Tutorial: Criar um alerta de pesquisa de log para um recurso do Azure
Os alertas do Azure Monitor notificam proativamente quando as condições importantes são encontradas nos dados de monitorização. As regras de alerta de pesquisa de log criam um alerta quando uma consulta de log retorna um resultado específico. Por exemplo, receba um alerta quando um determinado evento for criado em uma máquina virtual ou envie um aviso quando solicitações anônimas excessivas forem feitas a uma conta de armazenamento.
Neste tutorial, irá aprender a:
- Aceda a consultas de registo pré-criadas concebidas para suportar regras de alerta para diferentes tipos de recursos
- Criar uma regra de alerta de pesquisa de log
- Criar um grupo de ações para definir detalhes de notificação
Pré-requisitos
Para concluir este tutorial, precisa do seguinte:
- Um recurso do Azure para monitorar. Você pode usar qualquer recurso em sua assinatura do Azure que ofereça suporte a configurações de diagnóstico. Para determinar se um recurso dá suporte às configurações de diagnóstico, vá para seu menu no portal do Azure e verifique se há uma opção Configurações de diagnóstico na seção Monitoramento do menu.
Se você estiver usando qualquer recurso do Azure que não seja uma máquina virtual:
- Uma configuração de diagnóstico para enviar os logs de recursos do seu recurso do Azure para um espaço de trabalho do Log Analytics. Consulte Tutorial: Criar espaço de trabalho do Log Analytics no Azure Monitor.
Se você estiver usando uma máquina virtual do Azure:
- Uma regra de coleta de dados para enviar logs e métricas de convidados para um espaço de trabalho do Log Analytics. Consulte Tutorial: Coletar logs de convidados e métricas da máquina virtual do Azure.
Selecione uma consulta de log e verifique os resultados
Os dados são recuperados de um espaço de trabalho do Log Analytics usando uma consulta de log escrita em Kusto Query Language (KQL). As informações e soluções no Azure Monitor fornecem consultas de log para recuperar dados de um serviço específico, mas você pode trabalhar diretamente com consultas de log e seus resultados no portal do Azure com o Log Analytics.
Selecione Registos no menu do seu recurso. O Log Analytics é aberto com a janela Consultas, que inclui consultas pré-criadas para o seu tipo de recurso. Selecione Alertas para exibir consultas criadas para regras de alerta.
Nota
Se a janela Consultas não abrir, clique em Consultas no canto superior direito.
Selecione uma consulta e clique em Executar para carregá-la no editor de consultas e retornar os resultados. Talvez você queira modificar a consulta e executá-la novamente. Por exemplo, a consulta Mostrar solicitações anônimas para contas de armazenamento é mostrada na captura de tela a seguir. Talvez você queira modificar o AuthenticationType ou filtrar em uma coluna diferente.
Criar regra de alerta
Depois de verificar sua consulta, você pode criar a regra de alerta. Selecione Nova regra de alerta para criar uma nova regra de alerta com base na consulta de log atual. O Escopo já está definido para o recurso atual. Não é necessário alterar esse valor.
Configurar condição
Na guia Condição, a consulta Log já está preenchida. A seção Medição define como os registros da consulta de log são medidos. Se a consulta não executar um resumo, a única opção é Contar o número de linhas da tabela. Se a consulta incluir uma ou mais colunas resumidas, você terá a opção de usar o número de linhas da tabela ou um cálculo baseado em qualquer uma das colunas resumidas. A granularidade da agregação define o intervalo de tempo durante o qual os valores coletados são agregados. Por exemplo, se a granularidade da agregação estiver definida como 5 minutos, a regra de alerta avaliará os dados agregados nos últimos 5 minutos. Se a granularidade da agregação for definida como 15 minutos, a regra de alerta avaliará os dados agregados nos últimos 15 minutos. É importante escolher a granularidade de agregação correta para sua regra de alerta, pois isso pode afetar a precisão do alerta.
Configurar dimensões
A divisão por dimensões permite criar alertas separados para diferentes recursos. Essa configuração é útil quando você cria uma regra de alerta que se aplica a vários recursos. Com o escopo definido como um único recurso, essa configuração normalmente não é usada.
