Criar ou editar uma regra de alerta de pesquisa de log

Este artigo mostra como criar uma nova regra de alerta de pesquisa de log ou editar uma regra de alerta de pesquisa de log existente. Para saber mais sobre alertas, confira a visão geral dos alertas.

Você cria uma regra de alerta combinando os recursos a serem monitorados, os dados de monitoramento do recurso e as condições que deseja disparar o alerta. Em seguida, você pode definir grupos de ações e regras de processamento de alerta para determinar o que acontece quando um alerta é disparado.

Os alertas disparados por essas regras de alerta incluem um conteúdo que usa o esquema de alerta comum.

Acessando o assistente de regra de alerta no portal do Azure

Há várias maneiras de criar ou editar uma nova regra de alerta.

Criar ou editar uma regra de alerta na home page do portal

1. No portal, selecione Monitor>Alertas.

2. Abra o menu + Criar e selecione Regra de alerta.

   

Criar ou editar uma regra de alerta de um recurso específico

1. No portal, navegue até o recurso.

2. Selecione Alertas no painel esquerdo e, em seguida, selecione + Criar>Regra de alerta.

   

Editar uma regra de alerta existente

1. No portal, na página inicial ou em um recurso específico, selecione Alertas no painel esquerdo.

2. Selecione Regras de alertas.

3. Selecione a regra de alerta que você deseja editar e selecione Editar.

   

4. Selecione qualquer uma das guias da regra de alerta para editar as configurações.

Configurar o escopo da regra de alerta

1. No painel Selecionar um recurso, defina o escopo da regra de alerta. Filtre o conteúdo por assinatura, tipo de recurso ou local do recurso.

2. Escolha Aplicar.

   

Configurar as condições da regra de alerta

1. Na guia Condição, ao selecionar o campo Nome do Sinal, selecione Pesquisa de log personalizado ou selecione Ver todos os sinais se quiser escolher um sinal diferente para a condição.

2. (Opcional) Se você optou por Ver todos os sinais na etapa anterior, use o painel Selecione um sinal para pesquisar o nome do sinal ou filtrar a lista de sinais. Filtrar por:

   • Tipo de sinal: selecione a pesquisa de log.
   • Origem do sinal: o serviço que envia os sinais “Pesquisa de log personalizada” e “Log (consulta salva)”. Selecione o Nome do sinal e Aplicar.

3. No painel Logs, escreva uma consulta que retorne os eventos de log para os quais você deseja criar um alerta. Para usar uma das consultas de regra de alerta predefinidas, expanda o painel Esquema e filtro à esquerda do painel Logs. Em seguida, selecione a guia Consultas e escolha uma das consultas.

Limitações para consultas de regra de alerta de pesquisa de log:

• As consultas de regra de alerta de pesquisa de log não dão suporte aos plug-ins "bag_unpack()", "pivot()" e "narrow()".

• A palavra “AggregatedValue” é uma palavra reservada, não pode ser usada na consulta nas regras de alerta de pesquisa de logs.

• O tamanho combinado de todos os dados nas propriedades da regra de alerta de log não pode exceder 64 KB.

  

1. (Opcional) Se você estiver consultando um cluster ADX ou ARG, o Log Analytics não poderá identificar automaticamente a coluna com o carimbo de data/hora do evento. Recomendamos que você adicione um filtro de intervalo de tempo à consulta. Por exemplo:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Para obter consultas de alerta de pesquisa de log de exemplo que consultam ARG ou ADX, consulte exemplos de consulta de alerta de pesquisa de log.

   Essas são as limitações para usar consultas cruzadas:

   • Limitações de consulta entre serviços
   • Combinar tabelas do Azure Resource Graph com um workspace do Log Analytics
   • Sem suporte em nuvens governamentais

2. Clique em Executar para executar o alerta.

3. A seção Visualização mostra os resultados da consulta. Ao terminar de editar sua consulta, selecione Continuar Editando Alerta.

4. A guia Condição é aberta, preenchida com sua consulta de log. Por padrão, a regra conta o número de resultados dos últimos cinco minutos. Se o sistema detectar resultados de consulta resumidos, a regra será atualizada automaticamente com essas informações.

5. Na seção Medida, selecione os valores para estes campos:

   

   Campo	Descrição
   Medida	Os alertas de pesquisa de log podem medir duas coisas diferentes, que podem ser usadas para diferentes cenários de monitoramento: Linhas da tabela: conta o número de linhas retornadas pela consulta e pode ser usado para trabalhar com eventos como logs de eventos do Windows, Syslog e exceções de aplicativo. Cálculo de uma coluna numérica: faz um cálculo com base em uma coluna numérica e pode ser usado para incluir qualquer número de recursos. Um exemplo é o percentual de CPU.
   Tipo de agregação	O cálculo feito em diversos registros para agregá-los em um valor numérico usando a granularidade de agregação. Entre os exemplos estão Total, Média, Mínimo ou Máximo.
   Granularidade de agregação	O intervalo para agregar vários registros a um valor numérico.

