Günlük araması uyarı kuralı oluşturma veya düzenleme

Bu makalede, Azure İzleyici'de yeni bir günlük araması uyarı kuralı oluşturma veya mevcut günlük araması uyarı kuralını düzenleme adımları gösterilmektedir. Uyarılar hakkında daha fazla bilgi edinmek için uyarılara genel bakış bölümüne bakın.

Uyarı kuralları izlenecek kaynakları, kaynaktan gelen izleme verilerini ve uyarıyı tetiklemesini istediğiniz koşulları birleştirir. Ardından, bir uyarı tetiklendiğinde ne olacağını belirlemek için eylem grupları ve uyarı işleme kuralları tanımlayabilirsiniz.

Bu uyarı kuralları tarafından tetiklenen uyarılar, ortak uyarı şemasını kullanan bir yük içerir.

Önkoşullar

Uyarı kuralı oluşturmak veya düzenlemek için aşağıdaki izinlere sahip olmanız gerekir:

• Uyarı kuralının hedef kaynağı üzerinde okuma izni.
• Uyarı kuralının oluşturulduğu kaynak grubunda yazma izni. Uyarı kuralını Azure portalından oluşturuyorsanız, uyarı kuralı varsayılan olarak hedef kaynağın bulunduğu kaynak grubunda oluşturulur.
• Varsa, uyarı kuralıyla ilişkili herhangi bir eylem grubunda okuma izni.

Azure portalında uyarı kuralı sihirbazına erişme

Uyarı kuralı oluşturmanın veya düzenlemenin birden çok yolu vardır.

Portal giriş sayfasından uyarı kuralı oluşturma veya düzenleme

1. Azure portalında İzleyici'yi seçin.
2. Sol bölmede Uyarılar'ı seçin.
3. + Uyarı kuralı oluştur'u> seçin.

Belirli bir kaynaktan uyarı kuralı oluşturma veya düzenleme

1. Azure portalında kaynağa gidin.
2. Sol bölmede Uyarılar'ı seçin.
3. + Uyarı kuralı oluştur'u> seçin.

Mevcut uyarı kuralını düzenleme

1. Azure portalında, giriş sayfasından veya belirli bir kaynaktan sol bölmedeki Uyarılar'ı seçin.

2. Uyarı kuralları'nı seçin.

3. Düzenlemek istediğiniz uyarı kuralını seçin ve ardından Düzenle'yi seçin.

   

4. Ayarları düzenlemek için uyarı kuralının sekmelerinden herhangi birini seçin.

Uyarı kuralının kapsamını yapılandırma

1. Kaynak seçin bölmesinde uyarı kuralınızın kapsamını ayarlayın. Aboneliğe, kaynak türüne veya kaynak konumuna göre filtreleyebilirsiniz.

   

2. Uygula’yı seçin.

Uyarı kuralı koşullarını yapılandırma

1. Koşul sekmesinde, Sinyal adı alanını seçtiğinizde Özel günlük araması'nı seçin. Veya koşul için farklı bir sinyal seçmek istiyorsanız Tüm sinyalleri gör'e tıklayın.

2. (İsteğe bağlı) Önceki adımda Tüm sinyalleri gör seçeneğini belirlediyseniz Sinyal adını aramak veya sinyal listesini filtrelemek için Sinyal seçin bölmesini kullanın. Filtre ölçütü:

   • Sinyal türü: Günlük araması'yı seçin.
   • Sinyal kaynağı: Özel günlük araması ve Günlük (kayıtlı sorgu) sinyalleri gönderen hizmet. Sinyal adını seçin ve ardından Uygula'yı seçin.

3. Günlükler bölmesinde, uyarı oluşturmak istediğiniz günlük olaylarını döndüren bir sorgu yazın. Önceden tanımlanmış uyarı kuralı sorgularından birini kullanmak için Günlükler bölmesinin yanındaki Şema ve filtre bölmesini genişletin. Ardından Sorgular sekmesini seçin ve sorgulardan birini seçin.

