Руководство. Создание оповещения поиска по журналам для ресурса Azure

  • Статья

Оповещения Azure Monitor заблаговременно уведомляют вас при обнаружении важных условий в данных мониторинга. Правила генерации оповещений поиска журнала создают оповещение, когда запрос журнала возвращает определенный результат. Например, вы можете получить оповещение при создании определенного события на виртуальной машине или отправить предупреждение при чрезмерном числе анонимных запросов к учетной записи хранения.

В этом руководстве описано следующее:

  • Получить доступ к готовым запросам к журналу, предназначенным для поддержки правил генерации оповещений для различных типов ресурсов.
  • Создание правила генерации оповещений поиска по журналам
  • создать группу действий для определения сведений об уведомлениях.

Необходимые компоненты

Для работы с этим руководством вам нужно следующее:

  • Ресурс Azure для отслеживания. Вы можете использовать любой ресурс в подписке Azure, который поддерживает параметры диагностики. Чтобы определить, поддерживает ли ресурс параметры диагностики, перейдите в меню этого ресурса на портале Azure и убедитесь, что в разделе Мониторинг присутствует элемент Параметры диагностики.

Если вы используете какой-либо ресурс Azure, кроме виртуальной машины:

Если вы используете виртуальную машину Azure:

Выбор запроса к журналу и проверка результатов

Данные из рабочей области Log Analytics извлекаются с помощью запросов к журналам, написанных на языке KQL. Аналитика и решения в Azure Monitor предоставляют запросы журналов для получения данных для определенной службы, но вы можете работать непосредственно с запросами журнала и их результатами в портал Azure с Log Analytics.

Выберите Журналы в меню ресурса. Log Analytics откроется с окном Запросы, которое включает готовые запросы для вашего типа ресурса. Выберите оповещения для просмотра запросов, предназначенных для правил генерации оповещений.

Примечание.

Если окно Запросы не открылось, щелкните Запросы в правом верхнем углу.

Log Analytics с окном

Выберите запрос и щелкните Выполнить, чтобы загрузить его в редакторе запросов и получить результаты. Возможно, потребуется изменить запрос и выполнить его снова. Например, запрос "Показать анонимные запросы " для учетных записей хранения показан на следующем снимке экрана. Возможно, потребуется изменить AuthenticationType или задать фильтр по другому столбцу.

Результаты запроса

Создание правила генерации оповещений

После проверки запроса можно создать правило генерации оповещений. Выберите Создать правило генерации оповещений, чтобы создать новое правило генерации оповещений на основе текущего запроса к журналу. Область уже задана для текущего ресурса. Это значение не нужно изменять.

Создание правила генерации оповещений

Настройка условия

На вкладке "Условие" запрос журнала уже заполнен. Раздел "Измерение" определяет, как измеряются записи из запроса журнала. Если запрос не выполняет сводку, единственным вариантом является подсчет количества строк таблицы. Если запрос содержит один или несколько сводных столбцов, можно использовать количество строк таблицы или вычисление на основе любого из суммированных столбцов. Степень детализации агрегирования определяет интервал времени, в течение которого выполняется статистическое вычисление собранных значений. Например, если для агрегирования задано значение 5 минут, правило генерации оповещений оценивает данные, агрегированные за последние 5 минут. Если для агрегирования задано значение 15 минут, правило генерации оповещений оценивает данные, агрегированные за последние 15 минут. Важно выбрать правильную степень детализации агрегирования для правила генерации оповещений, так как это может повлиять на точность оповещения.

Примечание.

Объединенный размер всех данных в свойствах правила генерации оповещений журнала не может превышать 64 КБ. Это может быть вызвано слишком большими измерениями, слишком большим, слишком большим количеством групп действий или длинным описанием. При создании большого правила генерации оповещений не забудьте оптимизировать эти области.

Условие для правила генерации оповещений

Настройка измерений

Разделение по измерениям позволяет создавать отдельные оповещения для разных ресурсов. Этот параметр полезен при создании правила генерации оповещений, которое применяется к нескольким ресурсам. Если область задана для одного ресурса, обычно этот параметр не используется.

