Snabbstart: Skapa aviseringar med Azure Resource Graph och Log Analytics

I den här snabbstarten får du lära dig hur du kan använda Azure Log Analytics för att skapa aviseringar i Azure Resource Graph-frågor. Du kan skapa aviseringar med Azure Resource Graph-fråga, Log Analytics-arbetsyta och hanterade identiteter. Aviseringens villkor skickar meddelanden med ett angivet intervall.

Du kan använda frågor för att konfigurera aviseringar för dina distribuerade Azure-resurser. Du kan skapa frågor med hjälp av Azure Resource Graph-tabeller eller kombinera Azure Resource Graph-tabeller och Log Analytics-data från Azure Monitor-loggar.

I den här artikelns exempel skapar du resurser i samma resursgrupp och använder samma region, till exempel USA, västra 3. Exemplen i den här artikeln kör frågor och skapar aviseringar för Azure-resurser i en enda Azure-klientorganisation. Azure Data Explorer-kluster ligger utanför den här artikelns omfång.

Den här artikeln innehåller två exempel på aviseringar:

• Azure Resource Graph: Använder Tabellen Azure Resource Graph Resources för att skapa en fråga som hämtar data för dina distribuerade Azure-resurser och skapar en avisering.
• Azure Resource Graph och Log Analytics: Använder Azure Resource Graph-tabellen Resources och Log Analytics-data från tabellen från Azure Monitor-loggar Heartbeat . I det här exemplet används en virtuell dator för att visa hur du konfigurerar frågan och aviseringen.

Kommentar

Integrering av Azure Resource Graph-aviseringar med Log Analytics finns i offentlig förhandsversion.

Förutsättningar

• Om du inte har något Azure-konto skapar du ett kostnadsfritt konto innan du börjar.
• Resurser som distribueras i Azure, till exempel virtuella datorer eller lagringskonton.
• Om du vill använda exemplet för Azure Resource Graph- och Log Analytics-frågan behöver du minst en virtuell Azure-dator med Azure Monitor-agenten.

Skapa arbetsyta

Skapa en Log Analytics-arbetsyta i prenumerationen som övervakas.

1. Logga in på Azure-portalen.

2. I sökfältet skriver du log analytics-arbetsytor och väljer Log Analytics-arbetsytor.

   Om du använde Log Analytics-arbetsytor kan du välja den från Azure-tjänster.

   

3. Välj Skapa:

   • Prenumeration: Välj din Azure-prenumeration
   • Resursgrupp: demo-arg-alert-rg
   • Namn: demo-arg-alert-workspace
   • Region: USA, västra 3
     • Du kan välja en annan region, men använda samma region för andra resurser.

4. Välj Granska + skapa och vänta tills Verifieringen har skickats visas.

5. Välj Skapa för att påbörja distributionen.

6. Välj Gå till resurs när distributionen är klar.

Skapa en virtuell dator

Azure Resource Graph

Du behöver inte skapa en virtuell dator för exemplet som använder Azure Resource Graph-tabellen.

Azure Resource Graph och Log Analytics

Kommentar

Det här avsnittet är valfritt om du har befintliga virtuella datorer eller vet hur du skapar en virtuell dator. I det här exemplet används en virtuell dator för att visa hur du skapar en fråga med hjälp av en Azure Resource Graph-tabell och Log Analytics-data.

För att få logginformation installeras Azure Monitor-agenten på den virtuella datorn när du ansluter den virtuella datorn till Log Analytics-arbetsytan. Om du inte har en virtuell dator kan du skapa en för det här exemplet. För att undvika onödiga kostnader tar du bort den virtuella datorn när du är klar med exemplet.

Följande instruktioner är grundläggande inställningar för en virtuell Linux-dator. Detaljerade steg om hur du skapar en virtuell dator ligger utanför omfånget för den här artikeln. Din organisation kan kräva olika säkerhets- eller nätverksinställningar för virtuella datorer.

1. Skapa en virtuell Ubuntu Linux-dator i Azure.

2. Välj Skapa.

3. Från Skapa en virtuell dator kan du acceptera standardinställningar med följande undantag:

   Grundläggande inställningar

   • Resursgrupp: demo-arg-alert-rg
   • namn på virtuell dator: Ange ett virtuellt datornamn som demovm01.
   • Tillgänglighetsalternativ: Ingen infrastrukturredundans krävs
   • Storlek: Standard_B1s
   • Administratörskonto: Du måste skapa autentiseringsuppgifter, men i det här exemplet behöver du inte logga in:
     • Autentiseringstyp: offentlig SSH-nyckel
     • Användarnamn: Skapa ett användarnamn
     • Offentlig SSH-nyckelkälla: Generera nytt nyckelpar
     • Nyckelparnamn: Acceptera standardnamn
   • Offentliga inkommande portar: Ingen

   Diskar

   • Kontrollera att Ta bort med virtuell dator har valts.