   Günlük araması uyarı kuralı sorguları için şu sınırlamalara dikkat edin:

   • Günlük araması uyarı kuralı sorguları , pivot()ve narrow()sorgularını desteklemezbag_unpack().
   • Günlük araması uyarı kuralı sorguları yalnızca zaman aralığı değişmez değerleriyle ago() desteği sağlar.
   • AggregatedValue ayrılmış bir sözcük. Günlük araması uyarı kurallarındaki sorguda kullanamazsınız.
   • Günlük araması uyarı kurallarının özelliklerindeki tüm verilerin birleşik boyutu 64 KB'ı aşamaz.
   • Günlük araması uyarıları için KQL sorgusunda özel işlevler tanımlarken, göreli zaman yan tümceleri (örn. now() içeren işlev koduna dikkat etmek önemlidir. Günlük araması uyarısı KQL sorgusunda tanımlanmayan göreli zaman yan tümcelerine sahip özel işlevler, sorgu sonuçlarında tutarsızlıklar ortaya çıkararak uyarı değerlendirmelerinin doğruluğunu ve güvenilirliğini etkileyebilir. Bu yüzden:
     • Doğru ve zamanında uyarı sağlamak için, her zaman doğrudan günlük araması uyarısı KQL sorgusu içinde göreli zaman yan tümceleri tanımlayın.
     • İşlevin içinde zaman aralıkları gerekiyorsa, bunlar parametre olarak geçirilmeli ve işlevde kullanılmalıdır.

   

4. (İsteğe bağlı) Azure Veri Gezgini veya Azure Kaynak Grafı kümesini sorgularsanız Log Analytics çalışma alanı, olay zaman damgasına sahip sütunu otomatik olarak tanımlayamaz. Sorguya bir zaman aralığı filtresi eklemenizi öneririz. Örneğin:

       adx('https://help.kusto.windows.net/Samples').table    
       | where MyTS >= ago(5m) and MyTS <= now()
   

       arg("").Resources
       | where type =~ 'Microsoft.Compute/virtualMachines'
       | project _ResourceId=tolower(id), tags
   

   

   Azure Veri Gezgini ve Kaynak Grafı için örnek günlük araması uyarı sorguları kullanılabilir.

   Kamu bulutlarında hizmetler arası sorgular desteklenmez. Sınırlamalar hakkında daha fazla bilgi için bkz. Hizmetler arası sorgu sınırlamaları ve Azure Kaynak Grafı tablolarını Log Analytics çalışma alanıyla birleştirme.

5. Uyarıyı çalıştırmak için Çalıştır'ı seçin.

6. Önizleme bölümünde sorgu sonuçları gösterilir. Sorgunuzu düzenlemeyi bitirdiğinizde Uyarıyı Düzenlemeye Devam Et'i seçin.

7. Koşul sekmesi açılır ve günlük sorgunuzla doldurulur. Varsayılan olarak, kural son beş dakikadaki sonuç sayısını sayar. Sistem özetlenmiş sorgu sonuçlarını algılarsa, kural otomatik olarak bu bilgilerle güncelleştirilir.

8. Ölçüm bölümünde şu alanlar için değerleri seçin:

   Alan	Açıklama
   Ölçmek	Günlük araması uyarıları, çeşitli izleme senaryoları için kullanabileceğiniz iki şeyi ölçebilir: Tablo satırları: Windows olay günlükleri, Syslog ve uygulama özel durumları gibi olaylarla çalışmak için döndürülen satır sayısını kullanabilirsiniz. Sayısal sütun hesaplaması: Herhangi bir sayıda kaynak eklemek için herhangi bir sayısal sütunu temel alan hesaplamaları kullanabilirsiniz. Cpu yüzdesi örnek olarak gösteriliyor.
   Toplama türü	Toplama ayrıntı düzeyini kullanarak bunları bir sayısal değere toplamak için birden çok kayıtta gerçekleştirilen hesaplama. Örnek olarak Total, Average, Minimum ve Maximum verilebilir.
   Toplama ayrıntı düzeyi	Birden çok kaydı tek bir sayısal değere toplama aralığı.