6. (Opcional) Na seção Dividir por dimensões, você pode usar dimensões para ajudar a fornecer contexto para o alerta disparado.

   

   As dimensões são colunas dos resultados da consulta que contêm dados adicionais. Quando você usa dimensões, a regra de alerta agrupa os resultados da consulta pelos valores de dimensão e avalia os resultados de cada grupo separadamente. Se a condição for atendida, a regra disparará um alerta para esse grupo. O conteúdo do alerta inclui a combinação que disparou o alerta.

   Você pode aplicar até seis dimensões por regra de alerta. As dimensões só podem ser em cadeia ou colunas numéricas. Se você quiser usar uma coluna que não seja um número ou um tipo de cadeia de caracteres como uma dimensão, você deverá convertê-la em uma cadeia de caracteres ou valor numérico em sua consulta. Se você selecionar mais de um valor de dimensão, cada série temporal resultante da combinação disparará seu próprio alerta e será cobrada separadamente.

   Por exemplo:

   • Use as dimensões para monitorar o uso da CPU em várias instâncias em execução em seu site ou aplicativo. Cada instância é monitorada individualmente e as notificações são enviadas para cada instância em que o uso da CPU excede o valor configurado.
   • Você pode decidir não dividir por dimensões quando quiser uma condição aplicada a vários recursos no escopo. Por exemplo, você não usaria dimensões se desejasse disparar um alerta se pelo menos cinco máquinas no escopo do grupo de recursos tivessem uso de CPU acima do valor configurado.

   Selecione valores para estes campos:

   • Coluna da ID do recurso: em geral, se o escopo da regra de alerta for um espaço de trabalho, os alertas serão disparados no espaço de trabalho. Caso queira um alerta separado para cada recurso do Azure afetado, é possível:
     • use a coluna ID de Recurso do Azure do ARM como uma dimensão (observe que, usando essa opção, o alerta será disparado no workspace com a coluna ID de Recurso do Azure como uma dimensão.
     • especifique-o como uma dimensão na propriedade ID de Recurso do Azure, o que torna o recurso retornado por sua consulta o alvo do alerta, portanto, os alertas são acionados no recurso retornado por sua consulta, como uma máquina virtual ou uma conta de armazenamento, e não no espaço de trabalho. Quando você usa essa opção, se o espaço de trabalho obtém dados de recursos em mais de uma assinatura, os alertas podem ser disparados em recursos de uma assinatura que é diferente da assinatura de regra do alerta.

   Campo	Descrição
   Nome da dimensão	As dimensões podem ser colunas de número ou cadeia de caracteres. As dimensões são usadas para monitorar séries temporárias específicas e fornecem contexto para um alerta acionado.
   Operador	O operador usado no nome e no valor da dimensão.
   Valores de dimensão	Os valores de dimensão se baseiam nos dados de métrica das últimas 48 horas. Selecione Adicionar valor personalizado para adicionar valores de dimensão personalizados.
   Incluir todos os valores futuros	Selecione este campo para incluir quaisquer valores futuros adicionados à dimensão selecionada.

7. Na seção Lógica de alerta, selecione os valores para estes campos:

   

   Campo	Descrição
   Operador	Os resultados da consulta são transformados em um número. Nesse campo, selecione o operador a ser usado para comparar o número com o limite.
   Valor limite	Um valor numérico para o limite.
   Frequência de avaliação	A frequência de execução da consulta. Pode ser definido em qualquer lugar de um minuto a um dia (24 horas).

   Observação

   Há algumas limitações para usar uma frequência de regra de alerta de um minuto. Quando você define a frequência da regra de alerta como um minuto, uma manipulação interna é executada para otimizar a consulta. Essa manipulação poderá fazer com que a consulta falhe se ela contiver operações sem suporte. Veja a seguir os motivos mais comuns pelos quais uma consulta não tem suporte:

   • A consulta contém as operações de pesquisa, união * ou tomada (limite)
   • A consulta contém a função ingestion_time()
   • A consulta usa o padrão adx
   • A consulta chama uma função que chama outras tabelas

   Para obter consultas de alerta de pesquisa de log de exemplo que consultam ARG ou ADX, consulte exemplos de consulta de alerta de pesquisa de log

8. (Opcional) Na seção Opções avançadas, você pode especificar o número de falhas e o período de avaliação de alerta necessário para disparar um alerta. Por exemplo, se você definir Granularidade de agregação como cinco minutos, poderá especificar que só deseja disparar um alerta se houver três falhas (15 minutos) na última hora. A política de negócios do aplicativo determina essa configuração.

