Tworzenie i edytowanie reguły alertu

W tym artykule pokazano, jak utworzyć nową regułę alertu lub edytować istniejącą regułę alertu. Aby dowiedzieć się więcej o alertach, zobacz omówienie alertów.

Regułę alertu można utworzyć, łącząc:

• Zasoby, które mają być monitorowane.
• Sygnał lub dane z zasobu.
• Warunki.

Następnie zdefiniujesz te elementy dla akcji alertu:

• Grupy akcji
• Reguły przetwarzania alertów

Alerty wyzwalane przez te reguły alertów zawierają ładunek korzystający ze wspólnego schematu alertów.

Tworzenie lub edytowanie reguły alertu w witrynie Azure Portal

Istnieje kilka sposobów tworzenia nowej reguły alertu.

Aby utworzyć nową regułę alertu na stronie głównej portalu:

1. W portalu wybierz pozycję Monitoruj>alerty.

2. Otwórz menu + Utwórz i wybierz pozycję Reguła alertu.

   

Aby utworzyć nową regułę alertu na podstawie określonego zasobu:

1. W portalu przejdź do zasobu.

2. Wybierz pozycję Alerty w okienku po lewej stronie, a następnie wybierz pozycję + Utwórz>regułę alertu.

   

Aby edytować istniejącą regułę alertu:

1. W portalu na stronie głównej lub w określonym zasobie wybierz pozycję Alerty w okienku po lewej stronie.

2. Wybierz pozycję Reguły alertów.

3. Wybierz regułę alertu, którą chcesz edytować, a następnie wybierz pozycję Edytuj.

   

4. Wybierz dowolną kartę reguły alertu, aby edytować ustawienia.

Ustawianie zakresu reguły alertu

1. W okienku Wybierz zasób ustaw zakres reguły alertu. Możesz filtrować według subskrypcji, typu zasobu lub lokalizacji zasobu.

2. Wybierz Zastosuj.

3. Wybierz pozycję Dalej: Warunek w dolnej części strony.

   

Ustawianie warunków reguły alertu

1. Na karcie Warunek po wybraniu pola Nazwa sygnału najczęściej używane sygnały są wyświetlane na liście rozwijanej. Wybierz jeden z tych popularnych sygnałów lub wybierz pozycję Zobacz wszystkie sygnały , jeśli chcesz wybrać inny sygnał dla warunku.

   

2. (Opcjonalnie) Jeśli w poprzednim kroku wybrano opcję Zobacz wszystkie sygnały , użyj okienka Wybierz sygnał , aby wyszukać nazwę sygnału lub przefiltrować listę sygnałów. Filtruj według:

   • Typ sygnału: typ tworzonej reguły alertu.
   • Źródło sygnału: usługa wysyłająca sygnał. Lista jest wstępnie wypełniana na podstawie wybranej reguły alertu.

   W tej tabeli opisano usługi dostępne dla każdego typu reguły alertu:

   Typ sygnału	Źródło sygnału	opis
   Metryki	Platforma	W przypadku sygnałów metryk usługa monitora jest przestrzenią nazw metryki. "Platforma" oznacza, że metryki są dostarczane przez dostawcę zasobów, a mianowicie platformę Azure.
   	Azure.Application Szczegółowe informacje	Metryki zgłaszane przez klienta wysyłane przez zestaw SDK usługi Application Szczegółowe informacje.
   	Azure.VM.Windows.GuestMetrics	Metryki gościa maszyny wirtualnej zebrane przez rozszerzenie uruchomione na maszynie wirtualnej. Może zawierać wbudowane liczniki wydajności systemu operacyjnego i niestandardowe liczniki wydajności.
   	<niestandardowa przestrzeń nazw>	Niestandardowa przestrzeń nazw metryk zawierająca metryki niestandardowe wysyłane za pomocą interfejsu API metryk usługi Azure Monitor.
   Dziennik	Log Analytics	Usługa, która udostępnia sygnały "Niestandardowe wyszukiwanie dzienników" i "Dziennik (zapisane zapytanie)".
   Dziennik aktywności	Dziennik aktywności — Administracja istrative	Usługa udostępniająca zdarzenia dziennika aktywności Administracja istracyjne.
   	Dziennik aktywności — zasady	Usługa udostępniająca zdarzenia dziennika aktywności zasad.
   	Dziennik aktywności — skalowanie automatyczne	Usługa udostępniająca zdarzenia dziennika aktywności autoskalowania.
   	Dziennik aktywności — zabezpieczenia	Usługa udostępniająca zdarzenia dziennika aktywności zabezpieczeń.
   Kondycja zasobów	Kondycja zasobów	Usługa, która zapewnia stan kondycji na poziomie zasobu.
   Kondycja usługi	Kondycja usługi	Usługa, która zapewnia stan kondycji na poziomie subskrypcji.

   Wybierz nazwę sygnału i zastosuj.

3. Wykonaj kroki na karcie odpowiadającej typowi tworzonego alertu.

   Alert dotyczący metryk

   1. Wyświetl podgląd wyników wybranego sygnału metryki w sekcji Wersja zapoznawcza . Wybierz wartości dla następujących pól.

      Pole	opis
      Zakres czasu	Zakres czasu do uwzględnienia w wynikach. Może to być od ostatnich sześciu godzin do ostatniego tygodnia.
      Szeregi czasowe	Szereg czasowy do uwzględnienia w wynikach.

