Händelser
17 mars 23 - 21 mars 23
Gå med i mötesserien för att skapa skalbara AI-lösningar baserat på verkliga användningsfall med andra utvecklare och experter.
Registrera dig nuDen här webbläsaren stöds inte längre.
Uppgradera till Microsoft Edge och dra nytta av de senaste funktionerna och säkerhetsuppdateringarna, samt teknisk support.
Den här artikeln visar hur du skapar en ny varningsregel för loggsökning eller redigerar en befintlig varningsregel för loggsökning i Azure Monitor. Mer information om aviseringar finns i översikten över aviseringar.
Aviseringsregler kombinerar de resurser som ska övervakas, övervakningsdata från resursen och de villkor som du vill utlösa aviseringen. Du kan sedan definiera åtgärdsgrupper och regler för aviseringsbearbetning för att avgöra vad som händer när en avisering utlöses.
Aviseringar som utlöses av dessa aviseringsregler innehåller en nyttolast som använder det gemensamma aviseringsschemat.
Om du vill skapa eller redigera en aviseringsregel måste du ha följande behörigheter:
Det finns flera sätt att skapa eller redigera en aviseringsregel.
I Azure Portal, antingen från startsidan eller från en specifik resurs, väljer du Aviseringar i det vänstra fönstret.
Välj Aviseringsregler.
Välj den aviseringsregel som du vill redigera och välj sedan Redigera.
Välj någon av flikarna för aviseringsregeln för att redigera inställningarna.
I fönstret Välj en resurs anger du omfånget för aviseringsregeln. Du kan filtrera efter prenumeration, resurstyp eller resursplats.
Välj Använd.
På fliken Villkor väljer du Anpassad loggsökning när du väljer fältet Signalnamn. Eller välj Visa alla signaler om du vill välja en annan signal för villkoret.
(Valfritt) Om du har valt Visa alla signaler i föregående steg använder du fönstret Välj en signal för att söka efter signalnamnet eller filtrera listan med signaler. Filtrera efter:
I fönstret Loggar skriver du en fråga som returnerar logghändelserna som du vill skapa en avisering för. Om du vill använda en av de fördefinierade aviseringsregelfrågorna expanderar du fönstret Schema och filter bredvid fönstret Loggar . Välj sedan fliken Frågor och välj en av frågorna.
Tänk på dessa begränsningar för aviseringsregelfrågor för loggsökning:
bag_unpack()
inte , pivot()
och narrow()
.AggregatedValue
är ett reserverat ord. Du kan inte använda den i frågan i aviseringsregler för loggsökning.
(Valfritt) Om du kör frågor mot ett Azure Data Explorer- eller Azure Resource Graph-kluster kan Log Analytics-arbetsytan inte automatiskt identifiera kolumnen med händelsetidsstämpeln. Vi rekommenderar att du lägger till ett tidsintervallfilter i frågan. Till exempel:
adx('https://help.kusto.windows.net/Samples').table
| where MyTS >= ago(5m) and MyTS <= now()
arg("").Resources
| where type =~ 'Microsoft.Compute/virtualMachines'
| project _ResourceId=tolower(id), tags
Exempel på aviseringsfrågor för loggsökning är tillgängliga för Azure Data Explorer och Resource Graph.
Frågor mellan tjänster stöds inte i myndighetsmoln. Mer information om begränsningar finns i Begränsningar för frågor mellan tjänster och Kombinera Azure Resource Graph-tabeller med en Log Analytics-arbetsyta.
Välj Kör för att köra aviseringen.
I avsnittet Förhandsversion visas frågeresultatet. När du är klar med redigeringen av frågan väljer du Fortsätt redigera avisering.
Fliken Villkor öppnas och fylls i med loggfrågan. Regeln räknar som standard antalet resultat under de senaste fem minuterna. Om systemet identifierar sammanfattade frågeresultat uppdateras regeln automatiskt med den informationen.