   Nätverk

   • Offentlig IP-adress: Ingen
   • Välj Ta bort nätverkskort när den virtuella datorn tas bort.

   Hantering

   • Välj Aktivera automatisk avstängning.
   • Välj en avstängningstid i tidszonen.
   • Lägg till din e-postadress om du vill ha ett avstängningsmeddelande.

   Övervakning, avancerat och taggar

   • Inga ändringar behövs för det här exemplet.

4. Välj Granska + skapa och sedan Skapa.

   Du uppmanas att skapa ett nytt nyckelpar. Välj Hämta privat nyckel och skapa resurs. När du är klar med den virtuella datorn tar du bort den privata nyckelfilen från datorn.

5. Välj Gå till resurs när den virtuella datorn har distribuerats.

Kommentar

Det här avsnittet är valfritt om du vet hur du ansluter en virtuell dator till en Log Analytics-arbetsyta och Azure Monitor Agent.

Konfigurera en datainsamlingsregel för övervakning av den virtuella datorn.

1. I azure-sökfältet anger du regler för datainsamling och väljer Regler för datainsamling.
2. Välj Skapa:
   • Regelnamn: Ange ett namn som demo-data-collection-rule.
   • Prenumeration: Välj din prenumeration.
   • Resursgrupp: Välj demo-arg-alert-rg.
   • Region: USA, västra 3.
   • Plattformstyp: Välj Alla.
3. Välj Nästa: Resurser:
   • Välj Lägg till resurser.
   • Prenumeration: Välj din prenumeration.
   • Omfång: Välj resursgruppen och den virtuella datorns namn.
   • Välj Använd.
4. Välj Nästa: Samla in och leverera:
   • Välj Lägg till datakälla.
   • Typ av datakälla: Välj Prestandaräknare.
   • Välj Nästa: Mål och Lägg till mål:
   • Måltyp: Azure Monitor-loggar.
   • Prenumeration: Välj din prenumeration.
   • Konto eller namnområde: Välj din Log Analytics-arbetsyta, demo-arg-alert-workspace.
   • Välj Lägg till datakälla.
   • Välj Granska + skapa och sedan Skapa.
   • Välj Gå till resurs när distributionen är klar.

Kontrollera att övervakningen har konfigurerats för den virtuella datorn:

1. Gå till datainsamlingsregeln och granska konfigurationen:
   • Datakällor: Visar prestandaräknare för datakälla och Azure Monitor-målloggar.
   • Resurser: Visar den virtuella datorn, resursgruppen och prenumerationen.
2. Gå till log analytics-arbetsytan demo-arg-alert-workspace. Välj Inställningar>Agenter>Linux-servrar och din Linux-dator är ansluten till Azure Monitor Linux-agenten. Det kan ta några minuter innan agenten visas.
3. Gå till den virtuella datorn och välj Inställningar>Tillägg + program och kontrollera att etableringen AzureMonitorLinuxAgentlyckades.

Skapa fråga

Azure Resource Graph

Från Log Analytics-arbetsytan skapar du en Azure Resource Graph-fråga för att få ett antal Azure-resurser. I det här exemplet används tabellen Azure Resource Graph Resources .

1. Välj Loggar till vänster på sidan Log Analytics-arbetsyta . Stäng fönstret Frågor om det visas.

2. Använd följande kod i den nya frågan:

   arg("").Resources
   | count
   

   Tabellnamn i Log Analytics måste vara kamelfall med den första bokstaven i varje ord med versaler, t.ex Resources . eller ResourceContainers. Du kan också använda gemener som resources eller resourcecontainers.

   

3. Markera Kör.

   Resultatet visar antalet resurser i din Azure-prenumeration. Anteckna det numret eftersom du behöver det för aviseringsregelns villkor. När du kör frågan manuellt baseras antalet på användaridentitet och en utlöst avisering använder en hanterad identitet. Det är möjligt att antalet kan variera mellan en manuell körning eller utlöst avisering.

4. Ta bort antalet från din fråga.

   arg("").Resources
   

Azure Resource Graph och Log Analytics

Från Log Analytics-arbetsytan skapar du en Azure Resource Graph-fråga för att hämta den senaste pulsslagsinformationen från den virtuella datorn. I det här exemplet används Tabellen Azure Resource Graph Resources och Log Analytics-data från tabellen från Azure Monitor Logs Heartbeat .