   2. W sekcji Logika alertu:

      Pole	opis
      Threshold	Wybierz, czy próg ma być obliczany na podstawie wartości statycznej lub wartości dynamicznej. Próg statyczny ocenia regułę przy użyciu skonfigurowanej wartości progowej. Progi dynamiczne używają algorytmów uczenia maszynowego, aby stale uczyć się wzorców zachowań metryk i obliczać odpowiednie progi dla nieoczekiwanego zachowania. Możesz dowiedzieć się więcej na temat używania progów dynamicznych dla alertów metryk.
      Operator	Wybierz operator do porównywania wartości metryki z progiem. Jeśli używasz progów dynamicznych, reguły alertów mogą używać dostosowanych progów w oparciu o zachowanie metryki zarówno dla górnej, jak i dolnej granicy w tej samej regule alertu. Wybierz jeden z następujących operatorów: — Większa niż górna wartość progowa lub niższa niż próg niższy (wartość domyślna) - Większe niż górna wartość progowa - Niższa niż niższa wartość progowa
      Typ agregacji	Wybierz funkcję agregacji, która ma być stosowana w punktach danych: Sum, Count, Average, Min lub Max.
      Wartość progu	W przypadku wybrania progu statycznego wprowadź wartość progową logiki warunku.
      Jednostka	Jeśli wybrany sygnał metryki obsługuje różne jednostki, takie jak bajty, KB, MB i GB, a jeśli wybrano próg statyczny , wprowadź jednostkę logiki warunku.
      Czułość progowa	W przypadku wybrania progu dynamicznego wprowadź poziom poufności. Poziom poufności wpływa na wielkość odchylenia od wzorca serii metryk, który jest wymagany do wyzwolenia alertu. - Wysoki: Progi są ciasne i zbliżone do wzorca serii metryk. Reguła alertu jest wyzwalana przy najmniejszym odchyleniu, co powoduje zwiększenie liczby alertów. - Średni: Progi są mniej ciasne i bardziej zrównoważone. Istnieje mniej alertów niż w przypadku wysokiej poufności (ustawienie domyślne). - Niski: Progi są luźne, co pozwala na większe odchylenie od wzorca serii metryk. Reguły alertów są wyzwalane tylko w przypadku dużych odchyleń, co skutkuje mniejszą liczbą alertów.
      Stopień szczegółowości agregacji	Wybierz interwał używany do grupowania punktów danych przy użyciu funkcji typu agregacji. Wybierz stopień szczegółowości agregacji (okres), który jest większy niż częstotliwość oceny, aby zmniejszyć prawdopodobieństwo braku pierwszego okresu oceny dodanego szeregu czasowego.
      Częstotliwość szacowania	Wybierz częstotliwość uruchamiania reguły alertu. Wybierz częstotliwość mniejszą niż stopień szczegółowości agregacji, aby wygenerować okno przesuwane dla oceny.

   3. (Opcjonalnie) W zależności od typu sygnału może zostać wyświetlona sekcja Podział według wymiarów .

      Wymiary to pary nazwa-wartość, które zawierają więcej danych na temat wartości metryki. Używając wymiarów, można filtrować metryki i monitorować określone szeregi czasowe, zamiast monitorować agregację wszystkich wartości wymiarowych.

      Jeśli wybierzesz więcej niż jedną wartość wymiaru, każda seria czasowa, która wynika z kombinacji wyzwala własny alert i jest naliczana oddzielnie. Na przykład metryka transakcji konta magazynu może mieć wymiar nazwy interfejsu API, który zawiera nazwę interfejsu API wywoływanego przez każdą transakcję (na przykład GetBlob, DeleteBlob i PutPage). Możesz wybrać, że alert zostanie wyzwolony, gdy istnieje duża liczba transakcji w określonym interfejsie API (zagregowane dane). Możesz też użyć wymiarów, aby otrzymywać alerty tylko wtedy, gdy liczba transakcji jest wysoka dla określonych interfejsów API.

      Pole	opis
      Nazwa wymiaru	Wymiary mogą być kolumnami liczbowymi lub ciągowymi. Wymiary służą do monitorowania określonych szeregów czasowych i dostarczania kontekstu do wyzwolonego alertu. Dzielenie w kolumnie Identyfikator zasobu platformy Azure powoduje, że określony zasób jest określany jako docelowy alert. Jeśli zostanie wykryta, kolumna ResourceID zostanie wybrana automatycznie i zmieni kontekst wyzwolonego alertu na zasób rekordu.
      Operator	Operator używany w nazwie i wartości wymiaru.
      Wartości wymiarów	Wartości wymiarów są oparte na danych z ostatnich 48 godzin. Wybierz pozycję Dodaj wartość niestandardową, aby dodać niestandardowe wartości wymiarów.
      Uwzględnij wszystkie przyszłe wartości	Wybierz to pole, aby uwzględnić wszystkie przyszłe wartości dodane do wybranego wymiaru.

   4. (Opcjonalnie) W sekcji Kiedy należy ocenić :

      Pole	opis
      Sprawdzaj co	Wybierz, jak często reguła alertu sprawdza, czy warunek jest spełniony.
      Okres wsteczny	Wybierz, jak daleko do wyglądu za każdym razem, gdy dane są sprawdzane. Na przykład co 1 minutę spójrz wstecz 5 minut.

   5. (Opcjonalnie) W sekcji Opcje zaawansowane można określić liczbę błędów w określonym przedziale czasu wyzwalania alertu. Możesz na przykład określić, że chcesz wyzwolić alert tylko wtedy, gdy w ciągu ostatniej godziny wystąpiły trzy błędy. Zasady biznesowe aplikacji powinny określać to ustawienie.

      Wybierz wartości dla tych pól:

      Pole	opis
      Liczba naruszeń	Liczba naruszeń w skonfigurowanym przedziale czasowym, które wyzwalają alert.
      Okres oceny	Okres, w którym występuje liczba naruszeń.
      Ignoruj dane przed	Użyj tego ustawienia, aby wybrać datę rozpoczęcia korzystania z danych historycznych metryki do obliczania progów dynamicznych. Jeśli na przykład zasób był uruchomiony w trybie testowania i jest przenoszony do środowiska produkcyjnego, możesz zignorować zachowanie metryki podczas testowania zasobu.

