Tutorial: criar um alerta de pesquisa de logs para um recurso do Azure
Os alertas do Azure Monitor notificam você proativamente quando condições importantes são encontradas nos dados de monitoramento. As regras de alerta de pesquisa de logs criam um alerta quando uma pesquisa de logs retorna um resultado específico. Por exemplo, receba um alerta quando um evento específico for criado em uma máquina virtual ou envie um aviso quando solicitações anônimas excessivas forem feitas em uma conta de armazenamento.
Neste tutorial, você aprenderá como:
- Acessar consultas de log predefinidas projetadas para dar suporte a regras de alerta para diferentes tipos de recursos
- Criar uma regra de alerta de pesquisa de logs
- Criar um grupo de ações para definir os detalhes da notificação
Pré-requisitos
Para concluir este tutorial, você precisará do seguinte:
- Um recurso do Azure a monitorar. Você poderá usar qualquer recurso da sua assinatura do Azure que seja compatível com configurações de diagnóstico. Para determinar se um recurso é compatível com configurações de diagnóstico, acesse seu menu no portal do Azure e verifique se há a opção Configurações de diagnóstico na seção Monitoramento do menu.
Se você estiver usando qualquer recurso do Azure que não seja uma máquina virtual:
- Uma configuração de diagnóstico para enviar os logs de recursos do recurso do Azure para um workspace do Log Analytics. Confira o Tutorial: Criar workspace do Log Analytics no Azure Monitor.
Se estiver usando uma máquina virtual do Azure:
- Uma regra de coleta de dados para enviar métricas e logs de convidado para um workspace do Log Analytics. Confira o Tutorial: Coletar logs e métricas de convidado da máquina virtual do Azure.
Selecionar uma consulta de log e verificar os resultados
Os dados são recuperados de um workspace do Log Analytics usando uma consulta de log escrita em KQL (Linguagem de Consulta Kusto). As informações e soluções no Azure Monitor fornecem consultas de log para recuperar dados de um serviço específico, mas você pode trabalhar diretamente com consultas de log e seus resultados no portal do Azure com o Log Analytics.
Selecione Logs no menu do recurso. O Log Analytics é aberto com a janela Consultas, que inclui consultas predefinidas para o Tipo de recurso. Selecione Alertas para exibir consultas projetadas para regras de alerta.
Observação
Se a janela Consultas não abrir, clique em Consultas no canto superior direito.
Selecione uma consulta e clique em Executar para carregá-la no editor de consultas e retornar resultados. Talvez você queira modificar a consulta e executá-la novamente. Por exemplo, a consulta Mostrar solicitações anônimas para contas de armazenamento é mostrada na captura de tela a seguir. Talvez você queira modificar o AuthenticationType ou filtrar segundo outra coluna.
Criar regra de alerta
Depois de verificar a consulta, você pode criar a regra de alerta. Selecione Nova regra de alerta para criar uma regra de alerta com base na consulta de log atual. O Escopo já está definido como o recurso atual. Não é necessário alterar esse valor.
Configurar condição
Na guia Condição, a Consulta de log já está preenchida. A seção Medida define como os registros da consulta de log serão medidos. Se a consulta não executar um resumo, a única opção será Contar o número de Linhas da tabela. Se a consulta incluir uma ou mais colunas resumidas, você terá a opção de usar o número de Linhas de tabela ou um cálculo baseado em qualquer uma das colunas resumidas. A Granularidade de agregação define o intervalo de tempo durante o qual os valores coletados são agregados. Por exemplo, se a granularidade de agregação for definida como 5 minutos, a regra de alerta avaliará os dados agregados nos últimos 5 minutos. Se a granularidade de agregação for definida como 15 minutos, a regra de alerta avaliará os dados agregados nos últimos 15 minutos. É importante escolher a granularidade de agregação certa para sua regra de alerta, pois ela pode afetar a precisão do alerta.
Configurar dimensões
A Divisão por dimensões permite que você crie alertas separados para diferentes recursos. Essa configuração é útil quando você está criando uma regra de alerta que se aplica a vários recursos. Com o escopo definido como um só recurso, essa configuração normalmente não é usada.