1. Gå till log analytics-arbetsytan demo-arg-alert-workspace .

2. Välj Loggar till vänster på sidan Log Analytics-arbetsyta . Stäng fönstret Frågor om det visas.

3. Använd följande kod i den nya frågan:

   arg("").Resources
   | where type == 'microsoft.compute/virtualmachines'
   | project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
   | join (Heartbeat
     | where TimeGenerated > ago(15m)
     | summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
     on ResourceId
   | project lastHeartBeat, PowerState, name, ResourceId
   

   Tabellnamn i Log Analytics måste vara kamelfall med den första bokstaven i varje ord med versaler, t.ex Resources . eller ResourceContainers. Du kan också använda gemener som resources eller resourcecontainers.

   Du kan använda andra tidsramar för TimeGenerated. Till exempel i stället för minuter som 15m användningstimmar som 12h, 24h, 48h.

   

4. Markera Kör.

   Frågan ska returnera den virtuella datorns senaste pulsslag, energitillstånd, namn och resurs-ID. Om inga resultat visas fortsätter du till nästa steg. Nya konfigurationer kan ta 30 minuter innan övervakningsdata blir tillgängliga för frågan och aviseringarna.

Skapa aviseringsregel

Azure Resource Graph

På Log Analytics-arbetsytan väljer du Ny aviseringsregel. Frågan från Log Analytics-arbetsytan kopieras till aviseringsregeln. Skapa en aviseringsregel har flera flikar som måste uppdateras för att skapa aviseringen.

Omfattning

Kontrollera att omfånget som standard är din Log Analytics-arbetsyta med namnet demo-arg-alert-workspace.

Utför endast följande steg om ditt omfång inte är inställt på standardvärdet:

1. Gå till fliken Omfång och välj Välj omfång.
2. Ta bort det aktuella omfånget längst ned på skärmen Valda resurser .
3. Välj alternativet Välj omfång.
4. Expandera demo-arg-alert-rg från listan över resurser och välj demo-arg-alert-workspace.
5. Välj Använd.
6. Välj Nästa: Villkor.

Villkor

Formuläret har flera fält att fylla i:

• Signalnamn: Anpassad loggsökning
• Sökfråga: Visar frågekoden
  • Om du har ändrat omfånget måste du lägga till frågan från avsnittet Skapa fråga .

Mått

• Mått: Tabellrader
• Sammansättningstyp: Antal
• Sammansättningskornighet: 5 minuter

Aviseringslogik

• Operator: Större än
• Tröskelvärde: Använd ett tal som är mindre än det tal som returneras från antalet resurser.
  • Om ditt resursantal till exempel var 50 använder du 45. Det här värdet utlöser aviseringen att utlösas när den utvärderar dina resurser eftersom antalet resurser är större än tröskelvärdet.
• Utvärderingsfrekvens: 5 minuter

Välj Nästa: Åtgärder.

Åtgärder

Välj Skapa åtgärdsgrupp:

• Prenumeration: Välj din Azure-prenumeration.
• Resursgrupp: demo-arg-alert-rg
• Region: Global gör att åtgärdsgruppertjänsten kan välja plats.
• Namn på åtgärdsgrupp: demo-arg-alert-action-group
• Visningsnamn: demo-action (gränsen är 12 tecken)

Välj Nästa: Meddelanden:

• Meddelandetyp: Välj E-post/SMS-meddelande/Push/Röst.
• Namn: e-postavisering
• Markera kryssrutan E-post och skriv din e-postadress.
• Välj OK.

Välj Granska + skapa, kontrollera att sammanfattningen är korrekt och välj Skapa. Du återgår till fliken Åtgärder på sidan Skapa en aviseringsregel . Namnet på åtgärdsgruppen visar den åtgärdsgrupp som du skapade. Du får ett e-postmeddelande för att bekräfta att du har lagts till i åtgärdsgruppen.

Välj Nästa: Information.

Details

Använd följande information på fliken Information :

• Prenumeration: Välj din Azure-prenumeration.
• Resursgrupp: demo-arg-alert-rg
• Allvarlighetsgrad: Acceptera standardvärdet 3 – Information.
• Namn på aviseringsregel: demo-arg-alert-rule
• Beskrivning av aviseringsregel: E-postavisering för antal Azure-resurser
• Region: USA, västra 3
• Identitet: Välj Systemtilldelad hanterad identitet.