   6. Wybierz pozycję Gotowe.

   Alert dziennika

   1. W okienku Dzienniki napisz zapytanie zwracające zdarzenia dziennika, dla których chcesz utworzyć alert.

      

      Aby użyć jednego ze wstępnie zdefiniowanych zapytań reguł alertów, rozwiń okienko Schemat i filtr po lewej stronie okienka Dzienniki . Następnie wybierz kartę Zapytania i wybierz jedno z zapytań.

   2. (Opcjonalnie) Jeśli wysyłasz zapytanie do klastra ADX lub ARG, usługa Log Analytics nie może automatycznie zidentyfikować kolumny ze znacznikiem czasu zdarzenia, dlatego zalecamy dodanie filtru zakresu czasu do zapytania. Na przykład:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
      

      arg("").Resources
      | where type =~ 'Microsoft.Compute/virtualMachines'
      | project _ResourceId=tolower(id), tags
      

      

   3. Wybierz pozycję Uruchom , aby uruchomić alert.

   4. W sekcji Wersja zapoznawcza przedstawiono wyniki zapytania. Po zakończeniu edytowania zapytania wybierz pozycję Kontynuuj edytowanie alertu.

   5. Zostanie otwarta karta Warunek wypełniona zapytaniem dziennika. Domyślnie reguła zlicza liczbę wyników w ciągu ostatnich pięciu minut. Jeśli system wykryje podsumowane wyniki zapytania, reguła zostanie automatycznie zaktualizowana o te informacje.

   6. W sekcji Miara wybierz wartości dla tych pól:

      

      Pole	opis
      Miara	Alerty dzienników mogą mierzyć dwie różne rzeczy, które mogą być używane w różnych scenariuszach monitorowania: Wiersze tabeli: liczba zwracanych wierszy może służyć do pracy ze zdarzeniami, takimi jak dzienniki zdarzeń systemu Windows, dziennik syslog i wyjątki aplikacji. Obliczanie kolumny liczbowej: obliczenia na podstawie dowolnej kolumny liczbowej mogą służyć do uwzględnienia dowolnej liczby zasobów. Przykładem jest procent procesora CPU.
      Typ agregacji	Obliczenia wykonywane na wielu rekordach w celu agregowania ich do jednej wartości liczbowej przy użyciu stopnia szczegółowości agregacji. Przykłady to Łączna, Średnia, Minimalna lub Maksymalna.
      Stopień szczegółowości agregacji	Interwał agregowania wielu rekordów na jedną wartość liczbową.

   7. (Opcjonalnie) W sekcji Podział według wymiarów można użyć wymiarów , aby ułatwić zapewnienie kontekstu wyzwalanego alertu.

      

      Wymiary to kolumny z wyników zapytania, które zawierają dodatkowe dane. Gdy używasz wymiarów, reguła alertu grupuje wyniki zapytania według wartości wymiarów i ocenia wyniki każdej grupy oddzielnie. Jeśli warunek zostanie spełniony, reguła wyzwoli alert dla tej grupy. Ładunek alertu zawiera kombinację, która wyzwoliła alert.

      Można zastosować maksymalnie sześć wymiarów na regułę alertu. Wymiary mogą być tylko kolumnami ciągowymi lub liczbowymi. Jeśli chcesz użyć kolumny, która nie jest liczbą lub typem ciągu jako wymiaru, musisz przekonwertować ją na ciąg lub wartość liczbową w zapytaniu. Jeśli wybierzesz więcej niż jedną wartość wymiaru, każda seria czasowa, która wynika z kombinacji wyzwala własny alert i jest naliczana oddzielnie.

      Na przykład:

      • Możesz użyć wymiarów do monitorowania użycia procesora CPU w wielu wystąpieniach z uruchomioną witryną internetową lub aplikacją. Każde wystąpienie jest monitorowane indywidualnie, a powiadomienia są wysyłane dla każdego wystąpienia, w którym użycie procesora CPU przekracza skonfigurowaną wartość.
      • Możesz zdecydować, że nie chcesz dzielić według wymiarów, jeśli chcesz, aby warunek został zastosowany do wielu zasobów w zakresie. Na przykład nie należy używać wymiarów, jeśli chcesz uruchomić alert, jeśli co najmniej pięć maszyn w zakresie grupy zasobów ma użycie procesora CPU powyżej skonfigurowanej wartości.

      Wybierz wartości dla tych pól:

      • Kolumna Identyfikator zasobu: ogólnie jeśli zakres reguły alertu jest obszarem roboczym, alerty są wyzwalane w obszarze roboczym. Jeśli chcesz mieć oddzielny alert dla każdego zasobu platformy Azure, którego dotyczy problem, możesz:
        • używanie kolumny Identyfikator zasobu platformy Azure usługi ARM jako wymiaru
        • określ go jako wymiar we właściwości Identyfikator zasobu platformy Azure, co sprawia, że zasób zwracany przez zapytanie jest obiektem docelowym alertu, dlatego alerty są wyzwalane na zasobie zwracanym przez zapytanie, takie jak maszyna wirtualna lub konto magazynu, w przeciwieństwie do obszaru roboczego. Jeśli używasz tej opcji, jeśli obszar roboczy pobiera dane z zasobów w więcej niż jednej subskrypcji, alerty mogą być wyzwalane dla zasobów z subskrypcji innej niż subskrypcja reguły alertu.