   

   Selecione valores para esses campos em Número de violações para disparar o alerta:

   Campo	Descrição
   Número de violações	O número de violações para disparar o alerta.
   Período de avaliação	O período no qual ocorre o número de violações.
   Substituir intervalo de tempo de consulta	Se você quiser que o período de avaliação de alerta seja diferente do intervalo de tempo da consulta, insira um intervalo de tempo aqui. O intervalo de tempo do alerta é limitado ao máximo de dois dias. Mesmo que a consulta contenha um comando ago com um intervalo de tempo maior que dois dias, o intervalo de tempo máximo de dois dias será aplicado. Por exemplo, mesmo que o texto da consulta contenha ago(7d), a consulta examinará apenas um período de até dois dias de dados. Caso a consulta exija mais dados do que a avaliação de alerta, você poderá alterar o intervalo de tempo manualmente. Se a consulta contiver um comando ago, ela será alterada automaticamente para 2 dias (48 horas).

   Observação

   Se você ou o administrador tiver atribuído o Azure Policy Os Alertas da Pesquisa de Logs do Azure nos workspaces do Log Analytics precisam usar chaves gerenciadas pelo cliente, selecione a opção Verificar armazenamento vinculado ao workspace. Se você não fizer isso, a criação da regra falhará porque ela não atenderá aos requisitos de política.

9. O gráfico de Visualização mostra os resultados das avaliações da consulta ao longo do tempo. É possível alterar o período do gráfico ou selecionar diferentes séries temporais que resultaram de uma divisão de alerta por dimensões exclusivo.

   

10. Selecione Concluído. Desse ponto em diante, você pode selecionar o botão Revisar + criar a qualquer momento.

Configurar as ações da regra de alerta

1. Na guia Ações, selecione ou crie os grupos de ações necessários.

   

Configurar os detalhes da regra de alerta

1. Na guia Detalhes, defina os Detalhes do projeto.

   • Selecione a Assinatura.
   • Selecione o Grupo de recursos.

2. Defina os Detalhes da regra de alerta.

   

   1. Selecione o nível de Severidade.

   2. Insira valores para o Nome da regra de alerta e a Descrição da regra de alerta.

      Observação

      Observe que a regra que usa Identidade não pode ter o caractere ";" no Nome da regra de alerta

   3. Selecione a Região.

   4. Na seção Identidade, selecione qual identidade é usada pela regra de alerta de pesquisa de log para enviar a consulta de log. Essa identidade é usada para autenticação quando a regra de alerta executa a consulta de log.

      Considere o seguinte ao selecionar uma identidade:

      • Uma identidade gerenciada será necessária se você estiver enviando uma consulta para o Azure Data Explorer (ADX) ou para o Azure Resource Graph (ARG).
      • Use uma identidade gerenciada para conseguir ver ou editar as permissões associadas à regra de alerta.
      • Se você não usar uma identidade gerenciada, as permissões de regra de alerta serão baseadas nas permissões do último usuário para editar a regra no momento em que a regra foi editada pela última vez.
      • Use uma identidade gerenciada para ajudá-lo a evitar um caso em que a regra não funcione conforme o esperado porque o usuário que editou a regra pela última vez não tinha permissões para todos os recursos adicionados ao escopo da regra.

      A identidade associada à regra deve ter as seguintes funções:

      • Se a consulta estiver acessando um workspace do Log Analytics, a identidade deverá receber uma função Leitor para todos os workspaces acessados pela consulta. Se você estiver criando alertas de pesquisa de log centrados em recursos, a regra de alerta poderá acessar vários workspaces e a identidade deverá ter uma função de leitor em todos eles.
      • Se estiver consultando um cluster do ADX ou do ARG, adicione a função Leitor a todas as fontes de dados acessadas pela consulta. Por exemplo, se a consulta for centrada em recursos, ela precisará de uma função de leitor nesses recursos.
      • Se a consulta estiver acessando um cluster remoto do Azure Data Explorer, a identidade deverá ser atribuída:
        • Função de leitor para todas as fontes de dados acessadas pela consulta. Por exemplo, se a consulta estiver chamando um cluster remoto do Azure Data Explorer usando a função adx(), ela precisará de uma função de leitor nesse cluster do ADX.
        • Visualizador de banco de dados para todos os bancos de dados que a consulta está acessando.

      Para informações detalhadas sobre identidades gerenciadas, confira Identidades gerenciadas para recursos do Azure.

