Dela via

Hantera aviseringsregler som skapats i tidigare versioner

I den här artikeln beskrivs processen för att hantera aviseringsregler som skapats i det tidigare användargränssnittet eller med hjälp av API-versionen 2018-04-16 eller tidigare. Aviseringsregler som skapats i det senaste användargränssnittet visas och hanteras i det nya användargränssnittet enligt beskrivningen i Skapa, visa och hantera loggsökningsaviseringar med hjälp av Azure Monitor.

Ändringar i funktionen för att skapa aviseringsregeln för loggsökning

Den aktuella guiden för aviseringsregler skiljer sig från den tidigare upplevelsen:

  • Tidigare inkluderades sökresultat i nyttolasten för den utlösta aviseringen och dess associerade meddelanden. E-postmeddelandet innehöll endast 10 rader från de ofiltrerade resultaten medan webhook-nyttolasten innehöll 1 000 ofiltrerade resultat. För att få detaljerad kontextinformation om aviseringen så att du kan besluta om lämplig åtgärd:

    • Vi rekommenderar att du använder dimensioner. Dimensioner ger kolumnvärdet som utlöste aviseringen, vilket ger dig kontext för varför aviseringen utlöstes och hur du åtgärdar problemet.
    • När du behöver undersöka i loggarna använder du länken i aviseringen till sökresultaten i loggarna.
    • Om du behöver råa sökresultat eller andra avancerade anpassningar använder du Azure Logic Apps.

  • Den nya aviseringsregelguiden stöder inte anpassning av JSON-nyttolasten.

    • Använd anpassade egenskaper i det nya API: et för att lägga till statiska parametrar och associerade värden i de webhook-åtgärder som utlöses av aviseringen.
    • Mer avancerade anpassningar finns i Azure Logic Apps.

  • Den nya aviseringsregelguiden stöder inte anpassning av e-postämnet.

    • Våra kunder använder ofta ett anpassat e-postämne till att ange resursen som aviseringen utlöstes för, i stället för att använda Log Analytics-arbetsytan. Använd det nya API: et för att utlösa en avisering om den önskade resursen med hjälp av kolumnen resurs-ID.
    • Mer avancerade anpassningar finns i Azure Logic Apps.

Hantera aviseringsregler som skapats i tidigare versioner i Azure Portal

  1. I Azure Portal väljer du den resurs du vill använda.

  2. Under Övervakning väljer du Aviseringar.

  3. I det översta åtgärdsfältet väljer du Aviseringsregler.

  4. Välj den aviseringsregel som du vill redigera.

  5. I det översta åtgärdsfältet väljer du Redigera.

  6. Konfigurera signallogik:

    1. I avsnittet Villkor väljer du villkoret.

    2. Fönstret Konfigurera signallogik öppnas med historiska data för frågan som visas som ett diagram. Du kan ändra tidsintervallet för diagrammet så att data visas från de senaste sex timmarna till den senaste veckan.

      Om frågeresultatet innehåller sammanfattade data eller specifika kolumner utan tidskolumnen visar diagrammet ett enda värde.

      Skärmbild som visar fönstret Konfigurera signallogik.

    3. Redigera villkoren för aviseringsregeln med hjälp av följande avsnitt:

      • Sökfråga: I det här avsnittet kan du ändra frågan.

      • Aviseringslogik: Loggsökningsaviseringar kan baseras på två typer av mått:

        • Antal resultat: Antal poster som returnerats av sökfrågan.

        • Metermätning: Aggregerat värde beräknas genom att använda summarize, som grupperas efter de valda uttrycken och valet av bin(). Till exempel:

          // Reported errors
union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records
| where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records
or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records
| summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)

        För aviseringslogik för måttmätningar kan du ange hur aviseringarna ska delas upp efter dimensioner med hjälp av alternativet Aggregera på . Radgrupperingsuttrycket måste vara unikt och sorterat.

        Funktionen bin() kan resultera i ojämna tidsintervall, så aviseringstjänsten konverterar automatiskt funktionen bin() till en binat() -funktion med lämplig tid vid körning för att säkerställa resultat med en fast punkt.

        Kommentar

        Alternativet Dela efter aviseringsdimensioner är endast tillgängligt för det aktuella scheduledQueryRules-API:et. Om du använder det äldre Log Analytics-aviserings-API:et måste du växla. Läs mer om att växla. Resurscentrerad aviseringar i stor skala stöds endast i API-versionen 2021-08-01 och senare.

        Skärmbild som visar att aggregering är på.

      • Välj det tidsintervall som det angivna villkoret ska utvärderas med alternativet Period .

    4. När du är klar med redigeringen av villkoren väljer du Klar.

    5. Använd förhandsgranskningsdata för att ange Operator, Tröskelvärde och Frekvens.

    6. När du använder metrisk mätning anger du utlösaravisering baserat på genom att använda totalt eller konsekutiva överträdelser för att fastställa antalet villkorsöverträdelser som utlöser aviseringen.

