Устранение неполадок с оповещениями поиска по журналам в Azure Monitor

В этой статье описывается, как устранить распространенные проблемы с оповещениями поиска по журналам в Azure Monitor. Здесь также представлены решения распространенных проблем, связанных с функциональностью и конфигурацией оповещений журнала.

Оповещения журнала можно использовать для оценки журналов ресурсов с заданной частотой с помощью запросов Log Analytics и запуска оповещений на основе результатов. Правила могут запускать одно или несколько действий с помощью групп действий. Дополнительные сведения о функциях и терминологии оповещений поиска по журналам см. в статье "Оповещения журнала" в Azure Monitor.

Примечание.

В этой статье не рассматриваются случаи, когда было активировано правило генерации оповещений, его можно увидеть в портал Azure, но уведомление не было отправлено. Сведения об устранении неполадок см . в таких случаях .

Оповещение поиска по журналам не срабатывает, когда оно должно быть

Если оповещение поиска по журналам не срабатывает, когда оно должно быть, проверка следующие элементы:

1. Находится ли правило генерации оповещений в состоянии ухудшения или недоступности работоспособности?

   Просмотрите состояние работоспособности правила генерации оповещений поиска по журналам:

   1. На портале последовательно выберите Мониторинг и Оповещения.

   2. На верхней панели команд выберите Правила генерации оповещений. На странице отображаются все правила генерации оповещений во всех подписках.

   3. Выберите правило генерации оповещений поиска по журналам, которое требуется отслеживать.

   4. В области слева в разделе "Справка" выберите "Работоспособности ресурсов".

      

   Дополнительные сведения см. в статье "Мониторинг работоспособности правил генерации оповещений поиска по журналам".

2. Проверьте задержку приема журналов.

   Azure Monitor обрабатывает терабайты журналов клиентов по всему миру, что может привести к задержке приема журналов.

   Журналы являются частично структурированными данными и по сути являются более скрытыми, чем метрики. Если при срабатывании оповещений возникает более чем 4-минутная задержка, рекомендуется использовать оповещения метрик. Вы можете отправлять данные из журналов в хранилище метрик, используя оповещения метрик для журналов.

   Чтобы устранить задержку, система повторяет оценку оповещений несколько раз. После получения данных срабатывает оповещение, которое в большинстве случаев не равно времени записи журнала.

3. Отключены ли действия или настроено ли правило генерации оповещений автоматически?

   Распространенная проблема заключается в том, что вы думаете, что оповещение не срабатывает, но правило было настроено так, чтобы оповещение не срабило. Дополнительные параметры правила генерации оповещений поиска по журналам см. в том, чтобы убедиться, что оба из следующих элементов не выбраны:

   • Действие отключения проверка box: позволяет отключить действия с оповещениями в течение заданного периода времени.
   • Автоматическое разрешение оповещений: настраивает оповещение только один раз для каждого условия.

   

4. Был ли ресурс правила генерации оповещений перемещен или удален?

   Если ресурс правила генерации оповещений перемещается, переименовывается или удаляется, все правила генерации оповещений журнала, ссылающиеся на этот ресурс, прервутся. Чтобы устранить эту проблему, необходимо повторно создать правила генерации оповещений с помощью допустимого целевого ресурса для область.

5. Использует ли правило генерации оповещений управляемое удостоверение, назначаемое системой?

   При создании правила генерации оповещений журнала с управляемым удостоверением, назначаемого системой, удостоверение создается без каких-либо разрешений. После создания правила необходимо назначить соответствующие роли удостоверению правила, чтобы получить доступ к данным, которые требуется запрашивать. Например, может потребоваться предоставить ей роль читателя для соответствующих рабочих областей Log Analytics, а также роль читателя и роль средства просмотра баз данных для соответствующего кластера ADX. Дополнительные сведения об использовании управляемых удостоверений см. в оповещениях журнала.

6. Используется ли запрос в правиле генерации оповещений поиска по журналам?

   При создании правила генерации оповещений журнала запрос проверяется на правильность синтаксиса. Но иногда запрос, предоставленный в правиле генерации оповещений журнала, может начаться сбоем. Ниже перечислены некоторые распространенные причины.

