Создание или изменение правила генерации оповещений поиска по журналам

В этой статье показано, как создать новое правило генерации оповещений поиска по журналам или изменить существующее правило генерации оповещений поиска по журналам. Дополнительные сведения о оповещениях см. в обзоре оповещений.

Вы создаете правило генерации оповещений, объединив ресурсы, данные мониторинга из ресурса и условия, которые требуется активировать оповещение. Затем можно определить группы действий и правила обработки оповещений, чтобы определить, что происходит при активации оповещения.

Оповещения, активированные этими правилами генерации оповещений, содержат полезные данные, использующие общую схему оповещений.

Доступ к мастеру правил генерации оповещений в портал Azure

Существует несколько способов создания или изменения нового правила генерации оповещений.

Создание или изменение правила генерации оповещений на домашней странице портала

1. На портале выберите "Мониторинг оповещений>".

2. Откройте меню +Создать и выберите правило генерации оповещений.

   

Создание или изменение правила генерации оповещений из определенного ресурса

1. На портале перейдите к ресурсу.

2. Выберите оповещения в левой области и нажмите кнопку "Создать>правило генерации оповещений".

   

Изменение существующего правила генерации оповещений

1. На портале на домашней странице или из определенного ресурса выберите "Оповещения" в левой области.

2. Щелкните Правила генерации оповещений.

3. Выберите правило генерации оповещений, которое нужно изменить, и нажмите кнопку "Изменить".

   

4. Выберите любую вкладку для правила генерации оповещений, чтобы изменить параметры.

Настройка область правила генерации оповещений

1. На панели "Выбор ресурса" задайте область для правила генерации оповещений. Вы можете фильтровать по подписке, типу ресурса или расположению ресурсов.

2. Выберите Применить.

   

Настройка условий правила генерации оповещений

1. На вкладке "Условие" при выборе поля "Имя сигнала" выберите "Пользовательский поиск по журналам" или выберите "Просмотреть все сигналы", если вы хотите выбрать другой сигнал для условия.

2. (Необязательно) Если вы решили просмотреть все сигналы на предыдущем шаге, используйте область "Выбор сигнала", чтобы найти имя сигнала или отфильтровать список сигналов. Фильтровать по:

   • Тип сигнала: выбор поиска по журналам.
   • Источник сигнала: служба, которая отправляет сигналы "Пользовательский поиск по журналам" и "Журнал (сохраненный запрос)". Выберите имя сигнала и применить.

3. На панели журналов напишите запрос, возвращающий события журнала, для которых требуется создать оповещение. Чтобы использовать один из стандартных запросов правила генерации оповещений, разверните область схемы и фильтра слева от области журналов . Затем выберите вкладку "Запросы " и выберите один из запросов.

Ограничения для запросов правил генерации оповещений поиска по журналам:

• Запросы правил генерации оповещений поиска по журналам не поддерживают подключаемые модули bag_unpack(), pivot()и "narrow()".

• Слово "AggregatedValue" является зарезервированным словом, оно не может использоваться в запросе в правилах оповещений поиска по журналам.

• Объединенный размер всех данных в свойствах правила генерации оповещений журнала не может превышать 64 КБ.

  

1. (Необязательно) Если вы запрашиваете кластер ADX или ARG, Log Analytics не может автоматически идентифицировать столбец с меткой времени события. Мы рекомендуем добавить фильтр диапазона времени в запрос. Например:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Примеры запросов оповещений поиска по журналам, запрашивающих ARG или ADX, см . в примерах запросов оповещений поиска по журналам.

   Это ограничения для использования кросс-запросов:

   • Ограничения запросов между службами
   • Объединение таблиц Azure Resource Graph с рабочей областью Log Analytics
   • Не поддерживается в облаках для государственных организаций

2. Нажмите Запуск, чтобы выполнить запрос.

3. В разделе Предварительный просмотр отображаются результаты запроса. Завершив редактирование запроса, нажмите кнопку Продолжить редактирование оповещения.

4. Откроется вкладка Условие, заполненная вашим запросом журнала. По умолчанию правило подсчитывает количество результатов за последние пять минут. Если система обнаруживает сводные результаты запроса, то правило автоматически обновляется на основе полученной информации.

5. В разделе Измерение выберите значения для этих полей:

   

   Поле	Description
   Измерение	Оповещения поиска по журналам могут измерять два различных способа, которые можно использовать для различных сценариев мониторинга: Строки таблицы: количество возвращаемых строк можно использовать для работы с такими событиями, как журналы событий Windows, системный журнал и исключения приложений. Вычисление числового столбца: вычисление на основе любого числового столбца, может использоваться для включения любого количества ресурсов. Примером является процент ЦП.
   Тип агрегирования	Вычисление, выполняемое для нескольких записей, чтобы объединить их с одним числовым значением с помощью детализации агрегирования. Примеры: Total, Average, Minimum или Maximum.
   Степень детализации агрегирования	Интервал агрегирования нескольких записей в одно числовое значение.