      Pole	opis
      Nazwa wymiaru	Wymiary mogą być kolumnami liczbowymi lub ciągowymi. Wymiary służą do monitorowania określonych szeregów czasowych i dostarczania kontekstu do wyzwolonego alertu.
      Operator	Operator używany w nazwie i wartości wymiaru.
      Wartości wymiarów	Wartości wymiarów są oparte na danych z ostatnich 48 godzin. Wybierz pozycję Dodaj wartość niestandardową, aby dodać niestandardowe wartości wymiarów.
      Uwzględnij wszystkie przyszłe wartości	Wybierz to pole, aby uwzględnić wszystkie przyszłe wartości dodane do wybranego wymiaru.

   8. W sekcji Logika alertu wybierz wartości dla następujących pól:

      

      Pole	Opis
      Operator	Wyniki zapytania są przekształcane w liczbę. W tym polu wybierz operator, który ma być używany, aby porównać liczbę z progiem.
      Wartość progu	Wartość liczbowa progu.
      Częstotliwość szacowania	Jak często jest uruchamiane zapytanie. Można ustawić w dowolnym miejscu od jednej minuty do jednego dnia (24 godziny).

      Uwaga

      Istnieją pewne ograniczenia dotyczące używania częstotliwości reguł alertów na minutę. Po ustawieniu częstotliwości reguły alertu na minutę wykonywana jest wewnętrzna manipulacja w celu zoptymalizowania zapytania. Ta manipulacja może spowodować niepowodzenie zapytania, jeśli zawiera nieobsługiwane operacje. Poniżej przedstawiono najczęstsze przyczyny, dla których zapytanie nie jest obsługiwane:

      • Zapytanie zawiera operacje wyszukiwania, union lub take (limit)
      • Zapytanie zawiera funkcję ingestion_time()
      • Zapytanie używa wzorca adx
      • Zapytanie wywołuje funkcję, która wywołuje inne tabele

   9. (Opcjonalnie) W sekcji Opcje zaawansowane można określić liczbę niepowodzeń i okres oceny alertu wymagany do wyzwolenia alertu. Jeśli na przykład ustawisz stopień szczegółowości agregacji na 5 minut, możesz określić, że chcesz wyzwolić alert tylko wtedy, gdy w ciągu ostatniej godziny wystąpiły trzy błędy (15 minut). Zasady biznesowe aplikacji określają to ustawienie.

      

      Wybierz wartości dla tych pól w obszarze Liczba naruszeń, aby wyzwolić alert:

      Pole	opis
      Liczba naruszeń	Liczba naruszeń wyzwalających alert.
      Okres oceny	Okres, w którym występuje liczba naruszeń.
      Zastąpij zakres czasu zapytania	Jeśli chcesz, aby okres oceny alertu był inny niż zakres czasu zapytania, wprowadź tutaj zakres czasu. Zakres czasu alertu jest ograniczony do maksymalnie dwóch dni. Nawet jeśli zapytanie zawiera polecenie ago z zakresem czasu dłuższym niż dwa dni, zostanie zastosowany maksymalny zakres czasu dwudniowy. Na przykład, nawet jeśli tekst zapytania zawiera ago(7d),zapytanie skanuje tylko do dwóch dni danych. Jeśli zapytanie wymaga większej ilości danych niż ocena alertu, możesz ręcznie zmienić zakres czasu. Jeśli zapytanie zawiera polecenie ago , zostanie ono automatycznie zmienione na 2 dni (48 godzin).

      Uwaga

      Jeśli ty lub administrator przypisał alerty usługi Azure Policy usługi Azure Log Search w obszarach roboczych usługi Log Analytics, należy użyć kluczy zarządzanych przez klienta, musisz wybrać pozycję Sprawdź połączony magazyn obszaru roboczego. Jeśli tego nie zrobisz, tworzenie reguły zakończy się niepowodzeniem, ponieważ nie spełnia wymagań zasad.

   10. Wykres podglądu przedstawia wyniki oceny zapytań w czasie. Możesz zmienić okres wykresu lub wybrać inną serię czasową, która wynika z unikatowego podziału alertu według wymiarów.

       

   Alert dziennika aktywności

   1. W okienku Warunki wybierz okres wykresu.

   2. Wykres Podgląd przedstawia wyniki wyboru.

   3. Wybierz wartości dla każdego z tych pól w sekcji Logika alertu:

      Pole	opis
      Poziom zdarzenia	Wybierz poziom zdarzeń dla tej reguły alertu. Wartości to Krytyczne, Błąd, Ostrzeżenie, Informacyjne, Pełne i Wszystkie.
      Stan	Wybierz poziomy stanu alertu.
      Zdarzenie zainicjowane przez	Wybierz użytkownika lub jednostkę usługi, która zainicjowała zdarzenie.

   Alert usługi Resource Health

   W okienku Warunki wybierz wartości dla każdego z tych pól:

   Pole	opis
   Stan zdarzenia	Wybierz stany zdarzeń usługi Resource Health. Wartości są aktywne, w toku, rozwiązane i zaktualizowane.
   Bieżący stan zasobu	Wybierz bieżący stan zasobu. Wartości są dostępne, obniżone i niedostępne.
   Poprzedni stan zasobu	Wybierz poprzedni stan zasobu. Wartości są dostępne, obniżone, niedostępne i nieznane.
   Typ przyczyny	Wybierz przyczyny zdarzeń usługi Resource Health. Wartości to Zainicjowane przez platformę, Nieznane i Zainicjowane przez użytkownika.

   Alert usługi Service Health

   W okienku Warunki wybierz wartości dla każdego z tych pól:

   Pole	opis
   Usługi	Wybierz usługi platformy Azure.
   Regiony	Wybierz regiony platformy Azure.
   Typy zdarzeń	Wybierz typy zdarzeń usługi Service Health. Wartości to problem z usługą, planowana konserwacja, porady dotyczące kondycji i biuletyny zabezpieczeń.