Se você precisar que determinadas dimensões sejam incluídas no email de notificação de alerta, poderá especificar uma dimensão (por exemplo, "Computador"). O email de notificação de alerta incluirá o nome do computador que disparou o alerta. O mecanismo de alerta usa a consulta de alerta para determinar as dimensões disponíveis. Se você não vir a dimensão desejada na lista suspensa para o "Nome da dimensão", é porque a consulta de alerta não expõe essa coluna nos resultados. Você pode adicionar facilmente as dimensões desejadas adicionando uma linha do Project à consulta que inclui as colunas que você deseja usar. Você também pode usar a linha Resumir para adicionar colunas adicionais aos resultados da consulta.
Configurar lógica de alerta
Na lógica de alerta, configure o Operador e o Valor do limite para comparar com o valor retornado pela medida. Um alerta é criado quando esse valor é true. Selecione um valor de Frequência de avaliação, que define a frequência com que a consulta de log é executada e avaliada. O custo da regra de alerta aumenta com uma frequência mais baixa. Quando você seleciona uma frequência, o custo mensal estimado é exibido, além de uma visualização dos resultados da consulta ao longo de um período.
Por exemplo, se a medição for Linhas de tabela, a lógica do alerta pode ser Maior que 0, indicando que pelo menos um registro foi retornado. Se a medida for um valor de colunas, a lógica poderá precisar ser maior ou menor que um valor de limite específico. No exemplo a seguir, a consulta de log está procurando solicitações anônimas para uma conta de armazenamento. Se uma solicitação anônima tiver sido feita, devemos disparar um alerta. Nesse caso, uma linha retornada dispararia o alerta, portanto, a lógica de alerta deve ser Maior que 0.
Configurar ações
Grupos de ações definem um conjunto de ações a serem executadas quando um alerta é disparado, como enviar um email ou uma mensagem de texto.
Para configurar ações, selecione a guia Ações.
Clique em Selecionar grupos de ações para adicionar um à regra de alerta.
Se você ainda não tiver um grupo de ações em sua assinatura para selecionar, clique em Criar grupo de ações para criar um novo.
Selecione uma Assinatura e um Grupo de recursos para o grupo de ações e dê a ele um Nome do grupo de ações, que será exibido no portal, e um Nome de exibição, que será exibido nas notificações por email e mensagem SMS.
Selecione a guia Notificações e adicione um ou mais métodos para notificar as pessoas adequadas quando o alerta for acionado.
Configurar detalhes
Selecione a guia Detalhes e configure diferentes parâmetros para a regra de alerta.
- Nome da regra de alerta, que deve ser descritivo, uma vez que será exibido quando o alerta for disparado.
- Opcionalmente, forneça uma Descrição de regra de alerta que será incluída nos detalhes do alerta.
- Assinatura e Grupo de recursos nos quais a regra de alerta será armazenada. Não precisa ser o mesmo grupo de recursos que o recurso que você está monitorando.
- A gravidade do alerta. A gravidade permite que você agrupe alertas com uma importância relativa semelhante. Uma severidade de Erro é adequada para uma máquina virtual sem resposta.
- Em Opções avançadas, mantenha a caixa marcada para Habilitar após a criação.
- Em Opções avançadas, mantenha a caixa marcada para Resolver alertas automaticamente. Isso tornará o alerta com estado, o que significa que o alerta será resolvido quando a condição não for mais atendida.
Clique em Criar regra de alerta para criar a regra de alerta.
Exibir o alerta
Quando um alerta é disparado, ele envia as notificações em seus grupos de ações. Você também pode exibir o alerta no portal do Azure.
Selecione Alertas no menu do recurso. Se houver alertas abertos para os recursos, eles serão incluídos na exibição.
Clique em uma severidade para mostrar os alertas com a severidade em questão. Selecione a Resposta do usuário e desmarque Fechado para exibir somente alertas abertos.
Clique no nome de um alerta para exibir seus detalhes.
Próximas etapas
Agora que você aprendeu a criar um alerta de pesquisa de logs para um recurso do Azure, confira as pastas de trabalho para criar visualizações interativas dos dados de monitoramento.