I avsnittet Mått väljer du värden för följande fält:
Fält | beskrivning |
---|---|
Mått | Loggsökningsaviseringar kan mäta två saker som du kan använda för olika övervakningsscenarier: Tabellrader: Du kan använda antalet returnerade rader för att arbeta med händelser som Windows-händelseloggar, Syslog och programfel. Beräkning av en numerisk kolumn: Du kan använda beräkningar baserat på valfri numerisk kolumn för att inkludera valfritt antal resurser. Ett exempel är CPU-procent. |
Sammansättningstyp | Beräkningen som utförs på flera poster för att aggregera dem till ett numeriskt värde med hjälp av sammansättningskornigheten. Exempel är Total, Average, Minimum och Maximum. |
Sammansättningskornighet | Intervallet för att aggregera flera poster till ett numeriskt värde. |
(Valfritt) I avsnittet Dela efter dimensioner kan du använda dimensioner för att ge kontext för den utlösta aviseringen.
Dimensioner är kolumner från dina frågeresultat som innehåller ytterligare data. När du använder dimensioner grupperar aviseringsregeln frågeresultaten utifrån dimensionsvärdena och utvärderar resultatet för varje grupp separat. Om villkoret uppfylls utlöser regeln en avisering för gruppen. Aviseringsnyttolasten innehåller den kombination som utlöste aviseringen.
Du kan tillämpa upp till sex dimensioner per aviseringsregel. Dimensioner kan endast vara strängkolumner eller numeriska kolumner. Om du vill använda en kolumn som inte av numerisk typ eller strängtyp som en dimension måste du konvertera den till en sträng eller ett numeriskt värde i frågan. Om du väljer fler än ett dimensionsvärde utlöser varje tidsserie som är ett resultat av kombinationen en egen avisering och debiteras separat.
Till exempel:
Om aviseringsregelomfånget i allmänhet är en arbetsyta utlöses aviseringarna på arbetsytan. Om du vill ha en separat avisering för varje berörd Azure-resurs kan du:
Använd kolumnen Azure Resource Manager Azure Resource ID som en dimension. När du använder det här alternativet utlöses aviseringen på arbetsytan med kolumnen Azure Resource ID som dimension.
Ange aviseringen som en dimension i azure-resurs-ID-egenskapen. Det här alternativet gör resursen som frågan returnerar målet för aviseringen. Aviseringar utlöses sedan på resursen som din fråga returnerar, till exempel en virtuell dator eller ett lagringskonto, i motsats till arbetsytan.
Om arbetsytan hämtar data från resurser i mer än en prenumeration när du använder det här alternativet kan aviseringar utlösas för resurser från en prenumeration som skiljer sig från prenumerationen för aviseringsregeln.
Välj värden för följande fält:
Fält | beskrivning |
---|---|
Dimensionsnamn | Dimensioner kan vara antingen tal- eller strängkolumner. Dimensioner används för att övervaka specifika tidsserier och ge kontext till en utlöst avisering. |
Operator | Operatorn som används för dimensionsnamnet och värdet. |
Dimensionsvärden | Dimensionsvärdena baseras på data från de senaste 48 timmarna. Välj Lägg till anpassat värde för att lägga till anpassade dimensionsvärden. |
Inkludera alla framtida värden | Välj det här fältet om du vill inkludera eventuella framtida värden som läggs till i den valda dimensionen. |
I avsnittet Aviseringslogik väljer du värden för följande fält:
Fält | beskrivning |
---|---|
Operator | Frågeresultatet omvandlas till ett tal. I det här fältet väljer du den operator som ska användas för att jämföra talet med tröskelvärdet. |
Tröskelvärdet | Ett talvärde för tröskelvärdet. |
Utvärderingsfrekvens | Hur ofta frågan körs. Du kan ange den var som helst från en minut till en dag (24 timmar). |
Anteckning
Frekvensen är inte en specifik tid som aviseringen körs varje dag. Det är hur ofta aviseringsregeln körs.
Det finns vissa begränsningar för att använda en aviseringsregelfrekvens på en minut. När du anger aviseringsregelns frekvens till en minut utförs en intern manipulering för att optimera frågan. Den här manipulationen kan leda till att frågan misslyckas om den innehåller åtgärder som inte stöds. De vanligaste orsakerna till att en fråga inte stöds är:
search
åtgärden , union
, eller take
(gräns).ingestion_time()
funktionen.adx
mönstret.Exempel på aviseringsfrågor för loggsökning är tillgängliga för Azure Data Explorer och Resource Graph.