Välj Granska + skapa, kontrollera att sammanfattningen är korrekt och välj Skapa. Du returneras till sidan Loggar på din Log Analytics-arbetsyta.

Tilldela rollen

Tilldela Log Analytics-läsaren till den systemtilldelade hanterade identiteten så att den har behörigheter för aviseringar som skickar e-postmeddelanden.

1. Välj Övervakningsaviseringar> på Log Analytics-arbetsytan. Välj OK om du uppmanas att Dina ändringar som inte har sparats tas bort.
2. Välj Aviseringsregler.
3. Välj demo-arg-alert-rule.
4. Välj Inställningar>Identitetssystem>tilldelat:
   • Status: På
   • Objekt-ID: Visar GUID för ditt företagsprogram (tjänstens huvudnamn) i Microsoft Entra-ID.
   • Behörighet: Välj Azure-rolltilldelningar:
     • Kontrollera att din prenumeration är markerad.
     • Välj Lägg till rolltilldelning:
     • Omfång: Prenumeration
     • Prenumeration: Välj ditt Azure-prenumerationsnamn.
     • Roll: Log Analytics-läsare
5. Välj Spara.

Det tar några minuter för Log Analytics-läsaren att visas på sidan Azure-rolltilldelningar . Välj Uppdatera för att uppdatera sidan.

Använd bakåtknappen i webbläsaren för att återgå till identiteten och välj sedan Översikt för att återgå till aviseringsregeln. Välj länken till resursgruppen med namnet demo-arg-alert-rg.

Även om det inte finns något omfång för den här artikeln lägger du till rollen Läsare i den systemtilldelade hanterade identiteten för ett Azure Data Explorer-kluster. Om du vill ha mer information väljer du länken Rolltilldelningar för Azure Data Explorer-kluster i slutet av den här artikeln.

Azure Resource Graph och Log Analytics

På Log Analytics-arbetsytan väljer du Ny aviseringsregel. Frågan från Log Analytics-arbetsytan kopieras till aviseringsregeln. Regeln Skapa en avisering har flera flikar som måste uppdateras.

Omfattning

Kontrollera att omfånget som standard är din Log Analytics-arbetsyta med namnet demo-arg-alert-workspace.

Utför endast följande steg om ditt omfång inte är inställt på standardvärdet:

1. Gå till fliken Omfång och välj Välj omfång.
2. Ta bort det aktuella omfånget längst ned på skärmen Valda resurser .
3. Expandera demo-arg-alert-rg från listan över resurser och välj demo-arg-alert-workspace.
4. Välj Använd.
5. Välj Nästa: Villkor.

Villkor

Formuläret har flera fält att fylla i:

• Signalnamn: Anpassad loggsökning
• Sökfråga: Visar frågekoden
  • Om du har ändrat omfånget måste du lägga till frågan från avsnittet Skapa fråga .

Mått

• Mått: Tabellrader
• Sammansättningstyp: Antal
• Sammansättningskornighet: 5 minuter

Aviseringslogik

• Operator: Mindre än
• Tröskelvärde: 2
• Utvärderingsfrekvens: 5 minuter

Välj Nästa: Åtgärder.

Åtgärder

Välj Skapa åtgärdsgrupp:

• Prenumeration: Välj din Azure-prenumeration.
• Resursgrupp: demo-arg-alert-rg
• Region: Global gör att åtgärdsgruppertjänsten kan välja plats.
• Namn på åtgärdsgrupp: demo-arg-la-alert-action-group
• Visningsnamn: demo-argla (gränsen är 12 tecken)

Välj Nästa: Meddelanden:

• Aviseringstyp: Välj E-post/SMS-meddelande/Push/Röst
• Namn: email-alert-arg-la
• Markera kryssrutan E-post och skriv din e-postadress
• Välj Ok

Välj Granska + skapa, kontrollera att sammanfattningen är korrekt och välj Skapa. Du återgår till fliken Åtgärder på sidan Skapa en aviseringsregel . Namnet på åtgärdsgruppen visar den åtgärdsgrupp som du skapade. Du får ett e-postmeddelande för att bekräfta att du har lagts till i åtgärdsgruppen.

Välj Nästa: Information.

Details

Använd följande information på fliken Information :

• Prenumeration: Välj din Azure-prenumeration.
• Resursgrupp: demo-arg-alert-rg
• Allvarlighetsgrad: Välj 2 – Varning.
• Namn på aviseringsregel: demo-arg-la-alert-rule
• Beskrivning av aviseringsregel: E-postavisering för ARG-LA-fråga för den virtuella Azure-datorn
• Region: USA, västra 3
• Identitet: Välj Systemtilldelad hanterad identitet

Välj Granska + skapa, kontrollera att sammanfattningen är korrekt och välj Skapa. Du returneras till sidan Loggar på din Log Analytics-arbetsyta.