   Od tego momentu możesz wybrać przycisk Przejrzyj i utwórz w dowolnym momencie.

Ustawianie akcji reguły alertu

1. Na karcie Akcje wybierz lub utwórz wymagane grupy akcji.

   

Ustawianie szczegółów reguły alertu

1. Na karcie Szczegóły zdefiniuj szczegóły projektu.

   • Wybierz pozycję Subskrypcja.
   • Wybierz grupę zasobów.

2. Zdefiniuj szczegóły reguły alertu.

   Alert dotyczący metryk

   

   1. Wybierz ważność.

   2. Wprowadź wartości nazwy reguły alertu i opisu reguły alertu.

   3. (Opcjonalnie) Jeśli tworzysz regułę alertu dotyczącego metryk, która monitoruje metrykę niestandardową z zakresem zdefiniowanym jako jeden z następujących regionów i chcesz upewnić się, że przetwarzanie danych dla reguły alertu odbywa się w tym regionie, możesz wybrać proces reguły alertu w jednym z następujących regionów:

      • Europa Północna
      • West Europe
      • Szwecja Środkowa
      • Niemcy Środkowo-Zachodnie

      Stale dodajemy więcej regionów do przetwarzania danych regionalnych.

   4. (Opcjonalnie) W sekcji Opcje zaawansowane można ustawić kilka opcji.

      Pole	opis
      Włącz po utworzeniu	Wybierz regułę alertu, aby rozpocząć działanie natychmiast po zakończeniu jego tworzenia.
      Automatyczne rozwiązywanie alertów (wersja zapoznawcza)	Wybierz, aby ustawić alert jako stanowy. Gdy alert jest stanowy, alert zostanie rozwiązany, gdy warunek nie zostanie już spełniony. Jeśli to pole wyboru nie zostanie zaznaczone, alerty dotyczące metryk są bezstanowe. Alerty bezstanowe są wyzwalane za każdym razem, gdy warunek zostanie spełniony, nawet jeśli alert został już wyzwolony. Częstotliwość powiadomień dotyczących alertów metryk bezstanowych różni się w zależności od skonfigurowanej częstotliwości reguły alertu: Częstotliwość alertów mniejsza niż 5 minut: gdy warunek będzie nadal spełniony, powiadomienie jest wysyłane gdzieś między jedną a sześcioma minutami. Częstotliwość alertów większa niż 5 minut: Podczas gdy warunek będzie nadal spełniony, powiadomienie jest wysyłane między skonfigurowaną częstotliwością a podwaja wartość częstotliwości. Na przykład w przypadku reguły alertu z częstotliwością 15 minut powiadomienie jest wysyłane gdzieś od 15 do 30 minut.

   Alert dziennika

   

   1. Wybierz ważność.

   2. Wprowadź wartości nazwy reguły alertu i opisu reguły alertu.

   3. Wybierz region.

   4. W sekcji Tożsamość wybierz tożsamość używaną przez regułę alertu dziennika do wysyłania zapytania dziennika. Ta tożsamość jest używana do uwierzytelniania, gdy reguła alertu wykonuje zapytanie dziennika.

      Podczas wybierania tożsamości należy pamiętać o następujących kwestiach:

      • Tożsamość zarządzana jest wymagana, jeśli wysyłasz zapytanie do usługi Azure Data Explorer.
      • Użyj tożsamości zarządzanej, jeśli chcesz mieć możliwość wyświetlania lub edytowania uprawnień skojarzonych z regułą alertu.
      • Jeśli nie używasz tożsamości zarządzanej, uprawnienia reguły alertu są oparte na uprawnieniach ostatniego użytkownika do edytowania reguły, w momencie ostatniej edycji reguły.
      • Użyj tożsamości zarządzanej, aby uniknąć przypadku, w którym reguła nie działa zgodnie z oczekiwaniami, ponieważ użytkownik, który ostatnio edytował regułę, nie ma uprawnień do wszystkich zasobów dodanych do zakresu reguły.

      Tożsamość skojarzona z regułą musi mieć następujące role:

      • Jeśli zapytanie uzyskuje dostęp do obszaru roboczego usługi Log Analytics, tożsamość musi mieć przypisaną rolę Czytelnik dla wszystkich obszarów roboczych, do których uzyskuje dostęp zapytanie. Jeśli tworzysz alerty dziennika skoncentrowane na zasobach, reguła alertu może uzyskiwać dostęp do wielu obszarów roboczych, a tożsamość musi mieć rolę czytelnika dla wszystkich z nich.
      • Jeśli wysyłasz zapytania dotyczące klastra ADX lub ARG, musisz dodać rolę Czytelnik dla wszystkich źródeł danych, do których uzyskuje dostęp zapytanie. Jeśli na przykład zapytanie jest skoncentrowane na zasobach, potrzebuje roli czytelnika dla tych zasobów.
      • Jeśli zapytanie uzyskuje dostęp do zdalnego klastra usługi Azure Data Explorer, tożsamość musi być przypisana:
        • Rola czytelnika dla wszystkich źródeł danych, do których uzyskuje dostęp zapytanie. Jeśli na przykład zapytanie wywołuje zdalny klaster usługi Azure Data Explorer przy użyciu funkcji adx(), potrzebuje roli czytelnika w tym klastrze ADX.
        • Przeglądarka baz danych dla wszystkich baz danych, do których uzyskuje dostęp zapytanie.

      Aby uzyskać szczegółowe informacje na temat tożsamości zarządzanych, zobacz tożsamości zarządzane dla zasobów platformy Azure.

