Создание оповещения по метрикам в журналах Azure Monitor
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Вы можете использовать возможности генерации оповещений метрик в предопределенном наборе журналов в журналах Azure Monitor. Отслеживаемые журналы, которые можно собирать из Azure или локальных компьютеров, преобразуются в метрики, а затем отслеживаются с помощью правил генерации оповещений метрик, как и любые другие метрики.
Рабочая область Log Analytics поддерживает следующие типы журналов:
- Счетчики производительности для компьютеров Windows и Linux (соответствующие поддерживаемым метрикам рабочей области Log Analytics)
- Записи пульсов для решения "Работоспособность агентов".
- Записи управления обновлениями.
- Журналы данных событий
Преимущества использования оповещений метрик для журналов с помощью оповещений поиска по журналам на основе запросов в Azure:
- Оповещения метрик предлагают возможность мониторинга практически в режиме реального времени. Они вилывают данные из источника журнала, чтобы обеспечить эту возможность.
- Оповещения метрик являются отслеживанием состояния. Они уведомляют вас, когда оповещение запускается, и один раз при разрешении оповещения. Оповещения поиска по журналам являются без отслеживания состояния и сохраняются в каждом интервале, если условие оповещения выполнено.
- Оповещения метрик предоставляют несколько измерений. Они позволяют фильтровать определенные значения, такие как компьютеры и типы ОС, без необходимости определения сложного запроса в Log Analytics.
Примечание.
Определенная метрика или измерение отображается только в том случае, если данные для него существуют в выбранном периоде. Эти метрики доступны для клиентов с рабочими областями Log Analytics.
Поддерживаемые метрики и измерения для журналов
С помощью оповещений метрик можно использовать измерения для фильтрации метрик на нужный уровень. Полный список метрик, поддерживаемых для журналов, эквивалентен списку метрик рабочей области Log Analytics.
Примечание.
Чтобы просмотреть поддерживаемую метрику, извлеченную из рабочей области Log Analytics с помощью метрик Azure Monitor, необходимо создать оповещение метрик для журналов в этой конкретной метрии. Измерения, которые вы выбрали в оповещении метрик для журналов, будут отображаться только с помощью метрик Azure Monitor.
Создание оповещения метрик для журналов
Прежде чем данные метрик из популярных журналов обрабатываются в Log Analytics, они передаются в метрики Azure Monitor. Затем вы можете воспользоваться возможностями платформы метрик в дополнение к оповещениям метрик, включая наличие оповещений с частотой не более одной минуты.
Процесс создания оповещений метрик для журналов состоит из двух вариантов:
- Создайте правило для извлечения метрик из поддерживаемых журналов с помощью API правил запланированных запросов (
scheduledQueryRules). - Создайте оповещение о метриках, извлеченных из журнала (на шаге 1) и рабочей области Log Analytics в качестве целевого ресурса.
Необходимые компоненты
Прежде чем создавать оповещение метрик для журналов, убедитесь, что следующие элементы настроены и доступны:
- Рабочая область Log Analytics: у вас должна быть допустимая и активная рабочая область Log Analytics. Дополнительные сведения см. в статье "Создание рабочей области Log Analytics".
- Агент, настроенный для рабочей области Log Analytics: необходимо настроить агент для виртуальных машин Azure или локальных компьютеров для отправки данных в рабочую область Log Analytics. Дополнительные сведения см. в обзоре агента Azure Monitor.
- Поддерживаемое решение Log Analytics: необходимо настроить решение Log Analytics и отправить данные в рабочую область Log Analytics. Поддерживаемые решения — это счетчики производительности для Windows и Linux, записи пульса для работоспособности агента, служба автоматизации Azure управление обновлениями и данные событий.
- Журналы, настроенные для решения Log Analytics: решение Log Analytics должно содержать необходимые журналы и данные, соответствующие метрикам, поддерживаемым для рабочих областей Log Analytics. Например, счетчик %Available Memory должен быть настроен в решении счетчиков производительности.