   

9. (İsteğe bağlı) Boyutlara göre böl bölümünde, tetiklenen uyarı için bağlam sağlamaya yardımcı olması için boyutları kullanabilirsiniz.

   Boyutlar, sorgu sonuçlarınızdan ek veriler içeren sütunlardır. Boyutları kullandığınızda, uyarı kuralı sorgu sonuçlarını boyut değerlerine göre gruplandırıp her grubun sonuçlarını ayrı ayrı değerlendirir. Koşul karşılanırsa, kural bu grup için bir uyarı tetikler. Uyarı yükü, uyarıyı tetikleyen bileşimi içerir.

   Uyarı kuralı başına en fazla altı boyut uygulayabilirsiniz. Boyutlar yalnızca dize veya sayısal sütunlar olabilir. Boyut olarak sayı veya dize türü olmayan bir sütun kullanmak istiyorsanız, bunu sorgunuzda bir dizeye veya sayısal değere dönüştürmeniz gerekir. Birden fazla boyut değeri seçerseniz, birleşimden elde edilen her zaman serisi kendi uyarısını tetikler ve ayrı olarak ücretlendirilir.

   Örneğin:

   • Web sitenizi veya uygulamanızı çalıştıran birden çok örnekte CPU kullanımını izlemek için boyutları kullanabilirsiniz. Her örnek ayrı ayrı izlenir ve CPU kullanımının yapılandırılan değeri aştığı her örnek için bildirimler gönderilir.
   • Kapsamdaki birden çok kaynağa bir koşulun uygulanmasını istediğinizde boyutlara göre bölmemeye karar verebilirsiniz. Örneğin, kaynak grubu kapsamındaki en az beş makine yapılandırılmış değerin üzerinde CPU kullanımına sahipse bir uyarı tetiklemek istiyorsanız boyutları kullanamazsınız.

   Genel olarak, uyarı kuralı kapsamınız bir çalışma alanıysa, uyarılar çalışma alanında tetiklenir. Etkilenen her Azure kaynağı için ayrı bir uyarı istiyorsanız şunları yapabilirsiniz:

   • Boyut olarak Azure Resource Manager Azure Kaynak Kimliği sütununu kullanın. Bu seçeneği kullandığınızda, uyarı çalışma alanında Azure Kaynak Kimliği sütunu boyut olarak tetiklenir.

   • Uyarıyı Azure Kaynak Kimliği özelliğinde boyut olarak belirtin. Bu seçenek, sorgunuzun döndürdüğü kaynağı uyarının hedefini yapar. Ardından, çalışma alanının aksine sanal makine veya depolama hesabı gibi sorgunuzun döndürdüğü kaynakta uyarılar tetiklenir.

     Bu seçeneği kullandığınızda, çalışma alanı birden fazla abonelikteki kaynaklardan veri alıyorsa, uyarı kuralı aboneliğinden farklı bir abonelikteki kaynaklarda uyarılar tetiklenebilir.

   Bu alanlar için değerleri seçin:

   Alan	Açıklama
   Boyut adı	Boyutlar sayı veya dize sütunları olabilir. Boyutlar belirli zaman serilerini izlemek ve tetiklenen uyarıya bağlam sağlamak için kullanılır.
   İşleç	Boyut adında ve değerinde kullanılan işleç.
   Boyut değerleri	Boyut değerleri son 48 saate ait verileri temel alır. Özel boyut değerleri eklemek için Özel değer ekle'yi seçin.
   Gelecekteki tüm değerleri dahil et	Seçili boyuta gelecekteki değerleri eklemek için bu alanı seçin.

