Snabbstart: Skapa aviseringar med Azure Resource Graph och Log Analytics
Artikel
I den här snabbstarten får du lära dig hur du kan använda Azure Log Analytics för att skapa aviseringar i Azure Resource Graph-frågor. Du kan skapa aviseringar med Azure Resource Graph-fråga, Log Analytics-arbetsyta och hanterade identiteter. Aviseringens villkor skickar meddelanden med ett angivet intervall.
Du kan använda frågor för att konfigurera aviseringar för dina distribuerade Azure-resurser. Du kan skapa frågor med hjälp av Azure Resource Graph-tabeller eller kombinera Azure Resource Graph-tabeller och Log Analytics-data från Azure Monitor-loggar.
Den här artikeln innehåller två exempel på aviseringar:
Azure Resource Graph: Använder Tabellen Azure Resource Graph Resources för att skapa en fråga som hämtar data för dina distribuerade Azure-resurser och skapar en avisering.
Azure Resource Graph och Log Analytics: Använder Azure Resource Graph-tabellen Resources och Log Analytics-data från tabellen från Azure Monitor-loggar Heartbeat . I det här exemplet används en virtuell dator för att visa hur du konfigurerar frågan och aviseringen.
Kommentar
Integrering av Azure Resource Graph-aviseringar med Log Analytics finns i offentlig förhandsversion.
Resurser som distribueras i Azure, till exempel virtuella datorer eller lagringskonton.
Om du vill använda exemplet för Azure Resource Graph- och Log Analytics-frågan behöver du minst en virtuell Azure-dator med Azure Monitor-agenten.
Vilket problem kommer vi att lösa?
Du vill använda en Azure Resource Graph-fråga för att få information om dina Azure-resurser. Du kan använda Azure Log Analytics för att konfigurera aviseringar som meddelar dig när vissa villkor uppfylls.
Skapa arbetsyta
Skapa en Log Analytics-arbetsyta i prenumerationen som övervakas.
Du behöver inte skapa en virtuell dator för exemplet som använder Azure Resource Graph-tabellen.
Kommentar
Det här avsnittet är valfritt om du har befintliga virtuella datorer eller vet hur du skapar en virtuell dator. I det här exemplet används en virtuell dator för att visa hur du skapar en fråga med hjälp av en Azure Resource Graph-tabell och Log Analytics-data.
För att få logginformation installeras Azure Monitor-agenten på den virtuella datorn när du ansluter den virtuella datorn till Log Analytics-arbetsytan. Om du inte har en virtuell dator kan du skapa en för det här exemplet. För att undvika onödiga kostnader tar du bort den virtuella datorn när du är klar med exemplet.
Följande instruktioner är grundläggande inställningar för en virtuell Linux-dator. Detaljerade steg om hur du skapar en virtuell dator ligger utanför omfånget för den här artikeln.
Använd Skapa en virtuell dator. Du kan acceptera de flesta standardinställningar med följande undantag:
Skapa en virtuell dator
Resursgrupp: demo-arg-alert-rg
namn på virtuell dator: Ange ett namn på en virtuell dator
Tillgänglighetsalternativ: Ingen infrastrukturredundans krävs
Storlek: B1ms
Administratörskonto: Skapa nyckelpar eller användarnamn och lösenord
Offentliga inkommande portar: Ingen
Diskar: acceptera standardvärden
Kontrollera att Ta bort med virtuell dator har valts.
Nätverk
Acceptera standardvärden.
Välj Ta bort offentlig IP-adress och nätverkskort när den virtuella datorn tas bort.
Hantering
Acceptera standardvärden
Ändra tidszonen För automatisk avstängningtill tidszonen.
Övervakning, avancerat och taggar
Inga ändringar behövs för det här exemplet.
Välj Granska och skapa och sedan Skapa.
Om du har valt SSH för autentisering uppmanas du att skapa ett nytt nyckelpar. Ladda ned den privata nyckeln och skapa den virtuella datorn. När du är klar med den virtuella datorn tar du bort nyckelfilen.
Välj Gå till resurs när den virtuella datorn har distribuerats.
Kommentar
Det här avsnittet är valfritt om du vet hur du ansluter en virtuell dator till en Log Analytics-arbetsyta.