    7. Välj Klar.

  7. (Valfritt) Anpassa åtgärder:

    • Anpassat e-postämne: Åsidosätter e-postämnet för e-poståtgärder. Du kan inte ändra brödtexten i e-postmeddelandet och det här fältet är inte för e-postadresser.

    • Inkludera anpassad Json-nyttolast för webhook: Åsidosätter den webhook JSON som används av åtgärdsgrupper, förutsatt att åtgärdsgruppen innehåller en webhook-åtgärd. Läs mer om webhook-åtgärder för loggsökningsaviseringar.

  8. Ange information om aviseringsregler:

    1. Du kan redigera regeln Beskrivning och allvarlighetsgrad. Den här informationen används i alla aviseringsåtgärder. Du kan också välja att inte aktivera aviseringsregeln när du skapar den genom att välja Aktivera regel när den skapas.

    2. Använd alternativet Stäng av åtgärder om du vill ignorera regelåtgärder under en angiven tid efter att en avisering har utlösts. Regeln körs fortfarande och skapar aviseringar, men åtgärder utlöses inte för att förhindra brus. Ställ in värdet för Mute-åtgärderna så att det är större än frekvensen för aviseringen för att vara effektivt.

      Skärmbild som visar alternativet Ignorera aviseringar.

    3. Om du vill göra aviseringarna tillståndskänsliga väljer du Lös aviseringar automatiskt.

    4. Ange om aviseringsregeln ska utlösa en eller flera åtgärdsgrupper när aviseringsvillkoret uppfylls. Begränsningar för de åtgärder som kan utföras finns i Tjänstbegränsningar för Azure Monitor.

  9. När du har redigerat alla alternativ för aviseringsregeln väljer du Spara.

Hantera loggsökningsaviseringar med Hjälp av PowerShell

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i Migrera Azure PowerShell från AzureRM till Az.

Använd följande PowerShell-cmdletar för att hantera regler med API:et schemalagda frågeregler:

PowerShell-cmdlet Beskrivning
New-AzScheduledQueryRule PowerShell-cmdlet för att skapa en ny varningsregel för loggsökning.
Set-AzScheduledQueryRule PowerShell-cmdlet för att uppdatera en befintlig aviseringsregel för loggsökning.
New-AzScheduledQueryRuleSource PowerShell-cmdlet för att skapa eller uppdatera objektet som anger källparametrar för en loggsökningsavisering. Används som indata av cmdletarna New-AzScheduledQueryRule och Set-AzScheduledQueryRule .
New-AzScheduledQueryRuleSchedule PowerShell-cmdlet för att skapa eller uppdatera objektet som anger schemaparametrar för en loggsökningsavisering. Används som indata av cmdletarna New-AzScheduledQueryRule och Set-AzScheduledQueryRule .
New-AzScheduledQueryRuleAlertingAction PowerShell-cmdlet för att skapa eller uppdatera objektet som anger åtgärdsparametrar för en loggsökningsavisering. Används som indata av cmdletarna New-AzScheduledQueryRule och Set-AzScheduledQueryRule .
New-AzScheduledQueryRuleAznsActionGroup PowerShell-cmdlet för att skapa eller uppdatera objektet som anger åtgärdsgruppsparametrar för en loggsökningsavisering. Används som indata av cmdleten New-AzScheduledQueryRuleAlertingAction .
New-AzScheduledQueryRuleTriggerCondition PowerShell-cmdlet för att skapa eller uppdatera objektet som anger parametrar för utlösarvillkor för en loggsökningsavisering. Används som indata av cmdleten New-AzScheduledQueryRuleAlertingAction .
New-AzScheduledQueryRuleLogMetricTrigger PowerShell-cmdlet för att skapa eller uppdatera objektet som specificerar villkorsparametrar för måttutlösaren för en måttmätningsloggsökavisering. Används som indata av cmdleten New-AzScheduledQueryRuleTriggerCondition .
Get-AzScheduledQueryRule PowerShell-cmdlet för att visa en lista över befintliga varningsregler för loggsökning eller en specifik varningsregel för loggsökning.
Update-AzScheduledQueryRule PowerShell-cmdlet för att aktivera eller inaktivera en aviseringsregel för loggsökning.
Remove-AzScheduledQueryRule PowerShell-cmdlet för att ta bort en befintlig aviseringsregel för loggsökning.

Kommentar

ScheduledQueryRules PowerShell-cmdletarna kan bara hantera regler som skapats i den här versionen av API:et schemalagda frågeregler. Aviseringsregler för loggsökning som skapats med hjälp av det äldre Log Analytics-aviserings-API: et kan endast hanteras med hjälp av PowerShell när du har växlat till API:et schemalagda frågeregler.

Exempel på steg för att skapa en aviseringsregel för loggsökning med hjälp av PowerShell:

$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"

Exempel på steg för att skapa en aviseringsregel för loggsökning med hjälp av PowerShell med frågor mellan resurser:

$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"

Du kan också skapa loggsökningsaviseringen med hjälp av en mall och parameterfiler med hjälp av PowerShell:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
  -TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json

Nästa steg

  • Last updated on