   

10. Uyarı mantığı bölümünde şu alanlar için değerleri seçin:

    Alan	Açıklama
    İşleç	Sorgu sonuçları bir sayıya dönüştürülür. Bu alanda, sayıyı eşikle karşılaştırmak için kullanılacak işleci seçin.
    Eşik değeri	Eşik için bir sayı değeri.
    Değerlendirme sıklığı	Sorgunun ne sıklıkta çalıştırılır? Bir dakika ile bir gün (24 saat) arasında herhangi bir yerde ayarlayabilirsiniz.

    

    Not

    Sıklık, uyarının her gün çalıştırdığı belirli bir zaman değildir. Uyarı kuralının çalışma sıklıklarıdır.

    Bir dakikalık uyarı kuralı sıklığı kullanmanın bazı sınırlamaları vardır. Uyarı kuralı sıklığını bir dakikaya ayarladığınızda, sorguyu iyileştirmek için bir iç düzenleme gerçekleştirilir. Bu düzenleme, desteklenmeyen işlemler içeriyorsa sorgunun başarısız olmasına neden olabilir. Sorgunun desteklenmeme nedenlerinin en yaygın nedenleri şunlardır:

    • Sorgu , unionveya take (sınır) işlemini içerirsearch.
    • Sorgu işlevi ingestion_time() içerir.
    • Sorgu desenini adx kullanır.
    • Sorgu, diğer tabloları çağıran bir işlevi çağırır.

    Azure Veri Gezgini ve Kaynak Grafı için örnek günlük araması uyarı sorguları kullanılabilir.

11. (İsteğe bağlı) Gelişmiş seçenekler bölümünde, hata sayısını ve uyarı tetikleme için gereken uyarı değerlendirme süresini belirtebilirsiniz. Örneğin, Toplama ayrıntı düzeyini 5 dakika olarak ayarlarsanız, yalnızca son bir saat içinde üç hata (15 dakika) gerçekleştiğinde bir uyarı tetiklemesini istediğinizi belirtebilirsiniz. Bu ayarı uygulamanızın iş ilkesi belirler.

    Uyarıyı tetikleyen ihlal sayısı altında bu alanların değerlerini seçin:

    Alan	Açıklama
    İhlal sayısı	Uyarıyı tetikleyen ihlal sayısı.
    Değerlendirme dönemi	İhlal sayısının oluştuğu zaman dilimi.
    Sorgu zaman aralığını geçersiz kıl	Uyarı değerlendirme döneminin sorgu zaman aralığından farklı olmasını istiyorsanız, buraya bir zaman aralığı girin. Uyarı zaman aralığı en fazla iki gün ile sınırlıdır. Sorgu iki günden uzun bir zaman aralığına sahip bir ago komut içerse bile, iki günlük en fazla zaman aralığı uygulanır. Örneğin, sorgu metni içinde ago(7d)olsa bile sorgu yalnızca iki güne kadar veri tarar. Sorgu, uyarı değerlendirmesinden daha fazla veri gerektiriyorsa zaman aralığı değerini el ile değiştirebilirsiniz. Sorgu bir ago komut içeriyorsa, otomatik olarak iki güne (48 saat) dönüşür.

    

    Not

    Siz veya yöneticiniz Log Analytics çalışma alanları üzerinden Azure Günlük Arama Uyarıları azure ilkesini atadıysanız müşteri tarafından yönetilen anahtarları kullanmalısınız, Çalışma alanı bağlı depolamayı denetle'yi seçmeniz gerekir. Bunu yapmazsanız, ilke gereksinimlerini karşılamadığı için kural oluşturma işlemi başarısız olur.

12. Önizleme grafiği, zaman içindeki sorgu değerlendirmelerinin sonuçlarını gösterir. Grafik dönemini değiştirebilir veya benzersiz bir uyarının boyutlara göre bölünmesinden kaynaklanan farklı zaman serisini seçebilirsiniz.

    

13. Bitti'yi seçin. Bu noktadan sonra, istediğiniz zaman Gözden Geçir + oluştur düğmesini seçebilirsiniz.

Uyarı kuralı eylemlerini yapılandırma

Eylemler sekmesinde, gerekli eylem gruplarını seçin veya oluşturun.

