Självstudie: Skapa en loggsökningsavisering för en Azure-resurs

  • Artikel

Med Azure Monitor-aviseringar meddelas du proaktivt när viktiga tillstånd hittas i dina övervakningsdata. Aviseringsregler för loggsökning skapar en avisering när en loggfråga returnerar ett visst resultat. Du kan till exempel ta emot en avisering när en viss händelse skapas på en virtuell dator, eller skicka en varning när överdrivna anonyma begäranden görs till ett lagringskonto.

I den här självstudien lär du dig att:

  • Få åtkomst till fördefinierade loggfrågor som är utformade för att stödja aviseringsregler för olika typer av resurser
  • Skapa en aviseringsregel för loggsökning
  • Skapa en åtgärdsgrupp för att definiera meddelandeinformation

Förutsättningar

För att göra den här självstudien behöver du följande:

  • En Azure-resurs att övervaka. Du kan använda valfri resurs i din Azure-prenumeration som stöder diagnostikinställningar. Om du vill ta reda på om en resurs stöder diagnostikinställningar går du till menyn i Azure-portalen och kontrollerar att det finns ett alternativ för diagnostikinställningar i avsnittet Övervakning på menyn.

Om du använder någon annan Azure-resurs än en virtuell dator:

Om du använder en virtuell Azure-dator:

Välj en loggfråga och verifiera resultat

Data hämtas från en Log Analytics-arbetsyta med hjälp av en loggfråga som skrivits i Kusto-frågespråk (KQL). Insikter och lösningar i Azure Monitor tillhandahåller loggfrågor för att hämta data för en viss tjänst, men du kan arbeta direkt med loggfrågor och deras resultat i Azure-portalen med Log Analytics.

Välj Loggar på resursmenyn. Log Analytics öppnas med fönstret Frågor som innehåller fördefinierade frågor för din resurstyp. Välj Aviseringar för att visa frågor som utformats för aviseringsregler.

Kommentar

Om fönstret Frågor inte öppnas klickar du på Frågor längst upp till höger.

Log Analytics med frågefönstret

Välj en fråga och klicka på Kör för att läsa in den i frågeredigeraren och returnera resultat. Du kanske vill ändra frågan och köra den igen. Till exempel visas frågan Visa anonyma begäranden för lagringskonton i följande skärmbild. Du kanske vill ändra AuthenticationType eller filtrera på en annan kolumn.

Frågeresultat

Skapa aviseringsregel

När du har verifierat frågan kan du skapa aviseringsregeln. Välj Ny aviseringsregel för att skapa en ny aviseringsregel baserat på den aktuella loggfrågan. Omfånget är redan inställt på den aktuella resursen. Du behöver inte ändra det här värdet.

Skapa aviseringsregel

Konfigurera villkor

På fliken Villkor är loggfrågan redan ifylld. Avsnittet Mått definierar hur posterna från loggfrågan mäts. Om frågan inte utför en sammanfattning är det enda alternativet att räkna antalet tabellrader. Om frågan innehåller en eller flera sammanfattade kolumner kan du använda antalet tabellrader eller en beräkning baserat på någon av de sammanfattade kolumnerna. Sammansättningskornighet definierar det tidsintervall som de insamlade värdena aggregeras över. Om aggregeringskornigheten till exempel har angetts till 5 minuter utvärderar aviseringsregeln de data som sammanställts under de senaste 5 minuterna. Om sammansättningskornigheten är inställd på 15 minuter utvärderar aviseringsregeln de data som aggregeras under de senaste 15 minuterna. Det är viktigt att välja rätt sammansättningskornighet för aviseringsregeln, eftersom det kan påverka aviseringens noggrannhet.

Kommentar

Den kombinerade storleken på alla data i loggaviseringsregelns egenskaper får inte överstiga 64 KB. Detta kan orsakas av för många dimensioner, frågan är för stor, för många åtgärdsgrupper eller en lång beskrivning. När du skapar en stor aviseringsregel bör du komma ihåg att optimera dessa områden.

Villkor för aviseringsregel

Konfigurera dimensioner

Dela upp efter dimensioner så att du kan skapa separata aviseringar för olika resurser. Den här inställningen är användbar när du skapar en aviseringsregel som gäller för flera resurser. Med omfånget inställt på en enskild resurs används vanligtvis inte den här inställningen.