Методы создания оповещения метрик для журналов
Оповещения метрик можно создавать и управлять ими с помощью портал Azure, шаблонов Azure Resource Manager, REST API, Azure PowerShell и Azure CLI.
После создания оповещений метрик для журналов для указанной рабочей области Log Analytics они имеют все характеристики и функциональные возможности оповещений метрик, включая схему полезных данных, применимые квоты и оплачиваемую цену.
Пошаговые сведения и примеры см. в разделе "Создание или изменение правила генерации оповещений метрик". Следуйте инструкциям по управлению оповещениями метрик и обратите внимание на следующие рекомендации.
Целевой объект для оповещения метрик должен быть допустимой рабочей областью Log Analytics.
Сигнал, выбранный для оповещения метрик для выбранной рабочей области Log Analytics, должен иметь тип Метрики.
Вы можете отфильтровать определенные условия или ресурсы с помощью фильтров измерений, так как метрики для журналов являются многомерными.
При настройке логики сигнала можно создать одно оповещение для охвата нескольких значений измерения (например, компьютера).
При создании оповещения метрик для журналов с помощью портал Azure соответствующее правило для преобразования данных журнала в метрику
scheduledQueryRulesавтоматически создается в фоновом режиме без необходимости вмешательства пользователя или действия.Если вы не используете портал Azure для создания оповещений метрик для выбранной рабочей области Log Analytics, сначала необходимо вручную создать явное правило для преобразования данных журнала в метрики с помощью
scheduledQueryRules.
Шаблоны Resource Manager
Чтобы создать оповещение метрик для журналов, можно использовать следующие примеры шаблонов Resource Manager.
Для оповещений метрик для журналов, созданных с помощью средств, отличных от портал Azure, можно использовать эти примеры шаблонов для создания scheduledQueryRulesправила преобразования метрик на основе журналов в метрики. Если вы этого не сделаете, в журналах не будет данных для оповещения метрик.
Оповещение метрик для журналов со статическим пороговым значением
В следующем примере шаблона создание оповещений метрик для статического порога зависит от успешного создания правила для извлечения метрик из журналов.scheduledQueryRules
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the rule to convert a log to a metric"
}
},
"convertRuleDescription": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Description for the log converted to a metric."
}
},
"convertRuleRegion": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the region used by the workspace."
}
},
"convertRuleStatus": {
"type": "string",
"defaultValue": "true",
"metadata": {
"description": "Specifies whether the log conversion rule is enabled."
}
},
"convertRuleMetric": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric after extraction is done from logs."
}
},
"alertName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the alert."
}
},
"alertDescription": {
"type": "string",
"defaultValue": "This is a metric alert",
"metadata": {
"description": "Description of the alert."
}
},
"alertSeverity": {
"type": "int",
"defaultValue": 3,
"allowedValues": [
0,
1,
2,
3,
4
],
"metadata": {
"description": "Severity of the alert {0,1,2,3,4}."
}
},
"isEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether the alert is enabled."
}
},
"resourceId": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Full resource ID of the resource emitting the metric that will be used for the comparison. For example: /subscriptions/00000000-0000-0000-0000-0000-00000000/resourceGroups/ResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"metricName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric used in the comparison to activate the alert."
}
},
"operator": {
"type": "string",
"defaultValue": "GreaterThan",
"allowedValues": [
"Equals",
"NotEquals",
"GreaterThan",
"GreaterThanOrEqual",
"LessThan",
"LessThanOrEqual"
],
"metadata": {
"description": "Operator comparing the current value with the threshold value."
}
},
"threshold": {
"type": "string",
"defaultValue": "0",
"metadata": {
"description": "The threshold value at which the alert is activated."
}
},
"timeAggregation": {
"type": "string",
"defaultValue": "Average",
"allowedValues": [
"Average",
"Minimum",
"Maximum",
"Total"
],
"metadata": {
"description": "How the data that's collected should be combined over time."