Uyarı kuralı ayrıntılarını yapılandırma

1. Ayrıntılar sekmesindeki Proje ayrıntıları'nın altında Abonelik ve Kaynak grubu değerlerini seçin.

2. Uyarı kuralı ayrıntıları altında:

   1. Önem Derecesi değerini seçin.

   2. Uyarı kuralı adı ve Uyarı kuralı açıklaması değerlerini girin.

      Not

      Kimlik kullanan bir kural, Uyarı kuralı adı değerinde noktalı virgül (;) karakterine sahip olamaz.

   3. Bölge değerini seçin.

3. Kimlik bölümünde, günlük sorgusu gönderirken günlük arama uyarı kuralının kimlik doğrulaması için hangi kimliği kullandığını seçin.

   Bir kimlik seçerken şu noktaları göz önünde bulundurun:

   • Azure Veri Gezgini veya Kaynak Grafı'e sorgu gönderiyorsanız yönetilen kimlik gereklidir.
   • Uyarı kuralıyla ilişkili izinleri görüntüleyebilmek veya düzenleyebilmek istiyorsanız yönetilen kimlik kullanın.
   • Yönetilen kimlik kullanmıyorsanız, uyarı kuralı izinleri, kuralın en son düzenlendiği sırada son kullanıcının kuralı düzenleme izinlerine dayanır.
   • Kuralı en son düzenleyen kullanıcının kuralın kapsamına eklenen tüm kaynaklar için izinleri olmadığından kuralın beklendiği gibi çalışmadığı bir durumdan kaçınmanıza yardımcı olması için yönetilen kimlik kullanın.

   Kuralla ilişkilendirilmiş kimlik şu rollere sahip olmalıdır:

   • Sorgu bir Log Analytics çalışma alanına erişiyorsa, kimliğe sorgunun eriştiği tüm çalışma alanları için bir okuyucu rolü atanmalıdır. Kaynak odaklı günlük araması uyarıları oluşturuyorsanız, uyarı kuralı birden çok çalışma alanına erişebilir ve kimliğin tüm çalışma alanlarında okuyucu rolü olmalıdır.
   • Azure Veri Gezgini veya Kaynak Grafı kümesini sorgularsanız, sorgunun eriştiği tüm veri kaynakları için okuyucu rolünü eklemeniz gerekir. Örneğin, sorgu kaynak odaklıysa, bu kaynakta bir okuyucu rolüne ihtiyacı vardır.
   • Sorgu uzak bir Azure Veri Gezgini kümesine erişiyorsa, kimlik atanmalıdır:
     • Sorgunun eriştiği tüm veri kaynakları için okuyucu rolü. Örneğin, sorgu işlevini kullanarak adx() uzak bir Azure Veri Gezgini kümesini çağırıyorsa, bu Azure Veri Gezgini kümesinde bir okuyucu rolüne ihtiyacı vardır.
     • Sorgunun eriştiği tüm veritabanları için veritabanı görüntüleyici rolü.

   Yönetilen kimlikler hakkında ayrıntılı bilgi için bkz . Azure kaynakları için yönetilen kimlikler.

   Uyarı kuralının kullandığı kimlik için aşağıdaki seçeneklerden birini belirleyin:

   Kimlik seçeneği	Açıklama
   Hiçbiri	Uyarı kuralı izinleri, kuralın düzenlendiği sırada kuralı düzenleyen son kullanıcının izinlerini temel alır.
   Sistem tarafından atanan yönetilen kimliği etkinleştirme	Azure, bu uyarı kuralı için yeni ve ayrılmış bir kimlik oluşturur. Bu kimliğin hiçbir izni yoktur ve kural silindiğinde otomatik olarak silinir. Kuralı oluşturduktan sonra, sorgu için gerekli çalışma alanına ve veri kaynaklarına erişmek için bu kimliğe izinler atamanız gerekir. İzin atama hakkında daha fazla bilgi için bkz . Azure portalını kullanarak Azure rolleri atama. Bağlı depolama kullanan günlük araması uyarı kuralları desteklenmez.
   Kullanıcı tarafından atanan yönetilen kimliği etkinleştirme	Uyarı kuralını oluşturmadan önce bir kimlik oluşturur ve günlük sorgusu için uygun izinleri atarsınız. Bu normal bir Azure kimliğidir. Birden çok uyarı kuralında tek bir kimlik kullanabilirsiniz. Kural silindiğinde kimlik silinmez. Bu kimlik türünü seçtiğinizde, kural için ilişkili kimliği seçmeniz için bir bölme açılır.