Konfigurera övervakning för en virtuell dator.
Gå till den virtuella datorn.
Välj Översikt över Övervakningsinsikter>>i Azure Monitor.>
Välj Inte övervakad.
Välj Aktivera för den virtuella datorns övervakningstäckning.
Välj Aktivera för Azure Monitor Insights-registrering.
Konfigurera övervakningskonfigurationen
Aktivera insikter med hjälp av: Azure Monitoring Agent
Välj Skapa, kontrollera att inställningarna är korrekta och välj Konfigurera för att påbörja distributionen.
Stäng Azure Monitor Insights-registrering.
Efter en lyckad distribution visar Insights>Overview>Monitored att den virtuella datorns övervakningstäckning är aktiverad och en länk till datainsamlingsregeln.
Välj länken till datainsamlingsregeln och verifiera konfigurationsinställningarna:
Resurser: Visar den virtuella datorn, resursgruppen och prenumerationen.
Datakällor:
Datakälla: Prestandaräknare
Mål: Azure Monitor-loggar
Du kan välja länken Prestandaräknare för att verifiera information.
Gå till log analytics-arbetsytan demo-arg-alert-workspace. Välj Inställningar> Agents Linux-servrar> och en Linux-dator är ansluten till Azure Monitor Linux-agenten.
Gå till den virtuella datorn och välj Inställningar> Extensions + program och kontrollera att etableringen AzureMonitorLinuxAgentlyckades.
Från Log Analytics-arbetsytan skapar du en Azure Resource Graph-fråga för att få ett antal Azure-resurser. I det här exemplet används tabellen Azure Resource Graph Resources .
Välj Loggar till vänster på sidan Log Analytics-arbetsyta .
Stäng fönstret Frågor om det visas.
Använd följande kod i Den nya frågan.
arg("").Resources
| count
Tabellnamn i Log Analytics måste vara kamelfall med den första bokstaven i varje ord med versaler, t.ex Resources . eller ResourceContainers. Du kan också använda gemener som resources eller resourcecontainers.
Markera Kör.
Resultatet visar antalet resurser i din Azure-prenumeration. Anteckna det numret eftersom du behöver det för aviseringsregelns villkor. När du kör frågan manuellt baseras antalet på användaridentitet och en utlöst avisering använder en hanterad identitet. Det är möjligt att antalet kan variera mellan en manuell körning eller utlöst avisering.
Ta bort antalet från din fråga.
arg("").Resources
Från Log Analytics-arbetsytan skapar du en Azure Resource Graph-fråga för att hämta den senaste pulsslagsinformationen från den virtuella datorn. I det här exemplet används Tabellen Azure Resource Graph Resources och Log Analytics-data från tabellen från Azure Monitor Logs Heartbeat .
Gå till log analytics-arbetsytan demo-arg-alert-workspace .
Välj Loggar till vänster på sidan Log Analytics-arbetsyta .
Stäng fönstret Frågor om det visas.
Använd följande kod i Den nya frågan.
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
Tabellnamn i Log Analytics måste vara kamelfall med den första bokstaven i varje ord med versaler, t.ex Resources . eller ResourceContainers. Du kan också använda gemener som resources eller resourcecontainers.
Du kan använda andra tidsramar för TimeGenerated. Till exempel i stället för minuter som 15m användningstimmar som 12h, 24h, 48h.
Markera Kör.
Frågan ska returnera den virtuella datorns senaste pulsslag, energitillstånd, namn och resurs-ID. Om inga resultat visas fortsätter du till nästa steg.
På Log Analytics-arbetsytan väljer du Ny aviseringsregel. Frågan från Log Analytics-arbetsytan kopieras till aviseringsregeln. Skapa en aviseringsregel har flera flikar som måste uppdateras för att skapa aviseringen.
Definitionsområde
Kontrollera att omfånget är inställt på Log Analytics-arbetsytan med namnet demo-arg-alert-workspace.
Om du behöver ändra omfånget utför du följande steg.
Gå till fliken Omfång och välj Välj omfång.
Ta bort det aktuella omfånget längst ned på skärmen Valda resurser .
