Compartilhar via


Tutorial: criar um alerta de pesquisa de logs para um recurso do Azure

Os alertas do Azure Monitor notificam você proativamente quando condições importantes são encontradas nos dados de monitoramento. As regras de alerta de pesquisa de logs criam um alerta quando uma pesquisa de logs retorna um resultado específico. Por exemplo, receba um alerta quando um evento específico for criado em uma máquina virtual ou envie um aviso quando solicitações anônimas excessivas forem feitas em uma conta de armazenamento.

Neste tutorial, você aprenderá como:

  • Acessar consultas de log predefinidas projetadas para dar suporte a regras de alerta para diferentes tipos de recursos
  • Criar uma regra de alerta de pesquisa de logs
  • Criar um grupo de ações para definir os detalhes da notificação

Pré-requisitos

Para concluir este tutorial, você precisará do seguinte:

  • Um recurso do Azure a monitorar. Você poderá usar qualquer recurso da sua assinatura do Azure que seja compatível com configurações de diagnóstico. Para determinar se um recurso é compatível com configurações de diagnóstico, acesse seu menu no portal do Azure e verifique se há a opção Configurações de diagnóstico na seção Monitoramento do menu.

Se você estiver usando qualquer recurso do Azure que não seja uma máquina virtual:

Se estiver usando uma máquina virtual do Azure:

Selecionar uma consulta de log e verificar os resultados

Os dados são recuperados de um workspace do Log Analytics usando uma consulta de log escrita em KQL (Linguagem de Consulta Kusto). As informações e soluções no Azure Monitor fornecem consultas de log para recuperar dados de um serviço específico, mas você pode trabalhar diretamente com consultas de log e seus resultados no portal do Azure com o Log Analytics.

Selecione Logs no menu do recurso. O Log Analytics é aberto com a janela Consultas, que inclui consultas predefinidas para o Tipo de recurso. Selecione Alertas para exibir consultas projetadas para regras de alerta.

Observação

Se a janela Consultas não abrir, clique em Consultas no canto superior direito.

Log Analytics com a janela de consultas

Selecione uma consulta e clique em Executar para carregá-la no editor de consultas e retornar resultados. Talvez você queira modificar a consulta e executá-la novamente. Por exemplo, a consulta Mostrar solicitações anônimas para contas de armazenamento é mostrada na captura de tela a seguir. Talvez você queira modificar o AuthenticationType ou filtrar segundo outra coluna.

Resultados da consulta

Criar regra de alerta

Depois de verificar a consulta, você pode criar a regra de alerta. Selecione Nova regra de alerta para criar uma regra de alerta com base na consulta de log atual. O Escopo já está definido como o recurso atual. Não é necessário alterar esse valor.

Criar regra de alerta

Configurar condição

Na guia Condição, a Consulta de log já está preenchida. A seção Medida define como os registros da consulta de log serão medidos. Se a consulta não executar um resumo, a única opção será Contar o número de Linhas da tabela. Se a consulta incluir uma ou mais colunas resumidas, você terá a opção de usar o número de Linhas de tabela ou um cálculo baseado em qualquer uma das colunas resumidas. A Granularidade de agregação define o intervalo de tempo durante o qual os valores coletados são agregados. Por exemplo, se a granularidade de agregação for definida como 5 minutos, a regra de alerta avaliará os dados agregados nos últimos 5 minutos. Se a granularidade de agregação for definida como 15 minutos, a regra de alerta avaliará os dados agregados nos últimos 15 minutos. É importante escolher a granularidade de agregação certa para sua regra de alerta, pois ela pode afetar a precisão do alerta.

Observação

O tamanho combinado de todos os dados nas propriedades da regra de alerta de log não pode exceder 64 KB. Isto pode ser causado por um excesso de dimensões, a consulta ser muito grande, um excesso de grupos de ações ou uma descrição longa. Ao criar uma regra de alerta grande, lembre-se de otimizar essas áreas.

Condição de regra de alerta

Configurar dimensões

A Divisão por dimensões permite que você crie alertas separados para diferentes recursos. Essa configuração é útil quando você está criando uma regra de alerta que se aplica a vários recursos. Com o escopo definido como um só recurso, essa configuração normalmente não é usada.