      Wybierz jedną z następujących opcji tożsamości używanej przez regułę alertu:

      Tożsamość	Opis
      None	Uprawnienia reguły alertu są oparte na uprawnieniach ostatniego użytkownika, który edytował regułę, w momencie edytowania reguły.
      Tożsamość zarządzana przypisana przez system	Platforma Azure tworzy nową dedykowaną tożsamość dla tej reguły alertu. Ta tożsamość nie ma uprawnień i jest automatycznie usuwana po usunięciu reguły. Po utworzeniu reguły należy przypisać uprawnienia do tej tożsamości, aby uzyskać dostęp do obszaru roboczego i źródeł danych wymaganych dla zapytania. Aby uzyskać więcej informacji na temat przypisywania uprawnień, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
      Tożsamość zarządzana przypisana przez użytkownika	Przed utworzeniem reguły alertu należy utworzyć tożsamość i przypisać jej odpowiednie uprawnienia dla zapytania dziennika. Jest to zwykła tożsamość platformy Azure. Możesz użyć jednej tożsamości w wielu regułach alertów. Tożsamość nie jest usuwana po usunięciu reguły. Po wybraniu tego typu tożsamości zostanie otwarte okienko w celu wybrania skojarzonej tożsamości dla reguły.

   5. (Opcjonalnie) W sekcji Opcje zaawansowane można ustawić kilka opcji:

      Pole	opis
      Włącz po utworzeniu	Wybierz regułę alertu, aby rozpocząć działanie natychmiast po zakończeniu jego tworzenia.
      Automatyczne rozwiązywanie alertów (wersja zapoznawcza)	Wybierz, aby ustawić alert jako stanowy. Gdy alert jest stanowy, alert zostanie rozwiązany, gdy warunek nie zostanie już spełniony dla określonego zakresu czasu. Zakres czasu różni się w zależności od częstotliwości alertu: 1 minuta: Warunek alertu nie jest spełniony przez 10 minut. 5–15 minut: Warunek alertu nie jest spełniony przez trzy okresy częstotliwości. 15 minut — 11 godzin: warunek alertu nie jest spełniony przez dwa okresy częstotliwości. Od 11 do 12 godzin: warunek alertu nie jest spełniony przez jeden okres częstotliwości.
      Akcje wyciszenia	Wybierz, aby ustawić okres oczekiwania przed ponownym wyzwoleniem akcji alertu. Jeśli zaznaczysz to pole wyboru, akcje wyciszenia dla pola będą wyglądać tak, aby wybrać czas oczekiwania po wyzwoleniu alertu przed ponownym wyzwoleniem akcji.
      Sprawdzanie połączonego magazynu obszaru roboczego	Wybierz, czy skonfigurowano połączony magazyn obszaru roboczego dla alertów. Jeśli nie skonfigurowano magazynu połączonego, reguła nie zostanie utworzona.

   Alert dziennika aktywności

   

   1. Wprowadź wartości nazwy reguły alertu i opisu reguły alertu.
   2. Wybierz pozycję Włącz po utworzeniu reguły alertu, aby rozpocząć działanie natychmiast po zakończeniu jego tworzenia.

   Alert usługi Resource Health

   

   1. Wprowadź wartości nazwy reguły alertu i opisu reguły alertu.
   2. Wybierz pozycję Włącz po utworzeniu reguły alertu, aby rozpocząć działanie natychmiast po zakończeniu jego tworzenia.

   Alert usługi Service Health

   

   1. Wprowadź wartości nazwy reguły alertu i opisu reguły alertu.
   2. Wybierz pozycję Włącz po utworzeniu reguły alertu, aby rozpocząć działanie natychmiast po zakończeniu jego tworzenia.

3. (Opcjonalnie) W sekcji Właściwości niestandardowe, jeśli skonfigurowano grupy akcji dla tej reguły alertu, możesz dodać własne właściwości do uwzględnienia w ładunku powiadomienia alertu. Te właściwości można używać w akcjach wywoływanych przez grupę akcji, takich jak element webhook, funkcja platformy Azure lub akcje aplikacji logiki.

   Właściwości niestandardowe są określane jako pary key:value, używając tekstu statycznego, wartości dynamicznej wyodrębnionej z ładunku alertu lub kombinacji obu tych elementów.

   Format wyodrębniania wartości dynamicznej z ładunku alertu to: ${<path to schema field>}. Na przykład: ${data.essentials.monitorCondition}.

   Użyj wspólnego formatu schematu alertu, aby określić pole w ładunku, niezależnie od tego, czy grupy akcji skonfigurowane dla reguły alertu używają wspólnego schematu.

   

   W poniższych przykładach wartości we właściwościach niestandardowych są używane do korzystania z danych z ładunku, który używa wspólnego schematu alertu:

   Przykład 1

   W tym przykładzie tworzony jest tag "Dodatkowe szczegóły" z danymi dotyczącymi czasu rozpoczęcia okna i godziny zakończenia okna.

   • Nazwa: "Dodatkowe szczegóły"
   • Wartość: "Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
   • Wynik: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

   Przykład 2 Ten przykład dodaje dane dotyczące przyczyny rozwiązania lub wypalania alertu.

   • Nazwa: "Alert ${data.essentials.monitorCondition} reason"
   • Wartość: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Wartość to ${data.alertContext.condition.allOf[0].metricValue}"
   • Wynik: Przykładowe wyniki mogą wyglądać mniej więcej tak:
     • "Przyczyna rozwiązania alertu: Procent użycia procesora CPU GreaterThan5 został rozwiązany. Wartość to 3,585"
     • "Przyczyna wyzwolenia alertu": "Procent użycia procesora CPU GreaterThan5 został wyzwolony. Wartość to 10,585"

   Uwaga

   Wspólny schemat zastępuje konfiguracje niestandardowe. W związku z tym nie można używać zarówno właściwości niestandardowych, jak i wspólnego schematu dla alertów dzienników.