}
},
"windowSize": {
"type": "string",
"defaultValue": "PT5M",
"metadata": {
"description": "Period of time used to monitor alert activity based on the threshold. Must be between five minutes and one day. ISO 8601 duration format."
}
},
"evaluationFrequency": {
"type": "string",
"defaultValue": "PT1M",
"metadata": {
"description": "How often the metric alert is evaluated, represented in ISO 8601 duration format."
}
},
"actionGroupId": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The ID of the action group that's triggered when the alert is activated or deactivated."
}
}
},
"variables": {
"convertRuleSourceWorkspace": {
"SourceId": "/subscriptions/1234-56789-1234-567a/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"resources": [
{
"name": "[parameters('convertRuleName')]",
"type": "Microsoft.Insights/scheduledQueryRules",
"apiVersion": "2018-04-16",
"location": "[parameters('convertRuleRegion')]",
"properties": {
"description": "[parameters('convertRuleDescription')]",
"enabled": "[parameters('convertRuleStatus')]",
"source": {
"dataSourceId": "[variables('convertRuleSourceWorkspace').SourceId]"
},
"action": {
"odata.type": "Microsoft.WindowsAzure.Management.Monitoring.Alerts.Models.Microsoft.AppInsights.Nexus.DataContracts.Resources.ScheduledQueryRules.LogToMetricAction",
"criteria": [{
"metricName": "[parameters('convertRuleMetric')]",
"dimensions": []
}
]
}
}
},
{
"name": "[parameters('alertName')]",
"type": "Microsoft.Insights/metricAlerts",
"location": "global",
"apiVersion": "2018-03-01",
"tags": {},
"dependsOn":["[resourceId('Microsoft.Insights/scheduledQueryRules',parameters('convertRuleName'))]"],
"properties": {
"description": "[parameters('alertDescription')]",
"severity": "[parameters('alertSeverity')]",
"enabled": "[parameters('isEnabled')]",
"scopes": ["[parameters('resourceId')]"],
"evaluationFrequency":"[parameters('evaluationFrequency')]",
"windowSize": "[parameters('windowSize')]",
"criteria": {
"odata.type": "Microsoft.Azure.Monitor.SingleResourceMultipleMetricCriteria",
"allOf": [
{
"name" : "1st criterion",
"metricName": "[parameters('metricName')]",
"dimensions":[],
"operator": "[parameters('operator')]",
"threshold" : "[parameters('threshold')]",
"timeAggregation": "[parameters('timeAggregation')]"
}
]
},
"actions": [
{
"actionGroupId": "[parameters('actionGroupId')]"
}
]
}
}
]
}
Если вы сохраните предыдущий json как metricfromLogsAlertStatic.json, вы можете смешать его с json-файлом параметра для создания на основе шаблона Resource Manager. Ниже приведен пример JSON-файла параметра:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"value": "TestLogtoMetricRule"
},
"convertRuleDescription": {
"value": "Test rule to extract metrics from logs via template"
},
"convertRuleRegion": {
"value": "West Central US"
},
"convertRuleStatus": {
"value": "true"
},
"convertRuleMetric": {
"value": "Average_% Idle Time"
},
"alertName": {
"value": "TestMetricAlertonLog"
},
"alertDescription": {
"value": "New multidimensional metric alert created via template"
},
"alertSeverity": {
"value":3
},
"isEnabled": {
"value": true
},
"resourceId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
},
"metricName":{
"value": "Average_% Idle Time"
},
"operator": {
"value": "GreaterThan"
},
"threshold":{
"value": "1"
},
"timeAggregation":{
"value": "Average"
},
"actionGroupId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/microsoft.insights/actionGroups/actionGroupName"
}
}
}
Если вы сохранили предыдущий файл параметров как metricfromLogsAlertStatic.parameters.json, можно создать оповещения метрик для журналов с помощью шаблона Resource Manager для создания в портал Azure.
