aktywności.
resourceProvider Aby uzyskać więcej informacji, zobacz Dostawcy zasobów i typy platformy Azure. Aby uzyskać listę mapowania dostawców zasobów na usługi platformy Azure, zobacz Dostawcy zasobów dla usług platformy Azure.
status Ciąg opisujący stan operacji w zdarzeniu działania. Możliwe wartości: Started, , SucceededIn Progress, Failed, ActivelubResolved
Podstanu Zwykle to pole jest kodem stanu HTTP odpowiedniego wywołania REST. To pole może również zawierać inne ciągi opisujące stan podrzędny. Przykłady kodów stanu HTTP obejmują OK (kod stanu HTTP: 200), No Content (kod stanu HTTP: 204) i Service Unavailable (kod stanu HTTP: 503), między innymi.
resourceType Typ zasobu, którego dotyczyło zdarzenie. Na przykład: Microsoft.Resources/deployments.

W tym przykładzie warunek jest ustawiany na kategorię Administracja :

"condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        }

Jest to przykładowy szablon, który tworzy regułę alertu dziennika aktywności przy użyciu warunku administracyjnego :

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "activityLogAlertName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Activity log alert."
      }
    },
    "activityLogAlertEnabled": {
      "type": "bool",
      "defaultValue": true,
      "metadata": {
        "description": "Indicates whether or not the alert is enabled."
      }
    },
    "actionGroupResourceId": {
      "type": "string",
      "metadata": {
        "description": "Resource Id for the Action group."
      }
    }
  },
  "resources": [   
    {
      "type": "Microsoft.Insights/activityLogAlerts",
      "apiVersion": "2017-04-01",
      "name": "[parameters('activityLogAlertName')]",      
      "location": "Global",
      "properties": {
        "enabled": "[parameters('activityLogAlertEnabled')]",
        "scopes": [
            "[subscription().id]"
        ],        
        "condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "operationName",
              "equals": "Microsoft.Resources/deployments/write"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        },
        "actions": {
          "actionGroups":
          [
            {
              "actionGroupId": "[parameters('actionGroupResourceId')]"
            }
          ]
        }
      }
    }
  ]
}

Ten przykładowy kod JSON można zapisać, na przykład sampleActivityLogAlert.json. Przykład można wdrożyć przy użyciu usługi Azure Resource Manager w Azure Portal.

Aby uzyskać więcej informacji na temat pól dziennika aktywności, zobacz Schemat zdarzeń dziennika aktywności platformy Azure.

Uwaga

Aktywowanie nowej reguły alertu dziennika aktywności może potrwać do 5 minut.

Tworzenie nowej reguły alertu dziennika aktywności przy użyciu interfejsu API REST

Interfejs API alertów dziennika aktywności usługi Azure Monitor jest interfejsem API REST. Jest ona w pełni zgodna z interfejsem API REST usługi Azure Resource Manager. Można go używać z programem PowerShell przy użyciu polecenia cmdlet Resource Manager lub interfejsu wiersza polecenia platformy Azure.

Uwaga

Zalecamy korzystanie z modułu Azure Az programu PowerShell do interakcji z platformą Azure. Zobacz Instalowanie Azure PowerShell, aby rozpocząć pracę. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wdrażanie szablonu Resource Manager przy użyciu programu PowerShell

Aby użyć programu PowerShell do wdrożenia przykładowego szablonu Resource Manager pokazanego w poprzedniej sekcji, użyj następującego polecenia:

New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile sampleActivityLogAlert.json -TemplateParameterFile sampleActivityLogAlert.parameters.json

Plik sampleActivityLogAlert.parameters.json zawiera wartości podane dla parametrów wymaganych do utworzenia reguły alertu.

Zmiany w obsłudze tworzenia reguł alertów dzienników

Jeśli tworzysz nową regułę alertu dziennika, pamiętaj, że bieżący kreator reguł alertów różni się nieco od wcześniejszego środowiska:

  • Wcześniej wyniki wyszukiwania zostały uwzględnione w ładunku wyzwolonego alertu i skojarzonych z nim powiadomień. Wiadomość e-mail zawierała tylko 10 wierszy z niefiltrowanych wyników, podczas gdy ładunek elementu webhook zawierał 1000 niefiltrowanych wyników. Aby uzyskać szczegółowe informacje o kontekście alertu w celu podjęcia decyzji o odpowiedniej akcji:
    • Zalecamy używanie wymiarów. Wymiary udostępniają wartość kolumny, która wyzwoliła alert, zapewniając kontekst dla przyczyny wyzwolenia alertu i sposobu rozwiązania problemu.
    • Jeśli musisz zbadać dzienniki, użyj linku w alercie prowadzącego do wyników wyszukiwania w dziennikach.
    • Jeśli potrzebujesz nieprzetworzonych wyników wyszukiwania lub chcesz wprowadzić inne zaawansowane dostosowania, użyj usługi Logic Apps.
  • Nowy kreator reguły alertu nie obsługuje dostosowywania ładunku JSON.
    • Użyj właściwości niestandardowych w nowym interfejsie API, aby dodać parametry statyczne i skojarzone wartości do akcji elementu webhook wyzwalanych przez alert.
    • Aby uzyskać bardziej zaawansowane dostosowania, użyj usługi Logic Apps.
  • Nowy kreator reguły alertu nie obsługuje dostosowywania tematu wiadomości e-mail.
    • Klienci często używają niestandardowego tematu wiadomości e-mail, aby wskazać zasób, z którego został wyzwolony alert, zamiast korzystać z obszaru roboczego usługi Log Analytics. Użyj nowego interfejsu API , aby wyzwolić alert żądanego zasobu przy użyciu kolumny identyfikatora zasobu.
    • Aby uzyskać bardziej zaawansowane dostosowania, użyj usługi Logic Apps.

Następne kroki