Kończenie tworzenia reguły alertu

1. Na karcie Tagi ustaw wszystkie wymagane tagi w zasobie reguły alertu.

   

2. Na karcie Przeglądanie i tworzenie reguła jest weryfikowana i informuje o wszelkich problemach.

3. Po zakończeniu weryfikacji i zapoznaniu się z ustawieniami wybierz przycisk Utwórz.

   

Tworzenie nowej reguły alertu przy użyciu interfejsu wiersza polecenia

Nową regułę alertu można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure. W poniższych przykładach kodu użyto usługi Azure Cloud Shell. Pełną listę poleceń interfejsu wiersza polecenia platformy Azure dla usługi Azure Monitor można wyświetlić.

1. W portalu wybierz pozycję Cloud Shell. W wierszu polecenia użyj następujących poleceń.

   Alert dotyczący metryk

   Aby utworzyć regułę alertu az monitor metrics alert create metryki, użyj polecenia . Szczegółową dokumentację dotyczącą polecenia tworzenia reguły alertu dotyczącego metryki można znaleźć w az monitor metrics alert create sekcji dokumentacji referencyjnej interfejsu wiersza polecenia dla alertów dotyczących metryk.

   Aby utworzyć regułę alertu metryki, która monitoruje, jeśli średni procent użycia procesora CPU na maszynie wirtualnej jest większy niż 90:

    az monitor metrics alert create -n {nameofthealert} -g {ResourceGroup} --scopes {VirtualMachineResourceID} --condition "avg Percentage CPU > 90" --description {descriptionofthealert}
   

   Alert dziennika

   Obsługa interfejsu wiersza polecenia platformy Azure jest dostępna tylko dla wersji 2021-08-01 interfejsu API i nowszych scheduledQueryRules wersji. Poprzednie wersje interfejsu API mogą używać interfejsu wiersza polecenia usługi Azure Resource Manager z szablonami. Jeśli używasz starszego interfejsu API alertów usługi Log Analytics, przejdź do korzystania z interfejsu wiersza polecenia. Dowiedz się więcej o przełączaniu.

   Aby utworzyć regułę alertu dziennika, która monitoruje liczbę błędów zdarzeń systemowych:

   az monitor scheduled-query create -g {ResourceGroup} -n {nameofthealert} --scopes {vm_id} --condition "count \'union Event, Syslog | where TimeGenerated > a(1h) | where EventLevelName == \"Error\" or SeverityLevel== \"err\"\' > 2" --description {descriptionofthealert}
   

   Alert dziennika aktywności

   Aby utworzyć nową regułę alertu dziennika aktywności, użyj następujących poleceń:

   • az monitor activity-log alert create: Utwórz nowy zasób reguły alertu dziennika aktywności.
   • az monitor activity-log alert scope: Dodaj zakres dla utworzonej reguły alertu dziennika aktywności.
   • az monitor activity-log alert action-group: Dodaj grupę akcji do reguły alertu dziennika aktywności.

   Szczegółową dokumentację dotyczącą polecenia create reguły alertu dziennika aktywności można znaleźć w az monitor activity-log alert create sekcji dokumentacji referencyjnej interfejsu wiersza polecenia dla alertów dziennika aktywności.

   Alert usługi Resource Health

   Aby utworzyć nową regułę alertu dziennika aktywności, użyj następujących poleceń przy użyciu Resource Health kategorii:

   • az monitor activity-log alert create: Utwórz nowy zasób reguły alertu dziennika aktywności.
   • az monitor activity-log alert scope: Dodaj zakres dla utworzonej reguły alertu dziennika aktywności.
   • az monitor activity-log alert action-group: Dodaj grupę akcji do reguły alertu dziennika aktywności.

   Szczegółową dokumentację dotyczącą polecenia create reguły alertu można znaleźć w az monitor activity-log alert create sekcji dokumentacji referencyjnej interfejsu wiersza polecenia dla alertów dziennika aktywności.

   Alert usługi Service Health

   Aby utworzyć nową regułę alertu dziennika aktywności, użyj następujących poleceń przy użyciu Service Health kategorii:

   • az monitor activity-log alert create: Utwórz nowy zasób reguły alertu dziennika aktywności.
   • az monitor activity-log alert scope: Dodaj zakres dla utworzonej reguły alertu dziennika aktywności.
   • az monitor activity-log alert action-group: Dodaj grupę akcji do reguły alertu dziennika aktywności.

   Szczegółową dokumentację dotyczącą polecenia create reguły alertu można znaleźć w az monitor activity-log alert create sekcji dokumentacji referencyjnej interfejsu wiersza polecenia dla alertów dziennika aktywności.

---

Tworzenie nowej reguły alertu za pomocą programu PowerShell

• Aby utworzyć regułę alertu metryki przy użyciu programu PowerShell, użyj polecenia cmdlet Add-AzMetricAlertRuleV2 .
• Aby utworzyć regułę alertu dziennika przy użyciu programu PowerShell, użyj polecenia cmdlet New-AzScheduledQueryRule .
• Aby utworzyć regułę alertu dziennika aktywności przy użyciu programu PowerShell, użyj polecenia cmdlet Set-AzActivityLogAlert .

Tworzenie nowej reguły alertu przy użyciu szablonu usługi ARM

Szablon usługi Azure Resource Manager (szablon usługi ARM) umożliwia spójne konfigurowanie reguł alertów we wszystkich środowiskach.