Кроме того, можно использовать следующую команду Azure PowerShell:
New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile metricfromLogsAlertStatic.json TemplateParameterFile metricfromLogsAlertStatic.parameters.json
Кроме того, вы можете развернуть шаблон Resource Manager с помощью Azure CLI:
az deployment group create --resource-group myRG --template-file metricfromLogsAlertStatic.json --parameters @metricfromLogsAlertStatic.parameters.json
Оповещение метрик для журналов с динамическими порогами
В следующем примере шаблона создание оповещения метрик для динамических пороговых значений зависит от успешного создания правила для извлечения метрик из журналов.scheduledQueryRules
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the rule to convert a log to a metric."
}
},
"convertRuleDescription": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Description for the log converted to a metric."
}
},
"convertRuleRegion": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the region used by the workspace."
}
},
"convertRuleStatus": {
"type": "string",
"defaultValue": "true",
"metadata": {
"description": "Specifies whether the log conversion rule is enabled."
}
},
"convertRuleMetric": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric after extraction is done from logs."
}
},
"alertName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the alert."
}
},
"alertDescription": {
"type": "string",
"defaultValue": "This is a metric alert",
"metadata": {
"description": "Description of the alert."
}
},
"alertSeverity": {
"type": "int",
"defaultValue": 3,
"allowedValues": [
0,
1,
2,
3,
4
],
"metadata": {
"description": "Severity of the alert {0,1,2,3,4}."
}
},
"isEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether the alert is enabled."
}
},
"resourceId": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Full resource ID of the resource emitting the metric that will be used for the comparison. For example: /subscriptions/00000000-0000-0000-0000-0000-00000000/resourceGroups/ResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"metricName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "Name of the metric used in the comparison to activate the alert."
}
},
"operator": {
"type": "string",
"defaultValue": "GreaterOrLessThan",
"allowedValues": [
"GreaterThan",
"LessThan",
"GreaterOrLessThan"
],
"metadata": {
"description": "Operator comparing the current value with the threshold value."
}
},
"alertSensitivity": {
"type": "string",
"defaultValue": "Medium",
"allowedValues": [
"High",
"Medium",
"Low"
],
"metadata": {
"description": "Tunes how 'noisy' the alerts for dynamic thresholds will be. 'High' will result in more alerts. 'Low' will result in fewer alerts."
}
},
"numberOfEvaluationPeriods": {
"type": "string",
"defaultValue": "4",
"metadata": {
"description": "The number of periods to check in the alert evaluation."
}
},
"minFailingPeriodsToAlert": {
"type": "string",
"defaultValue": "3",
"metadata": {
"description": "The number of unhealthy periods to alert on (must be lower or equal to numberOfEvaluationPeriods)."
}
},
"timeAggregation": {
"type": "string",
"defaultValue": "Average",
"allowedValues": [
"Average",
"Minimum",
"Maximum",
"Total"
],
"metadata": {
"description": "How the data that's collected should be combined over time."
}
},
"windowSize": {
"type": "string",
"defaultValue": "PT5M",
"metadata": {
"description": "Period of time used to monitor alert activity based on the threshold. Must be between five minutes and one day. ISO 8601 duration format."
}
},
"evaluationFrequency": {
"type": "string",
"defaultValue": "PT1M",
"metadata": {
"description": "How often the metric alert is evaluated, represented in ISO 8601 duration format."
}
},
"actionGroupId": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The ID of the action group that's triggered when the alert is activated or deactivated."