(Valfritt) I avsnittet Avancerade alternativ kan du ange antalet fel och den aviseringsutvärderingsperiod som krävs för att utlösa en avisering. Om du till exempel anger sammansättningskornighet till 5 minuter kan du ange att du bara vill utlösa en avisering om tre fel (15 minuter) inträffade under den senaste timmen. Programmets affärsprincip avgör den här inställningen.
Välj värden för de här fälten under Antal överträdelser för att utlösa aviseringen:
Fält | beskrivning |
---|---|
Antal överträdelser | Antalet överträdelser som utlöser aviseringen. Observera att för att kunna använda detta bör frågan innehålla kolumnen "datetime" i frågeresultatet |
Utvärderingsperiod | Den tidsperiod inom vilken antalet överträdelser inträffar. |
Åsidosätt frågetidsintervall | Om du vill att aviseringsutvärderingsperioden ska skilja sig från frågetidsintervallet anger du ett tidsintervall här. Tidsintervallet för aviseringar är begränsat till högst två dagars data. Även om frågan innehåller ett ago kommando med ett tidsintervall på längre än två dagar tillämpas det maximala tidsintervallet på två dagar. Även om frågetexten till exempel innehåller ago(7d) söker frågan bara igenom upp till två dagars data. Om frågan kräver mer data än aviseringsutvärderingen kan du ändra tidsintervallet manuellt. Om frågan innehåller ett ago kommando ändras den automatiskt till två dagar (48 timmar). |
Anteckning
Om du eller administratören har tilldelat Azure-principen Azure Log Search-aviseringar via Log Analytics-arbetsytor ska använda kundhanterade nycklar måste du välja Kontrollera länkad lagring på arbetsytan. Om du inte gör det misslyckas regelskapandet eftersom det inte uppfyller principkraven.
I diagrammet Förhandsversion visas resultatet av frågeutvärderingar över tid. Du kan ändra diagramperioden eller välja olika tidsserier som beror på en unik aviseringsdelning efter dimensioner.
Välj Klar. När du har konfigurerat aviseringsregelvillkoren kan du konfigurera aviseringsregelinformationen för att slutföra skapandet av aviseringen, eller så kan du också lägga till åtgärder och taggar i aviseringsregeln.
På fliken Åtgärder kan du välja eller skapa åtgärdsgrupper för din aviseringsregel.
På fliken Information går du till Projektinformation och väljer värdena för prenumerations - och resursgrupp .
Under Information om aviseringsregler:
Välj värdet Allvarlighetsgrad.
Ange värden för Aviseringsregelnamn och Beskrivning av aviseringsregel.
Anteckning
En regel som använder en identitet kan inte ha semikolonet (;) tecken i värdet för aviseringsregelns namn .
Välj värdet Region .
I avsnittet Identitet väljer du vilken identitet aviseringsregeln för loggsökning använder för autentisering när loggfrågan skickas.
Tänk på följande när du väljer en identitet:
Identiteten som är associerad med regeln måste ha följande roller:
adx()
en läsarroll i azure Data Explorer-klustret.Detaljerad information om hanterade identiteter finns i Hanterade identiteter för Azure-resurser.