Aviseringsregeldimensioner

Om du behöver vissa dimensioner som ingår i aviseringsmeddelandets e-post kan du ange en dimension (till exempel "Dator"),. Aviseringsmeddelandet innehåller datornamnet som utlöste aviseringen. Aviseringsmotorn använder aviseringsfrågan för att fastställa tillgängliga dimensioner. Om du inte ser den dimension du vill använda i listrutan för "Dimensionsnamn" beror det på att aviseringsfrågan inte exponerar kolumnen i resultatet. Du kan enkelt lägga till de dimensioner du vill ha genom att lägga till en projektrad i din fråga som innehåller de kolumner som du vill använda. Du kan också använda raden Sammanfatta för att lägga till fler kolumner i frågeresultatet.

Skärmbild som visar måtten Aviseringsregel med en dimension som kallas Datoruppsättning.

Konfigurera aviseringslogik

I aviseringslogik konfigurerar du värdet Operator och Threshold så att det jämförs med det värde som returneras från mätningen. En avisering skapas när det här värdet är sant. Välj ett värde för Utvärderingsfrekvens som definierar hur ofta loggfrågan körs och utvärderas. Kostnaden för aviseringsregeln ökar med lägre frekvens. När du väljer en frekvens visas den uppskattade månadskostnaden utöver en förhandsgranskning av frågeresultatet under en tidsperiod.

Om mätningen till exempel är Tabellrader kan aviseringslogik vara Större än 0 som anger att minst en post returnerades. Om mätningen är ett kolumnvärde kan logiken behöva vara större än eller mindre än ett visst tröskelvärde. I följande exempel letar loggfrågan efter anonyma begäranden till ett lagringskonto. Om en anonym begäran görs bör vi utlösa en avisering. I det här fallet utlöser en enskild rad som returneras aviseringen, så aviseringslogik bör vara större än 0.

Aviseringslogik

Konfigurera åtgärder

Åtgärdsgrupper definierar en uppsättning åtgärder som ska vidtas när en avisering utlöses, till exempel att skicka ett e-postmeddelande eller ett SMS.

Om du vill konfigurera åtgärder väljer du fliken Åtgärder .

Skärmbild som visar fliken Åtgärder markerad.

Klicka på Välj åtgärdsgrupper för att lägga till en i aviseringsregeln.

Skärmbild som visar knappen Välj åtgärdsgrupper.

Om du inte redan har en åtgärdsgrupp i din prenumeration att välja klickar du på Skapa åtgärdsgrupp för att skapa en ny.

Skapa åtgärdsgrupp

Välj en prenumeration och resursgrupp för åtgärdsgruppen och ge den ett åtgärdsgruppsnamn som visas i portalen och ett visningsnamn som visas i e-post- och SMS-meddelanden.

Grunderna för åtgärdsgrupp

Välj fliken Meddelanden och lägg till en eller flera metoder för att meddela lämpliga personer när aviseringen utlöses.

Meddelanden om åtgärdsgrupp

Konfigurera information

Välj fliken Information och konfigurera olika inställningar för aviseringsregeln.

  • Aviseringsregelnamn som ska vara beskrivande eftersom det visas när aviseringen utlöses.
  • Du kan också ange en beskrivning av aviseringsregeln som ingår i informationen om aviseringen.
  • Prenumeration och resursgrupp där aviseringsregeln lagras. Detta behöver inte finnas i samma resursgrupp som den resurs som du övervakar.
  • Allvarlighetsgrad för aviseringen. Med allvarlighetsgraden kan du gruppera aviseringar med liknande relativ betydelse. Allvarlighetsgraden Fel är lämplig för en virtuell dator som inte svarar.
  • Under Avancerade alternativ håller du kryssrutan markerad för Aktivera när du skapar den.
  • Under Avancerade alternativ håller du kryssrutan markerad för Att automatiskt lösa aviseringar. Detta gör aviseringen tillståndskänslig, vilket innebär att aviseringen löses när villkoret inte uppfylls längre.

Information om aviseringsregel

Klicka på Skapa aviseringsregel för att skapa aviseringsregeln.

Visa aviseringen

När en avisering utlöses skickar den alla meddelanden i sina åtgärdsgrupper. Du kan också visa aviseringen i Azure-portalen.

Välj Aviseringar på resursmenyn. Om det finns några öppna aviseringar för resurserna inkluderas de i vyn.

Aviseringsvy

Klicka på en allvarlighetsgrad för att visa aviseringarna med den allvarlighetsgraden. Välj användarsvaret och avmarkera Stängt om du bara vill visa öppna aviseringar.

Skärmbild som visar filtret Användarsvar.

Klicka på namnet på en avisering för att visa dess information.

Aviseringsinformation

Nästa steg

Nu när du har lärt dig hur du skapar en loggsökningsavisering för en Azure-resurs kan du titta på arbetsböcker för att skapa interaktiva visualiseringar av övervakningsdata.

Azure Monitor-arbetsböcker