}
}
},
"variables": {
"convertRuleSourceWorkspace": {
"SourceId": "/subscriptions/1234-56789-1234-567a/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
}
},
"resources": [
{
"name": "[parameters('convertRuleName')]",
"type": "Microsoft.Insights/scheduledQueryRules",
"apiVersion": "2018-04-16",
"location": "[parameters('convertRuleRegion')]",
"properties": {
"description": "[parameters('convertRuleDescription')]",
"enabled": "[parameters('convertRuleStatus')]",
"source": {
"dataSourceId": "[variables('convertRuleSourceWorkspace').SourceId]"
},
"action": {
"odata.type": "Microsoft.WindowsAzure.Management.Monitoring.Alerts.Models.Microsoft.AppInsights.Nexus.DataContracts.Resources.ScheduledQueryRules.LogToMetricAction",
"criteria": [{
"metricName": "[parameters('convertRuleMetric')]",
"dimensions": []
}
]
}
}
},
{
"name": "[parameters('alertName')]",
"type": "Microsoft.Insights/metricAlerts",
"location": "global",
"apiVersion": "2018-03-01",
"tags": {},
"dependsOn":["[resourceId('Microsoft.Insights/scheduledQueryRules',parameters('convertRuleName'))]"],
"properties": {
"description": "[parameters('alertDescription')]",
"severity": "[parameters('alertSeverity')]",
"enabled": "[parameters('isEnabled')]",
"scopes": ["[parameters('resourceId')]"],
"evaluationFrequency":"[parameters('evaluationFrequency')]",
"windowSize": "[parameters('windowSize')]",
"criteria": {
"odata.type": "Microsoft.Azure.Monitor.MultipleResourceMultipleMetricCriteria",
"allOf": [
{
"criterionType": "DynamicThresholdCriterion",
"name" : "1st criterion",
"metricName": "[parameters('metricName')]",
"dimensions":[],
"operator": "[parameters('operator')]",
"alertSensitivity": "[parameters('alertSensitivity')]",
"failingPeriods": {
"numberOfEvaluationPeriods": "[parameters('numberOfEvaluationPeriods')]",
"minFailingPeriodsToAlert": "[parameters('minFailingPeriodsToAlert')]"
},
"timeAggregation": "[parameters('timeAggregation')]"
}
]
},
"actions": [
{
"actionGroupId": "[parameters('actionGroupId')]"
}
]
}
}
]
}
Если вы сохраните предыдущий json как metricfromLogsAlertDynamic.json, вы можете смешать его с json-файлом параметра для создания на основе шаблона Resource Manager. Ниже приведен пример JSON-файла параметра:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"convertRuleName": {
"value": "TestLogtoMetricRule"
},
"convertRuleDescription": {
"value": "Test rule to extract metrics from logs via template"
},
"convertRuleRegion": {
"value": "West Central US"
},
"convertRuleStatus": {
"value": "true"
},
"convertRuleMetric": {
"value": "Average_% Idle Time"
},
"alertName": {
"value": "TestMetricAlertonLog"
},
"alertDescription": {
"value": "New multidimensional metric alert created via template"
},
"alertSeverity": {
"value":3
},
"isEnabled": {
"value": true
},
"resourceId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
},
"metricName":{
"value": "Average_% Idle Time"
},
"operator": {
"value": "GreaterOrLessThan"
},
"alertSensitivity": {
"value": "Medium"
},
"numberOfEvaluationPeriods": {
"value": "4"
},
"minFailingPeriodsToAlert": {
"value": "3"
},
"timeAggregation":{
"value": "Average"
},
"actionGroupId": {
"value": "/subscriptions/1234-56789-1234-567a/resourceGroups/myRG/providers/microsoft.insights/actionGroups/actionGroupName"
}
}
}
Если вы сохранили предыдущий файл параметров как metricfromLogsAlertDynamic.parameters.json, можно создать оповещения метрик для журналов с помощью шаблона Resource Manager для создания в портал Azure.
Кроме того, можно использовать следующую команду Azure PowerShell:
New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile metricfromLogsAlertDynamic.json TemplateParameterFile metricfromLogsAlertDynamic.parameters.json
Кроме того, вы можете развернуть шаблон Resource Manager с помощью Azure CLI:
az deployment group create --resource-group myRG --template-file metricfromLogsAlertDynamic.json --parameters @metricfromLogsAlertDynamic.parameters.json
Связанный контент
- Дополнительные сведения о оповещениях метрик.
- Сведения о оповещениях поиска по журналам в Azure.
- Подробнее об оповещениях в Azure