1. Utwórz nowy zasób przy użyciu następujących typów zasobów:
   • W przypadku alertów dotyczących metryk: Microsoft.Insights/metricAlerts
   • W przypadku alertów dzienników: Microsoft.Insights/scheduledQueryRules
   • W przypadku alertów dziennika aktywności, kondycji usługi i kondycji zasobów: microsoft.Insights/activityLogAlerts

   Uwaga

   • Alerty metryk dla typu zasobu obszaru roboczego usługi Azure Log Analytics (Microsoft.OperationalInsights/workspaces) są konfigurowane inaczej niż inne alerty metryk. Aby uzyskać więcej informacji, zobacz Szablon zasobu dla alertów metryk dla dzienników.
   • Zalecamy utworzenie alertu dotyczącego metryki przy użyciu tej samej grupy zasobów co zasób docelowy.
2. Skopiuj jeden z szablonów z tych przykładowych szablonów usługi ARM.
   • W przypadku alertów dotyczących metryk: przykłady szablonów usługi Resource Manager dla reguł alertów dotyczących metryk
   • W przypadku alertów dzienników: przykłady szablonów usługi Resource Manager dla reguł alertów dzienników
   • W przypadku alertów dziennika aktywności: przykłady szablonów usługi Resource Manager dla reguł alertów dziennika aktywności
   • W przypadku alertów dotyczących kondycji zasobów: przykłady szablonów usługi Resource Manager dla reguł alertów dotyczących kondycji zasobów
3. Edytuj plik szablonu, aby zawierał odpowiednie informacje dotyczące alertu, a następnie zapisz plik jako <plik-alert-template-file.json>.
4. Zmodyfikuj odpowiedni plik parametrów, aby dostosować alert, i zapisz go jako <plik-alert-template.parameters.json>.
5. metricName Ustaw parametr przy użyciu jednej z wartości w obsługiwanych metrykach usługi Azure Monitor.
6. Wdróż szablon przy użyciu programu PowerShell lub interfejsu wiersza polecenia.

Dodatkowe właściwości szablonów usługi ARM alertów dziennika aktywności

Uwaga

• Alerty dziennika aktywności są definiowane na poziomie subskrypcji. Nie można zdefiniować jednej reguły alertu dla więcej niż jednej subskrypcji.
• Aktywowanie nowej reguły alertu dziennika aktywności może potrwać do pięciu minut.

Szablony usługi ARM dla alertów dziennika aktywności zawierają dodatkowe właściwości pól warunków. Pola Usługi Resource Health, Advisor i Service Health mają dodatkowe pola właściwości.

Pole	opis
resourceId	Identyfikator zasobu, którego dotyczy problem, w zdarzeniu dziennika aktywności, na którym jest generowany alert.
category	Kategoria zdarzenia dziennika aktywności. Możliwe wartości to Administrative, , ServiceHealth, AutoscaleResourceHealthSecurity, , , Recommendationlub Policy.
Obiekt wywołujący	Adres e-mail lub identyfikator Microsoft Entra użytkownika, który wykonał operację zdarzenia dziennika aktywności.
poziom	Poziom działania w zdarzeniu dziennika aktywności dla alertu. Możliwe wartości to Critical, , WarningError, Informational, lub Verbose.
operationName	Nazwa operacji w zdarzeniu dziennika aktywności. Możliwe wartości to Microsoft.Resources/deployments/write.
resourceGroup	Nazwa grupy zasobów dla zasobu, którego dotyczy problem, w zdarzeniu dziennika aktywności.
resourceProvider	Aby uzyskać więcej informacji, zobacz Dostawcy zasobów i typy platformy Azure. Aby uzyskać listę mapowania dostawców zasobów na usługi platformy Azure, zobacz Dostawcy zasobów dla usług platformy Azure.
stan	Ciąg opisujący stan operacji w zdarzeniu działania. Możliwe wartości to Started, , SucceededIn Progress, Failed, , Activelub Resolved.
Podstanu	Zazwyczaj to pole jest kodem stanu HTTP odpowiedniego wywołania REST. To pole może również zawierać inne ciągi opisujące podstatu. Przykłady kodów stanu HTTP obejmują OK (kod stanu HTTP: 200), No Content (kod stanu HTTP: 204) i Service Unavailable (kod stanu HTTP: 503), między innymi.
resourceType	Typ zasobu, którego dotyczy zdarzenie. Może to być na przykład Microsoft.Resources/deployments.

Aby uzyskać więcej informacji na temat pól dziennika aktywności, zobacz Schemat zdarzeń dziennika aktywności platformy Azure.

Tworzenie reguły alertu dziennika aktywności w okienku Dziennik aktywności

Można również utworzyć alert dziennika aktywności dla przyszłych zdarzeń podobnych do zdarzenia dziennika aktywności, które już wystąpiło.

1. W portalu przejdź do okienka Dziennik aktywności.

2. Filtruj lub znajdź żądane zdarzenie. Następnie utwórz alert, wybierając pozycję Dodaj alert dziennika aktywności.

   

3. Zostanie otwarty kreator Tworzenia reguły alertu z zakresem i warunkiem podanym już zgodnie z wcześniej wybranym zdarzeniem dziennika aktywności. W razie potrzeby możesz edytować i modyfikować zakres i warunek na tym etapie. Domyślnie dokładny zakres i warunek nowej reguły są kopiowane z oryginalnych atrybutów zdarzenia. Na przykład dokładny zasób, na którym wystąpiło zdarzenie, oraz określona nazwa użytkownika lub usługi, która zainicjowała zdarzenie, są domyślnie uwzględniane w nowej regule alertu.

   Jeśli chcesz, aby reguła alertu bardziej ogólna, zmodyfikuj odpowiednio zakres i warunek. Zobacz kroki 3–9 w sekcji "Tworzenie nowej reguły alertu w witrynie Azure Portal".

4. Wykonaj pozostałe kroki z sekcji Tworzenie nowej reguły alertu w witrynie Azure Portal.

Następne kroki

Wyświetlanie wystąpień alertów i zarządzanie nimi