Измерения правила генерации оповещений

Если вам нужны определенные измерения, включенные в сообщение электронной почты уведомления об оповещении, можно указать измерение (например, "Компьютер"), сообщение электронной почты с уведомлением об оповещении будет содержать имя компьютера, активировав оповещение. Обработчик оповещений использует запрос генерации оповещений для определения доступных измерений. Если в раскрывающемся списке не отображается измерение для имени измерения, это связано с тем, что запрос генерации оповещений не предоставляет этот столбец в результатах. Вы можете легко добавить нужные измерения, добавив строку Project в запрос, включив столбцы, которые вы хотите использовать. Можно также использовать строку "Сводка" для добавления дополнительных столбцов в результаты запроса.

Снимок экрана: измерения правила генерации оповещений с измерением с именем

Настройка логики оповещений

В логике оповещений настройте параметры Оператор и Пороговое значение, чтобы сравнить его со значением, возвращаемым измерением. Оповещение генерируется, если значение является истинным. Выберите значение Частота оценки, которое определяет частоту выполнения и оценки запроса к журналу. Затраты на правило генерации оповещений увеличиваются при меньшей частоте. При выборе частоты предполагаемые ежемесячные затраты отображаются рядом с результатами запроса за период времени.

Например, если измерение является строками таблицы, логика оповещения может быть больше 0 , указывающая, что возвращается по крайней мере одна запись. Если измерение является значением столбца, возможно, логике потребуется быть больше или меньше определенного порогового значения. В следующем примере запрос журнала ищет анонимные запросы к учетной записи хранения. Если выполняется анонимный запрос, мы должны активировать оповещение. В этом случае одна запись приведет к срабатыванию оповещения, поэтому логика оповещения должна быть больше 0.

Логика оповещений

Настройка действий

Группы действий определяют набор действий, выполняемых при срабатывании оповещения, например при отправке сообщения электронной почты или SMS.

Чтобы настроить действия, выберите вкладку "Действия ".

Снимок экрана: выделенная вкладка

Щелкните " Выбрать группы действий", чтобы добавить его в правило генерации оповещений.

Снимок экрана: кнопка

Если у вас еще нет группы действий в подписке для выбора, щелкните Создать группу действий.

Создать группу действий

Выберите подписку и группу ресурсов для группы действий и присвойте ей имя, которое будет отображаться на портале, и отображаемое имя, которое будет отображаться в уведомлениях электронной почты и SMS.

Основные сведения о группе действий

Перейдите на вкладку Уведомления и добавьте один или несколько методов для информирования соответствующих пользователей при срабатывании оповещения.

Уведомления группы действий

Настройка сведений

Перейдите на вкладку "Сведения" и настройте различные параметры правила генерации оповещений.

  • Имя правила генерации оповещений, которое должно быть описательным (оно отображается при срабатывании оповещения).
  • При необходимости укажите описание правила генерации оповещений, которое включается в сведения об оповещении.
  • Подписка и группа ресурсов, в которой будет храниться правило генерации оповещений. Оно необязательно должно находиться в той же группе ресурсов, что и отслеживаемый ресурс.
  • Серьезность оповещения. Серьезность позволяет группировать оповещения с одинаковой относительной важностью. Уровень серьезности Ошибка подходит для виртуальной машины, которая не отвечает на запросы.
  • В разделе "Дополнительные параметры" сохраните поле проверка для включения при создании.
  • В разделе "Дополнительные параметры" сохраните поле проверка для автоматического разрешения оповещений. Это добавит в оповещение отслеживание состояния, то есть оповещение разрешается, когда условие больше не выполняется.

Сведения о правиле генерации оповещений

Нажмите Создать правило генерации оповещений, чтобы создать правило.

Просмотр оповещения

Когда оповещение запускается, он отправляет все уведомления в своих группах действий. Кроме того, оповещение можно просмотреть на портале Azure.

Выберите Оповещения в меню ресурса. Если для ресурсов есть открытые оповещения, они включены в представление.

Представление

Щелкните уровень серьезности, чтобы отобразить соответствующие оповещения. Выберите ответ пользователя и отмените флажок "Закрытый", чтобы просмотреть только открытые оповещения.

Снимок экрана: фильтр ответа пользователя.

Щелкните имя оповещения, чтобы просмотреть сведения о нем.

Сведения об оповещении

Следующие шаги

Теперь, когда вы узнали, как создать оповещение поиска по журналам для ресурса Azure, ознакомьтесь с книгами для создания интерактивных визуализаций данных мониторинга.

Изучение и предоставление общего доступа к данным об использовании c интерактивными книгами в Application Insights