Se precisar de determinadas dimensões incluídas no e-mail de notificação de alerta, você pode especificar uma dimensão (por exemplo, "Computador"), o e-mail de notificação de alerta incluirá o nome do computador que disparou o alerta. O mecanismo de alerta usa a consulta de alerta para determinar as dimensões disponíveis. Se você não vir a dimensão desejada na lista suspensa para o "Nome da dimensão", é porque a consulta de alerta não expõe essa coluna nos resultados. Você pode adicionar facilmente as dimensões desejadas adicionando uma linha do Project à sua consulta que inclua as colunas que deseja usar. Você também pode usar a linha Resumir para adicionar mais colunas aos resultados da consulta.
Configurar lógica de alerta
Na lógica de alerta, configure o valor Operador e Limiar para comparar com o valor retornado da medição. Um alerta é criado quando esse valor é true. Selecione um valor para Frequência de avaliação que define a frequência com que a consulta de log é executada e avaliada. O custo da regra de alerta aumenta com uma frequência menor. Quando você seleciona uma frequência, o custo mensal estimado é exibido, além de uma visualização dos resultados da consulta durante um período de tempo.
Por exemplo, se a medida for Linhas da tabela, a lógica de alerta pode ser Maior que 0 , indicando que pelo menos um registro foi retornado. Se a medida for um valor de coluna, a lógica pode precisar ser maior ou menor do que um determinado valor limite. No exemplo a seguir, a consulta de log está procurando solicitações anônimas para uma conta de armazenamento. Se for feito um pedido anónimo, devemos disparar um alerta. Nesse caso, uma única linha retornada acionaria o alerta, portanto, a lógica de alerta deve ser maior que 0.
Configurar ações
Os grupos de ação definem um conjunto de ações a serem tomadas quando um alerta é disparado, como enviar um e-mail ou uma mensagem SMS.
Para configurar ações, selecione a guia Ações .
Clique em Selecionar grupos de ações para adicionar um à regra de alerta.
Se ainda não tiver um grupo de ações na sua subscrição para selecionar, clique em Criar grupo de ações para criar um novo.
Selecione um grupo de Assinatura e Recursos para o grupo de ações e atribua-lhe um nome de grupo de Ação que aparecerá no portal e um Nome para exibição que aparecerá nas notificações por email e SMS.
Selecione a guia Notificações e adicione um ou mais métodos para notificar as pessoas apropriadas quando o alerta for disparado.
Configurar detalhes
Selecione a guia Detalhes e defina configurações diferentes para a regra de alerta.
- Nome da regra de alerta que deve ser descritivo, pois será exibido quando o alerta for acionado.
- Opcionalmente, forneça uma descrição da regra de alerta incluída nos detalhes do alerta.
- Grupo de Subscrição e Recursos onde a regra de alerta será armazenada. Isso não precisa estar no mesmo grupo de recursos que o recurso que você está monitorando.
- Severidade do alerta. A severidade permite agrupar alertas com uma importância relativa semelhante. Uma gravidade de erro é apropriada para uma máquina virtual que não responde.
- Em Opções avançadas, mantenha a caixa marcada para Ativar após a criação.
- Em Opções avançadas, mantenha a caixa marcada para Resolver alertas automaticamente. Isso tornará o alerta com monitoração de estado, o que significa que o alerta será resolvido quando a condição não for mais atendida.
Clique em Criar regra de alerta para criar a regra de alerta.
Ver o alerta
Quando um alerta é acionado, ele envia notificações em seus grupos de ação. Você também pode exibir o alerta no portal do Azure.
Selecione Alertas no menu do recurso. Se houver alertas abertos para os recursos, eles serão incluídos na exibição.
Clique em uma severidade para mostrar os alertas com essa gravidade. Selecione a Resposta do usuário e desmarque Fechado para exibir apenas alertas abertos.
Clique no nome de um alerta para ver os seus detalhes.
Próximos passos
Agora que você aprendeu como criar um alerta de pesquisa de log para um recurso do Azure, dê uma olhada nas pastas de trabalho para criar visualizações interativas de dados de monitoramento.