Välj något av följande alternativ för den identitet som aviseringsregeln använder:
Identitetsalternativ | Description |
---|---|
None | Behörigheter för aviseringsregeln baseras på behörigheterna för den senaste användaren som redigerade regeln när regeln redigerades. |
Aktivera systemtilldelad hanterad identitet | Azure skapar en ny dedikerad identitet för den här aviseringsregeln. Den här identiteten har inga behörigheter och tas bort automatiskt när regeln tas bort. När du har skapat regeln måste du tilldela behörigheter till den här identiteten för att få åtkomst till den nödvändiga arbetsytan och datakällorna för frågan. Mer information om hur du tilldelar behörigheter finns i Tilldela Azure-roller med hjälp av Azure Portal. Aviseringsregler för loggsökning som använder länkad lagring stöds inte. |
Aktivera användartilldelad hanterad identitet | Innan du skapar aviseringsregeln skapar du en identitet och tilldelar den lämpliga behörigheter för loggfrågan. Det här är en vanlig Azure-identitet. Du kan använda en identitet i flera aviseringsregler. Identiteten tas inte bort när regeln tas bort. När du väljer den här typen av identitet öppnas ett fönster där du kan välja den associerade identiteten för regeln. |
(Valfritt) I avsnittet Avancerade alternativ kan du ange flera alternativ:
Fält | beskrivning |
---|---|
Aktivera när du skapar | Välj det här alternativet om du vill att aviseringsregeln ska börja köras så fort du har skapat den. |
Åtgärda aviseringar automatiskt | Välj det här alternativet för att göra aviseringen tillståndskänslig. När en avisering är tillståndskänslig löses aviseringen när villkoret inte längre uppfylls under ett visst tidsintervall. Tidsintervallet varierar beroende på aviseringens frekvens: 1 minut: Aviseringsvillkoret uppfylls inte på 10 minuter. 5 till 15 minuter: Aviseringsvillkoret uppfylls inte under tre frekvensperioder. 15 minuter till 11 timmar: Aviseringsvillkoret uppfylls inte under två frekvensperioder. 11 till 12 timmar: Aviseringsvillkoret uppfylls inte under en frekvensperiod. Observera att tillståndskänsliga loggsökningsaviseringar har dessa begränsningar. |
Stäng av åtgärder | Välj det här alternativet om du vill ange en väntetid innan aviseringsåtgärder utlöses igen. I fältet Stäng av åtgärder för fält som visas väljer du hur lång tid det ska ta att vänta efter att en avisering har utlösts innan åtgärder utlöses igen. |
Kontrollera länkad lagring på arbetsytan | Välj det här alternativet om den länkade lagringen för arbetsytan för aviseringar har konfigurerats. Om ingen länkad lagring har konfigurerats skapas inte regeln. |
(Valfritt) Om den här aviseringsregeln innehåller åtgärdsgrupper i avsnittet Anpassade egenskaper kan du lägga till dina egna egenskaper som ska inkluderas i nyttolasten för aviseringsmeddelanden. Du kan använda dessa egenskaper i de åtgärder som åtgärdsgruppen anropar, till exempel av en webhook, Azure-funktion eller logikappåtgärd.
De anpassade egenskaperna anges som nyckel/värde-par med statisk text, ett dynamiskt värde som extraheras från aviseringsnyttolasten eller en kombination av båda.
Formatet för att extrahera ett dynamiskt värde från aviseringsnyttolasten är: ${<path to schema field>}
. Exempel: ${data.essentials.monitorCondition}
.
Använd formatet för det gemensamma aviseringsschemat för att ange fältet i nyttolasten, oavsett om de åtgärdsgrupper som konfigurerats för aviseringsregeln använder det gemensamma schemat eller inte.
Anteckning
I följande exempel används värden i Anpassade egenskaper för att använda data från en nyttolast som använder det gemensamma aviseringsschemat.
I det här exemplet skapas en tagg med ytterligare information med data om starttid och sluttid för fönstret:
Additional Details
Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z
Det här exemplet lägger till data om orsaken till att aviseringen löss eller utlöss:
Alert ${data.essentials.monitorCondition} reason
${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585
På fliken Taggar kan du ange eventuella obligatoriska taggar på resursen för aviseringsregeln.
På fliken Granska + skapa verifieras regeln. Om det finns ett problem kan du gå tillbaka och åtgärda det.
När valideringen har godkänts och du har granskat inställningarna väljer du knappen Skapa.
Händelser
17 mars 23 - 21 mars 23
Gå med i mötesserien för att skapa skalbara AI-lösningar baserat på verkliga användningsfall med andra utvecklare och experter.
Registrera dig nuUtbildning
Modul
Skapa och konfigurera en Log Analytics-arbetsyta - Training
I den här modulen får du lära dig hur du skapar och konfigurerar åtkomst till en Log Analytics-arbetsyta. Du får också lära dig hur du konfigurerar datakvarhållning och aktiverar hälsostatusaviseringar för en Log Analytics-arbetsyta.
Certifiering
Microsoft Certified: Säkerhetsoperationsanalytiker Associate - Certifications
Undersöka, söka efter och minimera hot med hjälp av Microsoft Sentinel, Microsoft Defender för molnet och Microsoft 365 Defender.