Expandera demo-arg-alert-rg från listan över resurser och välj demo-arg-alert-workspace.
Välj Använd.
Välj Nästa: Villkor.
Villkor
Formuläret har flera fält att slutföra.
Signalnamn: Anpassad loggsökning
Sökfråga: Visar frågekoden.
Mått
Mått: Tabellrader
Sammansättningstyp: Antal
Sammansättningskornighet: 5 minuter
Aviseringslogik
Operator: Större än
Tröskelvärde: Använd ett tal som är mindre än det tal som returneras från antalet resurser.
Om ditt resursantal till exempel var 50 använder du 45. Det här värdet utlöser aviseringen att utlösas när den utvärderar dina resurser eftersom antalet resurser är större än tröskelvärdet.
Markera kryssrutan E-post och skriv din e-postadress.
Välj OK.
Välj Granska + skapa, kontrollera att sammanfattningen är korrekt och välj Skapa. Du återgår till fliken Åtgärder på sidan Skapa en aviseringsregel . Namnet på åtgärdsgruppen visar den åtgärdsgrupp som du skapade.
Välj Nästa: Information.
Details
Använd följande information på fliken Information .
Prenumeration: Välj din Azure-prenumeration
Resursgrupp: demo-arg-alert-rg
Allvarlighetsgrad: Acceptera standardvärdet 3 – Information
Namn på aviseringsregel: demo-arg-alert-rule
Beskrivning av aviseringsregel: E-postavisering för antal Azure-resurser
Välj Granska + skapa, kontrollera att sammanfattningen är korrekt och välj Skapa. Du returneras till sidan Loggar på din Log Analytics-arbetsyta.
Du får ett e-postmeddelande för att bekräfta att du har lagts till i åtgärdsgruppen.
Tilldela rollen
Tilldela Log Analytics-läsaren till den systemtilldelade hanterade identiteten så att den har behörigheter för aviseringar som skickar e-postmeddelanden.
Välj Övervakningsaviseringar> på Log Analytics-arbetsytan.
Välj OK om du uppmanas att Dina ändringar som inte har sparats tas bort.
Välj Aviseringsregler.
Välj demo-arg-alert-rule.
Välj Inställningar> Identity>System tilldelad.
Status: På
Objekt-ID: Visar GUID för ditt företagsprogram (tjänstens huvudnamn) i Microsoft Entra-ID.
Behörighet: Välj Azure-rolltilldelningar
Kontrollera att rätt prenumeration har valts.
Välj Lägg till rolltilldelning
Omfång: Prenumeration
Prenumeration: Ditt Azure-prenumerationsnamn
Roll: Log Analytics-läsare
Välj Spara.
Det tar några minuter för Log Analytics-läsaren att visas på sidan Azure-rolltilldelningar . Välj Uppdatera för att uppdatera sidan.
Använd bakåtknappen i webbläsaren för att återgå till identiteten och välj sedan Översikt för att återgå till aviseringsregeln. Välj länken till resursgruppen med namnet demo-arg-alert-rg.
På Log Analytics-arbetsytan väljer du Ny aviseringsregel. Frågan från Log Analytics-arbetsytan kopieras till aviseringsregeln. Regeln Skapa en avisering har flera flikar som måste uppdateras.
Definitionsområde
Kontrollera att omfånget är inställt på Log Analytics-arbetsytan.
Om du behöver ändra omfånget utför du följande steg.
Gå till fliken Omfång och välj Välj omfång.
Ta bort det aktuella omfånget längst ned på skärmen Valda resurser .
Expandera demo-arg-alert-rg från listan över resurser och välj demo-arg-alert-workspace.
Välj Använd.
Välj Nästa: Villkor.
Villkor
Formuläret har flera fält att slutföra.
Signalnamn: Anpassad loggsökning
Sökfråga: Visar frågekoden.
Mått
Mått: Tabellrader
Sammansättningstyp: Antal
Sammansättningskornighet: 5 minuter
Aviseringslogik
Operator: Mindre än
Tröskelvärde: 2
Utvärderingsfrekvens: 5 minuter
Välj Nästa: Åtgärder.
Åtgärder
Välj Skapa åtgärdsgrupp.