      Selecione uma das seguintes opções para a identidade usada pela regra de alerta:

      Identidade	Descrição
      Nenhum	As permissões de regra de alerta são baseadas nas permissões do último usuário que editou a regra no momento em que a regra foi editada.
      Identidade gerenciada atribuída pelo sistema	O Azure cria uma identidade dedicada para essa regra de alerta. Essa identidade não tem permissões e é excluída automaticamente quando a regra é excluída. Depois de criar a regra, você deve atribuir permissões a essa identidade para acessar o workspace e as fontes de dados necessárias para a consulta. Para mais informações sobre como atribuir permissões, confira Atribuir funções do Azure usando o portal do Azure.
      Identidade gerenciada atribuída ao usuário	Antes de criar a regra de alerta, você cria uma identidade e atribui permissões apropriadas para a consulta de log. Essa é uma identidade regular do Azure. Você pode usar uma identidade em várias regras de alerta. A identidade não é excluída quando a regra é excluída. Quando você seleciona esse tipo de identidade, um painel é aberto para você selecionar a identidade associada à regra.

3. (Opcional) Na seção Opções avançadas, você pode definir várias opções:

   Campo	Descrição
   Habilitar na criação	Selecione para que a regra de alerta comece a ser executada assim que você terminar de criá-la.
   Resolver alertas automaticamente (versão prévia)	Selecione para tornar o alerta com estado. Quando um alerta é do tipo com estado, ele é resolvido quando a condição não é mais atendida por um intervalo de tempo específico. O intervalo de tempo difere com base na frequência do alerta: 1 minuto: a condição de alerta não é atendida por 10 minutos. 5 a 15 minutos: a condição de alerta não é atendida por três períodos de frequência. 15 minutos a 11 horas: a condição de alerta não é atendida por dois períodos de frequência. 11 a 12 horas: a condição de alerta não é atendida por um período de frequência. Observe que os alertas de pesquisa de log com estado têm estas limitações: – eles podem disparar até 300 alertas por avaliação. – você pode ter no máximo 5000 mil alertas com a condição de alerta fired.
   Ativar mudo de ações	Marque esta opção para definir um período de espera até que as ações de alerta sejam novamente disparadas. Se você selecionar essa caixa de seleção, o campo Ativar mudo de ações por será exibido para a seleção do tempo de espera após um alerta ser acionado até novas ações de disparo.
   Verificar armazenamento vinculado ao espaço de trabalho	Selecione se o armazenamento vinculado ao espaço de trabalho de logs para alertas estiver configurado. Se não houver armazenamento vinculado configurado, a regra não será criada.

4. (Opcional) Na seção Propriedades personalizadas, se essa regra de alerta contiver grupos de ações, você poderá adicionar suas próprias propriedades para incluir no conteúdo da notificação de alerta. Você pode usar essas propriedades nas ações chamadas pelo grupo de ações, como por um webhook, função do Azure ou ações de aplicativo lógico.

   As propriedades personalizadas são especificadas como pares chave:valor, usando texto estático, um valor dinâmico extraído do conteúdo de alerta ou uma combinação de ambos.

   O formato para extrair um valor dinâmico do conteúdo de alerta é: ${<path to schema field>}. Por exemplo: ${data.essentials.monitorCondition}.

   Use o formato do esquema de alerta comum para especificar o campo no conteúdo, independentemente dos grupos de ações configurados para a regra de alerta usarem o esquema comum.

   Observação

   • O esquema comum substitui configurações personalizadas. Você não pode usar propriedades personalizadas e o esquema comum.
   • As propriedades personalizadas são adicionadas ao conteúdo do alerta, mas não aparecem no modelo de email ou nos detalhes do alerta no portal do Azure.
   • Os alertas de Integridade do Serviço não dão suporte a propriedades personalizadas.

   

   Nos exemplos a seguir, os valores nas propriedades personalizadas são usados para utilizar dados de um conteúdo que usa o esquema comum de alerta:

   Exemplo 1

   Esse exemplo cria uma marca "Detalhes Adicionais" com dados referentes à "hora de início da janela" e à "hora de término da janela".

   • Nome: "Detalhes adicionais"
   • Valor: "Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
   • Resultado: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

   Exemplo 2 esse exemplo adiciona os dados referentes ao motivo da resolução ou do disparo do alerta.

   • Nome: "Alert ${data.essentials.monitorCondition} reason"
   • Valor: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}"
   • Resultado: Os resultados de exemplo podem ser semelhantes a:
     • "Motivo de alerta resolvido: percentual de CPU GreaterThan5 resolvido. O valor é 3.585"
     • "Motivo do alerta disparado": "Percentual de CPU GreaterThan5 acionado. O valor é 10.585"

Configurar marcas de regra de alerta

1. Na guia Marcas, defina as marcas necessárias no recurso de regra de alerta.

   

Examinar e criar a regra de alerta

1. Na guia Examinar + criar, a regra é validada e fornece informações sobre quaisquer problemas.

2. Quando a validação for aprovada e você tiver examinado as configurações, selecione o botão Criar.

   

Próximas etapas

• Exemplos de consulta de alerta de pesquisa de log
• Exibir e gerenciar suas instâncias de alerta