Tilldela rollen

Tilldela Log Analytics-läsaren till den systemtilldelade hanterade identiteten så att den har behörigheter för aviseringar som skickar e-postmeddelanden.

1. Välj Övervakningsaviseringar> på Log Analytics-arbetsytan. Välj OK om du uppmanas att Dina ändringar som inte har sparats tas bort.
2. Välj Aviseringsregler.
3. Välj demo-arg-la-alert-rule.
4. Välj Inställningar>Identitetssystem>tilldelat:
   • Status: På
   • Objekt-ID: Visar GUID för ditt företagsprogram (tjänstens huvudnamn) i Microsoft Entra-ID.
   • Behörighet: Välj Azure-rolltilldelningar
     • Kontrollera att din prenumeration har valts
     • Välj Lägg till rolltilldelning:
     • Omfång: Prenumeration
     • Prenumeration: Välj ditt Azure-prenumerationsnamn
     • Roll: Log Analytics-läsare
5. Välj Spara.

Det tar några minuter för Log Analytics-läsaren att visas på sidan Azure-rolltilldelningar . Välj Uppdatera för att uppdatera sidan.

Använd webbläsarens bakåtknapp för att återgå till identiteten och välj Översikt för att återgå till aviseringsregeln. Välj länken till resursgruppen med namnet demo-arg-alert-rg.

Även om det inte finns något omfång för den här artikeln lägger du till rollen Läsare i den systemtilldelade hanterade identiteten för ett Azure Data Explorer-kluster. Om du vill ha mer information väljer du länken Rolltilldelningar för Azure Data Explorer-kluster i slutet av den här artikeln.

Verifiera aviseringar

Azure Resource Graph

När rollen har tilldelats till din aviseringsregel börjar du få e-post för aviseringsmeddelanden. Regeln skapades för att skicka aviseringar var femte minut och det tar några minuter att få den första aviseringen.

Du kan också visa aviseringarna i Azure-portalen:

1. Gå till resursgruppen demo-arg-alert-rg.

2. Välj demo-arg-alert-workspace i listan över resurser.

3. Välj Övervakningsaviseringar>.

4. En lista över aviseringar visas.

   

Azure Resource Graph och Log Analytics

När rollen har tilldelats till din aviseringsregel börjar du få e-post för aviseringsmeddelanden. Regeln skapades för att skicka aviseringar var femte minut och det tar några minuter att få den första aviseringen.

Du kan också visa aviseringarna i Azure-portalen:

1. Gå till resursgruppen demo-arg-alert-rg.

2. Välj den virtuella datorn.

3. Välj Övervakningsaviseringar>.

4. En lista över aviseringar visas.

   

För en ny konfiguration kan det ta 30 minuter innan logginformation blir tillgänglig och skapar aviseringar. Under den tiden kanske du märker att den virtuella datorns aviseringsregel visar aviseringar i arbetsytans övervakningsaviseringar. När logginformationen för den virtuella datorn blir tillgänglig visas aviseringarna i den virtuella datorns övervakningsaviseringar.

Rensa resurser

Om du vill behålla aviseringskonfigurationen men hindra aviseringen från att starta och skicka e-postaviseringar kan du inaktivera den. Gå till aviseringsregeln demo-arg-alert-rule eller demo-arg-la-alert-rule och välj Inaktivera.

Om du inte behöver den här aviseringen eller resurserna du skapade i det här exemplet tar du bort resursgruppen med följande steg:

1. Gå till resursgruppen demo-arg-alert-rg.
2. Välj Ta bort resursgrupp.
3. Ange resursgruppens namn för att bekräfta.
4. Välj Ta bort.

Om du har skapat en virtuell dator tar du bort den privata nyckel som du laddade ned till datorn under distributionen. Filnamnet har ett .pem tillägg.

Relaterat innehåll

Mer information om frågespråket eller hur du utforskar resurser finns i följande artiklar.

• Felsöka Azure Resource Graph-aviseringar
• Förstå frågespråket för Azure Resource Graph
• Utforska dina Azure-resurser med resursgrafer
• Översikt över Log Analytics i Azure Monitor
• Samla in händelser och prestandaräknare från virtuella datorer med Azure Monitor Agent
• Rolltilldelningar för Azure Data Explorer-kluster