Prenumeration: Välj din Azure-prenumeration.
Resursgrupp: demo-arg-alert-rg
Region: Global
Namn på åtgärdsgrupp: demo-arg-la-alert-action-group
Markera kryssrutan E-post och skriv din e-postadress
Välj Ok
Välj Granska + skapa, kontrollera att sammanfattningen är korrekt och välj Skapa. Du återgår till fliken Åtgärder på sidan Skapa en aviseringsregel . Namnet på åtgärdsgruppen visar den åtgärdsgrupp som du skapade.
Välj Nästa: Information.
Details
Använd följande information på fliken Information .
Välj Granska + skapa, kontrollera att sammanfattningen är korrekt och välj Skapa. Du returneras till sidan Loggar på din Log Analytics-arbetsyta.
Du får ett e-postmeddelande för att bekräfta att du har lagts till i åtgärdsgruppen.
Tilldela rollen
Tilldela Log Analytics-läsaren till den systemtilldelade hanterade identiteten så att den har behörigheter för aviseringar som skickar e-postmeddelanden.
Välj Övervakningsaviseringar> på Log Analytics-arbetsytan.
Välj OK om du uppmanas att Dina ändringar som inte har sparats tas bort.
Välj aviseringsregler
Välj demo-arg-la-alert-rule
Välj Inställningar> Identity>System tilldelad
Status: På
Objekt-ID: Visar GUID för ditt företagsprogram (tjänstens huvudnamn) i Microsoft Entra-ID.
Behörighet: Välj Azure-rolltilldelningar
Kontrollera att rätt prenumeration har valts.
Välj Lägg till rolltilldelning
Omfång: Prenumeration
Prenumeration: Ditt Azure-prenumerationsnamn
Roll: Log Analytics-läsare
Välj Spara.
Det tar några minuter för Log Analytics-läsaren att visas på sidan Azure-rolltilldelningar . Välj Uppdatera för att uppdatera sidan.
Använd webbläsarens bakåtknapp för att återgå till identiteten och välj Översikt för att återgå till aviseringsregeln. Välj länken till resursgruppen med namnet demo-arg-alert-rg.
När rollen har tilldelats till din aviseringsregel börjar du få e-post för aviseringsmeddelanden. Regeln skapades för att skicka aviseringar var femte minut och det tar några minuter att få den första aviseringen.
Du kan också visa aviseringarna i Azure-portalen.
Gå till resursgruppen demo-arg-alert-rg.
Välj demo-arg-alert-workspace i listan över resurser.
Välj Övervakningsaviseringar>.
En lista över aviseringar visas.
När rollen har tilldelats till din aviseringsregel börjar du få e-post för aviseringsmeddelanden. Regeln skapades för att skicka aviseringar var femte minut och det tar några minuter att få den första aviseringen.
Du kan också visa aviseringarna i Azure-portalen.
Gå till resursgruppen demo-arg-alert-rg.
Välj den virtuella datorn.
Välj Övervakningsaviseringar>.
En lista över aviseringar visas.
Kommentar
Det kan ta 30 minuter innan logginformation blir tillgänglig för att skapa aviseringar.
Hur löste vi problemet?
Du har skapat en Azure Resource Graph-fråga och en Log Analytics-arbetsyta för att övervaka Azure-resurser. Du kan också konfigurera aviseringar för att meddela dig om händelser och tilldela en roll till den systemtilldelade hanterade identiteten. När aviseringen har skapats fick du e-postaviseringar baserat på villkoren i aviseringsregeln.
Rensa resurser
Om du vill behålla aviseringskonfigurationen men hindra aviseringen från att starta och skicka e-postaviseringar kan du inaktivera den. Gå till aviseringsregeln demo-arg-alert-rule eller demo-arg-la-alert-rule och välj Inaktivera.
Om du inte behöver den här aviseringen eller resurserna du skapade i det här exemplet tar du bort resursgruppen med följande steg:
Gå till resursgruppen demo-arg-alert-rg.
Välj Ta bort resursgrupp.
Ange resursgruppens namn för att bekräfta.
Välj Ta bort.
Relaterat innehåll
Mer information om frågespråket eller hur du utforskar resurser finns i följande artiklar.