   • Правила были созданы через API, и пользователь пропустил проверку.
   • Запрос выполняется на нескольких ресурсах, и один или несколько ресурсов были удалены или перемещены.
   • Запрос завершается ошибкой, так как:
     • Решение для ведения журнала не развернуто в рабочей области, поэтому таблицы не создаются.
     • Данные больше не передаются в таблицу в запросе более 30 дней.
     • Пользовательские таблицы журналов не были созданы, так как поток данных не запущен.
   • Изменения в языке запросов включают измененный формат для команд и функций, поэтому предоставленный ранее запрос больше не является допустимым.

   Помощник по Azure предупредит о таком поведении. Он добавляет рекомендацию о правиле оповещений о генерации оповещений поиска по журналам. Используемая категория — "высокий уровень доступности" — со средним влиянием и описанием "Восстановите правило оповещения журнала для обеспечения мониторинга".

7. Было ли отключено правило генерации оповещений поиска по журналам?

   Если запрос правила генерации оповещений поиска по журналам не выполняется непрерывно в течение недели, Azure Monitor отключает его автоматически.

   В следующих разделах перечислены некоторые причины, по которым Azure Monitor может отключить правило генерации оповещений поиска по журналам. Кроме того, есть пример события журнала действий, которое отправляется при отключении правила.

Пример журнала действий, когда правило отключено

{
    "caller": "Microsoft.Insights/ScheduledQueryRules",
    "channels": "Operation",
    "claims": {
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn": "Microsoft.Insights/ScheduledQueryRules"
    },
    "correlationId": "abcdefg-4d12-1234-4256-21233554aff",
    "description": "Alert: test-bad-alerts is disabled by the System due to : Alert has been failing consistently with the same exception for the past week",
    "eventDataId": "f123e07-bf45-1234-4565-123a123455b",
    "eventName": {
        "value": "",
        "localizedValue": ""
    },
    "category": {
        "value": "Administrative",
        "localizedValue": "Administrative"
    },
    "eventTimestamp": "2019-03-22T04:18:22.8569543Z",
    "id": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
    "level": "Informational",
    "operationId": "",
    "operationName": {
        "value": "Microsoft.Insights/ScheduledQueryRules/disable/action",
        "localizedValue": "Microsoft.Insights/ScheduledQueryRules/disable/action"
    },
    "resourceGroupName": "<Resource Group>",
    "resourceProviderName": {
        "value": "MICROSOFT.INSIGHTS",
        "localizedValue": "Microsoft Insights"
    },
    "resourceType": {
        "value": "MICROSOFT.INSIGHTS/scheduledqueryrules",
        "localizedValue": "MICROSOFT.INSIGHTS/scheduledqueryrules"
    },
    "resourceId": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
    "status": {
        "value": "Succeeded",
        "localizedValue": "Succeeded"
    },
    "subStatus": {
        "value": "",
        "localizedValue": ""
    },
    "submissionTimestamp": "2019-03-22T04:18:22.8569543Z",
    "subscriptionId": "<SubscriptionId>",
    "properties": {
        "resourceId": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/<ResourceGroup>/PROVIDERS/MICROSOFT.INSIGHTS/SCHEDULEDQUERYRULES/TEST-BAD-ALERTS",
        "subscriptionId": "<SubscriptionId>",
        "resourceGroup": "<ResourceGroup>",
        "eventDataId": "12e12345-12dd-1234-8e3e-12345b7a1234",
        "eventTimeStamp": "03/22/2019 04:18:22",
        "issueStartTime": "03/22/2019 04:18:22",
        "operationName": "Microsoft.Insights/ScheduledQueryRules/disable/action",
        "status": "Succeeded",
        "reason": "Alert has been failing consistently with the same exception for the past week"
    },
    "relatedEvents": []
}

Оповещение поиска по журналам запускается, когда оно не должно быть

Настроенное правило генерации оповещений журнала в Azure Monitor может активироваться непредвиденным образом. В следующих разделах описываются некоторые распространенные причины.

1. Активируется ли оповещение из-за проблем с задержкой?