Dimensões da regra de alerta

Se você precisar que determinadas dimensões sejam incluídas no email de notificação de alerta, poderá especificar uma dimensão (por exemplo, "Computador"). O email de notificação de alerta incluirá o nome do computador que disparou o alerta. O mecanismo de alerta usa a consulta de alerta para determinar as dimensões disponíveis. Se você não vir a dimensão desejada na lista suspensa para o "Nome da dimensão", é porque a consulta de alerta não expõe essa coluna nos resultados. Você pode adicionar facilmente as dimensões desejadas adicionando uma linha do Project à consulta que inclui as colunas que você deseja usar. Você também pode usar a linha Resumir para adicionar colunas adicionais aos resultados da consulta.

Captura de tela mostrando as dimensões da regra de alerta com uma dimensão chamada Conjunto de computadores.

Configurar lógica de alerta

Na lógica de alerta, configure o Operador e o Valor do limite para comparar com o valor retornado pela medida. Um alerta é criado quando esse valor é true. Selecione um valor de Frequência de avaliação, que define a frequência com que a consulta de log é executada e avaliada. O custo da regra de alerta aumenta com uma frequência mais baixa. Quando você seleciona uma frequência, o custo mensal estimado é exibido, além de uma visualização dos resultados da consulta ao longo de um período.

Por exemplo, se a medição for Linhas de tabela, a lógica do alerta pode ser Maior que 0, indicando que pelo menos um registro foi retornado. Se a medida for um valor de colunas, a lógica poderá precisar ser maior ou menor que um valor de limite específico. No exemplo a seguir, a consulta de log está procurando solicitações anônimas para uma conta de armazenamento. Se uma solicitação anônima tiver sido feita, devemos disparar um alerta. Nesse caso, uma linha retornada dispararia o alerta, portanto, a lógica de alerta deve ser Maior que 0.

Lógica de alerta

Configurar ações

Grupos de ações definem um conjunto de ações a serem executadas quando um alerta é disparado, como enviar um email ou uma mensagem de texto.

Para configurar ações, selecione a guia Ações.

Captura de tela que mostra a guia Ações realçada.

Clique em Selecionar grupos de ações para adicionar um à regra de alerta.

Captura de tela que mostra o botão Selecionar grupos de ações.

Se ainda não tiver grupos de ações em sua assinatura para selecionar, clique em Criar grupo de ações para criar um.

Criar grupo de ações

Selecione uma Assinatura e um Grupo de recursos para o grupo de ações e dê a ele um Nome do grupo de ações, que será exibido no portal, e um Nome de exibição, que será exibido nas notificações por email e mensagem SMS.

Noções básicas do grupo de ações

Selecione a guia Notificações e adicione um ou mais métodos para notificar as pessoas adequadas quando o alerta for acionado.

Notificações do grupo de ações

Configurar detalhes

Selecione a guia Detalhes e configure diferentes parâmetros para a regra de alerta.

  • Nome da regra de alerta, que deve ser descritivo, uma vez que será exibido quando o alerta for disparado.
  • Opcionalmente, forneça uma Descrição de regra de alerta que será incluída nos detalhes do alerta.
  • Assinatura e Grupo de recursos nos quais a regra de alerta será armazenada. Não precisa ser o mesmo grupo de recursos que o recurso que você está monitorando.
  • A gravidade do alerta. A gravidade permite que você agrupe alertas com uma importância relativa semelhante. Uma severidade de Erro é adequada para uma máquina virtual sem resposta.
  • Em Opções avançadas, mantenha a caixa marcada para Habilitar após a criação.
  • Em Opções avançadas, mantenha a caixa marcada para Resolver alertas automaticamente. Isso tornará o alerta com estado, o que significa que o alerta será resolvido quando a condição não for mais atendida.

Detalhes da regra de alerta

Clique em Criar regra de alerta para criar a regra de alerta.

Exibir o alerta

Quando um alerta é disparado, ele envia as notificações em seus grupos de ações. Você também pode exibir o alerta no portal do Azure.

Selecione Alertas no menu do recurso. Se houver alertas abertos para os recursos, eles serão incluídos na exibição.

Exibição de Alertas

Clique em uma severidade para mostrar os alertas com a severidade em questão. Selecione a Resposta do usuário e desmarque Fechado para exibir somente alertas abertos.

Captura de tela que mostra o filtro de resposta do usuário.

Clique no nome de um alerta para exibir seus detalhes.

Detalhes do alerta

Próximas etapas

Agora que você aprendeu a criar um alerta de pesquisa de logs para um recurso do Azure, confira as pastas de trabalho para criar visualizações interativas dos dados de monitoramento.