6. (Необязательно) В разделе "Разделение по измерениям" можно использовать измерения для предоставления контекста для триггерного оповещения.

   

   Измерения — это столбцы из результатов запроса, содержащих дополнительные данные. При использовании измерений правило генерации оповещений группирует результаты запроса по значениям измерения и оценивает результаты каждой группы отдельно. Если условие выполнено, правило запускает оповещение для этой группы. Полезная нагрузка оповещения включает в себя комбинацию, которая активировала оповещение.

   Можно применить до шести измерений для каждого правила генерации оповещений. Измерения могут быть только строковыми или числовыми столбцами. Если вы хотите использовать столбец, который не является числом или строковым типом в качестве измерения, необходимо преобразовать его в строку или числовое значение в запросе. Если выбрать несколько значений измерения, каждый временный ряд, полученный из комбинации, будет активировать собственное оповещение и его понадобится оплачивать отдельно.

   Например:

   • Измерения можно использовать для мониторинга использования ЦП на нескольких экземплярах, работающих на веб-сайте или приложении. Каждый экземпляр отслеживается по отдельности, и уведомления отправляются для каждого экземпляра, где использование ЦП превышает настроенное значение.
   • Вы можете не разделить по измерениям, если требуется условие, примененное к нескольким ресурсам в область. Например, вы не будете использовать измерения, если вы хотите запустить оповещение, если по крайней мере пять компьютеров в группе ресурсов область использовать ЦП выше настроенного значения.

   Выберите значения для следующих полей:

   • Столбец идентификатора ресурса. В целом, если правило генерации оповещений область является рабочей областью, оповещения запускаются в рабочей области. Если требуется отдельное оповещение для каждого затронутого ресурса Azure, можно:
     • используйте столбец идентификатора ресурса ARM в качестве измерения (обратите внимание, что с помощью этого параметра оповещение будет запущено в рабочей области с столбцом "Идентификатор ресурса Azure" в качестве измерения.
     • укажите его в качестве измерения в свойстве идентификатора ресурса Azure, что делает ресурс, возвращаемый запросом, целевым объектом оповещения, поэтому оповещения запускаются по ресурсу, возвращаемому запросом, например виртуальной машине или учетной записи хранения, а не в рабочей области. При использовании этого параметра, если рабочая область получает данные из ресурсов в нескольких подписках, оповещения можно активировать на ресурсах из подписки, отличной от подписки правила генерации оповещений.

   Поле	Description
   Имя измерения	Измерениями могут быть числовые или строковые столбцы. Измерения позволяют отслеживать определенные временные ряды и предоставляют контекст для активированного оповещения.
   Оператор	Оператор, используемый для имени и значения измерения.
   Значения измерений	Значения измерений основаны на данных за последние 48 часов. Выберите Добавить пользовательское значение, чтобы добавить пользовательские значения измерений.
   Включить все будущие значения	Выберите это поле, чтобы включить любые будущие значения, добавленные в выбранное измерение.

7. В разделе Логика оповещений выберите значения для этих полей:

   

   Поле	Description
   Оператор	Результаты запроса преобразуются в число. В этом поле выберите оператор, который будет использоваться для сравнения числа с пороговым значением.
   Пороговое значение	Числовое значение, задаваемое как пороговое.
   Частота оценки	Как часто выполняется запрос. Можно задать в любом месте от одной минуты до одного дня (24 часа).

   Примечание.

   Существуют некоторые ограничения на использование одной минуты частоты правила генерации оповещений. Если вы установили частоту правила генерации оповещений в одну минуту, выполняется внутренняя манипуляция для оптимизации запроса. Эта манипуляция может привести к сбою запроса, если он содержит неподдерживаемые операции. Ниже приведены наиболее распространенные причины, по которым запрос не поддерживается:

   • Запрос содержит операции поиска, объединения * или выполнения (ограничения)
   • Запрос содержит функцию ingestion_time()
   • Запрос использует шаблон adx
   • Запрос вызывает функцию, которая вызывает другие таблицы

   Примеры запросов оповещений поиска по журналам, которые запрашивают ARG или ADX, см . в примерах запросов оповещений поиска по журналам.

8. (Необязательно) В разделе Дополнительные параметры можно указать количество сбоев и период оценки оповещений, необходимый для активации оповещения. Например, если задать степень детализации агрегирования в 5 минут, можно указать, что вы хотите активировать оповещение только в случае трех сбоев (15 минут) за последний час. Бизнес-политика приложения определяет этот параметр.