   Azure Monitor обрабатывает терабайты журналов клиентов глобально, что может привести к задержке приема журналов. Существуют встроенные возможности для предотвращения ложных оповещений, но такие оповещения по-прежнему могут возникать в очень скрытых данных (свыше 30 минут) и данных с пиковыми задержками.

   Журналы являются частично структурированными данными и по сути являются более скрытыми, чем метрики. Если у вас возникает много ошибок при срабатывании оповещений, рассмотрите возможность использования оповещений метрик. Вы можете отправлять данные из журналов в хранилище метрик, используя оповещения метрик для журналов.

   Оповещения поиска по журналам лучше всего работают при попытке обнаружить определенные данные в журналах. Они менее эффективны при попытке обнаружить отсутствие данных в журналах, например оповещение о пульсе виртуальной машины.

Сообщения об ошибках при настройке правил генерации оповещений поиска по журналам

Ознакомьтесь со следующими разделами для определенных сообщений об ошибках и их разрешениях.

Не удалось проверить запрос, так как требуется разрешение для журналов

Если при создании или изменении запроса правила генерации оповещений появится это сообщение об ошибке, убедитесь, что у вас есть разрешения на чтение журналов целевых ресурсов.

• Разрешения, необходимые для чтения журналов в режиме доступа к контексту рабочей области: Microsoft.OperationalInsights/workspaces/query/read
• Разрешения, необходимые для чтения журналов в режиме доступа к контексту ресурсов (включая ресурс Аналитика приложения на основе рабочей области): Microsoft.Insights/logs/tableName/read

Дополнительные сведения о разрешениях см. в статье "Управление доступом к рабочим областям Log Analytics".

Для этого запроса не поддерживается одноминутная частота

Существуют некоторые ограничения на использование частоты правила генерации оповещений в одну минуту. Если вы установили частоту правила генерации оповещений в одну минуту, выполняется внутренняя манипуляция для оптимизации запроса. Эта манипуляция может привести к сбою запроса, если он содержит неподдерживаемые операции.

Список неподдерживаемых сценариев см . в этой заметке.

Не удалось разрешить скалярное выражение с именем <>

Это сообщение об ошибке можно вернуть при создании или изменении запроса правила генерации оповещений, если:

• Вы ссылаетесь на столбец, который не существует в схеме таблицы.
• Вы ссылаетесь на столбец, который не использовался в предыдущем предложении проекта запроса.

Чтобы устранить эту проблему, можно добавить столбец в предыдущее предложение проекта или использовать оператор columnifexists .

API ScheduledQueryRules не поддерживается только для чтения оповещений OMS

Это сообщение об ошибке возвращается при попытке обновить или удалить правила, созданные с устаревшей версией API с помощью портал Azure.

1. Изменение или удаление правила программным способом с помощью REST API Log Analytics.
2. Рекомендуется обновить правила генерации оповещений, чтобы использовать API правил запланированных запросов (устаревший API находится на пути к отключению).

Достигнуто ограничение службы правил генерации оповещений

Дополнительные сведения о количестве правил генерации оповещений поиска по подписке и максимальных ограничениях ресурсов см. в разделе Ограничения службы Azure Monitor. Ознакомьтесь с общим количеством правил генерации оповещений журнала, используемых , чтобы узнать, сколько правил генерации оповещений метрик в настоящее время используется. Если вы достигли предела квоты, устранить проблему помогут следующие действия.

1. Удалите или отключите правила генерации оповещений поиска по журналам, которые больше не используются.

2. Используйте разделение по измерениям , чтобы уменьшить количество правил. При использовании разделения по измерениям одно правило может отслеживать множество ресурсов.

3. Если требуется увеличить квоту, отправьте запрос на поддержку и предоставьте приведенные ниже сведения.

   • Идентификаторы подписок и идентификаторы ресурсов, для которых необходимо увеличить квоту
   • Причина увеличения квоты
   • Тип ресурсов для увеличения квоты: Log Analytics или Application Insights.
   • Запрашиваемое увеличение квоты.

Следующие шаги

• Ознакомьтесь со сведениями об оповещениях журналов в Azure.
• Ознакомьтесь с дополнительными сведениями о настройке оповещений журналов.
• Дополнительные сведения о запросах журнала.