   

   Выберите значения для этих полей в разделе Число нарушений, по достижении которого активируется оповещение:

   Поле	Description
   Число нарушений	Число нарушений, по достижении которого активируется оповещение.
   Период оценки	Период времени, в течение которого происходит определенное число нарушений.
   Диапазон времени переопределения запроса	Если требуется, чтобы период оценки оповещений отличался от диапазона времени запроса, введите здесь диапазон времени. Максимальное значение для диапазона времени оповещения — 2 дня. Даже если запрос содержит команду ago с диапазоном времени более двух дней, применяется двухдневный максимальный диапазон времени. Например, даже если текст запроса содержит ago(7d), запрос сканирует только до двух дней данных. Если запросу требуется больше данных, чем оценка оповещений, можно изменить диапазон времени вручную. Если запрос содержит команду назад , он будет автоматически изменен на 2 дня (48 часов).

   Примечание.

   Если вы или администратор назначили Политика Azure оповещения поиска журналов Azure через рабочие области Log Analytics должны использовать ключи, управляемые клиентом, необходимо выбрать "Проверить связанное хранилище рабочей области". Если это не так, создание правила завершится ошибкой, так как оно не будет соответствовать требованиям политики.

9. В предварительном просмотре диаграммы отображаются результаты оценки запросов с течением времени. Вы можете изменить период диаграммы или выбрать различные временные ряды, которые были вызваны уникальным разделением оповещений по измерениям.

   

10. Нажмите кнопку Готово. С этого момента вы можете нажать кнопку Проверка и создание в любое время.

Настройка действий правила генерации оповещений

1. На вкладке "Действия" выберите или создайте необходимые группы действий.

   

Настройка сведений о правиле генерации оповещений

1. На вкладке "Сведения" определите сведения о проекте.

   • Выберите элемент Подписка.
   • Выберите пункт Группа ресурсов.

2. Определите сведения для правиле генерации оповещений.

   

   1. Выберите Уровень серьезности.

   2. Введите значения для полей Имя правила генерации оповещений и Описание правила генерации оповещений.

      Примечание.

      Обратите внимание, что правило, использующее удостоверение, не может иметь символ ";" в имени правила генерации оповещений

   3. Выберите Регион.

   4. В разделе "Удостоверение" выберите удостоверение, используемое правилом генерации оповещений поиска по журналам для отправки запроса журнала. Это удостоверение используется для проверки подлинности, когда правило генерации оповещений выполняет запрос журнала.

      При выборе удостоверения следует учитывать следующее:

      • Для отправки запроса в Обозреватель данных Azure требуется управляемое удостоверение.
      • Используйте управляемое удостоверение, если вы хотите увидеть или изменить разрешения, связанные с правилом генерации оповещений.
      • Если вы не используете управляемое удостоверение, разрешения правила генерации оповещений основаны на разрешениях последнего пользователя на изменение правила в момент последнего изменения правила.
      • Используйте управляемое удостоверение, чтобы избежать ситуации, когда правило не работает должным образом, так как пользователь, который последний раз редактировал правило, не имеет разрешений для всех ресурсов, добавленных в область правила.

      Удостоверение, связанное с правилом, должно иметь следующие роли:

      • Если запрос обращается к рабочей области Log Analytics, удостоверение должно быть назначено роль читателя для всех рабочих областей, к которым обращается запрос. Если вы создаете оповещения поиска по журналам с учетом ресурсов, правило генерации оповещений может получить доступ к нескольким рабочим областям, а удостоверение должно иметь роль читателя для всех этих оповещений.
      • Если вы запрашиваете кластер ADX или ARG, необходимо добавить роль читателя для всех источников данных, к которым обращается запрос. Например, если запрос ориентирован на ресурсы, он нуждается в роли читателя в этом ресурсе.
      • Если запрос обращается к удаленному кластеру Обозреватель данных Azure, необходимо назначить удостоверение:
        • Роль читателя для всех источников данных, к которым обращается запрос. Например, если запрос вызывает удаленный кластер данных Azure Обозреватель с помощью функции adx(), он должен иметь роль читателя в этом кластере ADX.
        • Средство просмотра баз данных для всех баз данных, к которые обращается запрос.

      Подробные сведения об управляемых удостоверениях см. в разделе управляемых удостоверений для ресурсов Azure.

      Выберите один из следующих параметров удостоверения, используемого правилом генерации оповещений:

      Идентификация	Description
      Нет	Разрешения правила генерации оповещений основаны на разрешениях последнего пользователя, который редактировал правило, в то время, когда правило было изменено.
      Управляемое удостоверение, назначаемое системой	Azure создает новое выделенное удостоверение для этого правила генерации оповещений. Это удостоверение не имеет разрешений и автоматически удаляется при удалении правила. После создания правила необходимо назначить этому удостоверению разрешения для доступа к рабочей области и источникам данных, необходимым для запроса. Дополнительные сведения о назначении разрешений см. в статье "Назначение ролей Azure" с помощью портал Azure.
      Управляемая единица, назначаемая пользователем	Перед созданием правила генерации оповещений создайте удостоверение и назначите ему соответствующие разрешения для запроса журнала. Это обычное удостоверение Azure. Одно удостоверение можно использовать в нескольких правилах генерации оповещений. Удостоверение не удаляется при удалении правила. При выборе этого типа удостоверения откроется панель, чтобы выбрать связанное удостоверение для правила.

3. (Необязательно) В разделе "Дополнительные параметры " можно задать несколько параметров:

   Поле	Description
   Включить при создании	Выберите, чтобы правило генерации оповещений начало действовать, как только вы завершите его создание.
   Автоматическое разрешение предупреждений (предварительная версия)	Выберите, чтобы добавить в оповещение отслеживание состояния. Если оповещение находится в состоянии, оповещение разрешается, если условие больше не выполняется для определенного диапазона времени. Диапазон времени может быть разным в зависимости от частоты оповещения: 1 минута — условие оповещения не выполняется в течение 10 минут. 5–15 минут — условие оповещения не выполняется в течение трех периодов частоты. От 15 минут до 11 часов — условие оповещения не выполняется в течение двух периодов частоты. От 11 до 12 часов — условие оповещения не выполняется в течение одного периода частоты. Обратите внимание, что оповещения поиска по журналам с отслеживанием состояния имеют следующие ограничения: — они могут активировать до 300 оповещений на оценку. — у вас может быть не более 5000 оповещений с условием генерации оповещений fired .
   Отключить действия	Выберите, чтобы задать период времени ожидания перед повторным запуском действий оповещения. Если установить этот флажок, появится поле Отключить действия на срок, в котором можно выбрать время ожидания после срабатывания оповещения перед повторным запуском действий.
   Проверить хранилище, связанное с рабочей областью	Выберите, если связанное хранилище рабочей области журналов для оповещений настроено. Если связанное хранилище не настроено, правило не создается.

4. (Необязательно) В разделе "Пользовательские свойства ", если это правило генерации оповещений содержит группы действий, можно добавить собственные свойства для включения в полезные данные уведомления об оповещении. Эти свойства можно использовать в действиях, вызываемых группой действий, таких как веб-перехватчик, функции Azure или действия приложения логики.

   Пользовательские свойства указываются в виде пар "ключ:значение", используя статический текст, динамическое значение, извлеченное из полезных данных оповещения, или сочетание обоих.

   Формат извлечения динамического значения из полезных данных генерации оповещений: ${<path to schema field>} Например: ${data.essentials.monitorCondition}.

   Используйте формат общей схемы генерации оповещений, чтобы указать поле в полезных данных, независимо от того, будут ли группы действий, настроенные для правила генерации оповещений, использовать общую схему.

   Примечание.

   • Общая схема перезаписывает пользовательские конфигурации. Нельзя использовать как пользовательские свойства, так и общую схему.
   • Пользовательские свойства добавляются в полезные данные оповещения, но они не отображаются в шаблоне электронной почты или в сведениях об оповещении в портал Azure.
   • Оповещения о работоспособности служб не поддерживают пользовательские свойства.

   

   В следующих примерах значения в настраиваемых свойствах используются для использования данных из полезных данных, использующих общую схему оповещений:

   Пример 1

   В этом примере создается тег "Дополнительные сведения" с данными о времени начала окна и времени окончания окна.

   • Имя: "Дополнительные сведения"
   • Значение: "Ознакомительное окноStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}"
   • Результат: "AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z"

   Пример 2 В этом примере добавляются данные, касающиеся причины разрешения или запуска оповещения.

   • Имя: "Оповещение ${data.essentials.monitorCondition} причина"
   • Значение: "${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. Значение ${data.alertContext.condition.allOf[0].metricValue}"
   • Результат. Примеры результатов могут быть примерно такими:
     • "Устранена причина, связанная с оповещением: процент загрузки ЦП БольшеThan5 разрешен. Значение равно 3,585"
     • "Оповещение сработала причина": "Процент загрузки ЦП БольшеThan5. Значение равно 10,585"

Настройка тегов правил генерации оповещений

1. На вкладке "Теги" задайте все необходимые теги в ресурсе правила генерации оповещений.

   

Проверка и создание правила генерации оповещений

1. На вкладке "Просмотр и создание " правило проверяется и позволяет узнать о любых проблемах.

2. Если проверка пройдена и вы проверили параметры, выберите Создать.

   

Следующие шаги

• Примеры запросов оповещений поиска по журналам
• Просмотр экземпляров оповещений и управление ими