   

4. (İsteğe bağlı) Gelişmiş seçenekler bölümünde çeşitli seçenekler ayarlayabilirsiniz:

   Alan	Açıklama
   Oluşturuldukten sonra etkinleştir	Uyarı kuralını oluşturmayı tamamlar tamamlamaz çalışmaya başlamasını sağlamak için bu seçeneği belirleyin.
   Uyarıları otomatik olarak çözümleme	Uyarının durum bilgisi olmasını sağlamak için bu seçeneği belirleyin. Bir uyarı durum bilgisi olduğunda, koşul belirli bir zaman aralığı için karşılanmadığında uyarı çözümlenir. Zaman aralığı, uyarının sıklığına göre farklılık gösterir: 1 dakika: Uyarı koşulu 10 dakika boyunca karşılanmaz. 5-15 dakika: Uyarı koşulu üç sıklık dönemi boyunca karşılanmaz. 15 dakika ile 11 saat: Uyarı koşulu iki sıklık dönemi için karşılanmaz. 11 ile 12 saat arasında: Uyarı koşulu bir sıklık süresi boyunca karşılanmaz. Durum bilgisi olan günlük araması uyarılarının bu sınırlamalara sahip olduğunu unutmayın.
   Eylemlerin sesini kapatma	Uyarı eylemlerinin yeniden tetiklenebilmesi için bekleme süresi ayarlamak için bu seçeneği belirleyin. Görüntülenen alanın sessize alma eylemlerinde, eylemleri yeniden tetiklemeden önce bir uyarı tetiklendiğinde beklenmesi gereken süreyi seçin.
   Çalışma alanı bağlı depolama alanını denetleme	Uyarılar için çalışma alanı bağlı depolama alanı yapılandırıldıysa bu seçeneği belirleyin. Bağlantılı depolama yapılandırılmamışsa kural oluşturulmaz.

5. (İsteğe bağlı) Özel özellikler bölümünde, bu uyarı kuralı eylem grupları içeriyorsa, uyarı bildirimi yüküne eklemek için kendi özelliklerinizi ekleyebilirsiniz. Bu özellikleri bir web kancası, Azure işlevi veya mantıksal uygulama eylemi gibi eylem grubunun çağırdığı eylemlerde kullanabilirsiniz.

   Özel özellikler, statik metin, uyarı yükünden ayıklanan dinamik bir değer veya her ikisinin birleşimi kullanılarak anahtar/değer çiftleri olarak belirtilir.

   Uyarı yükünden dinamik değer ayıklama biçimi: ${<path to schema field>}. Örneğin: ${data.essentials.monitorCondition}.

   Ortak uyarı şemasının biçimini kullanarak, uyarı kuralı için yapılandırılan eylem gruplarının ortak şemayı kullanıp kullanmadığını yükteki alanı belirtin.

   Not

   • Özel özellikler uyarının yüküne eklenir, ancak e-posta şablonunda veya Azure portalındaki uyarı ayrıntılarında görünmez.

   

   Aşağıdaki örneklerde, ortak uyarı şemasını kullanan bir yükteki verileri kullanmak için Özel özellikler'deki değerler kullanılır.

   Bu örnek, pencere başlangıç saati ve pencere bitiş saati ile ilgili verileri içeren bir Ek Ayrıntılar etiketi oluşturur:

   • Ad: Additional Details
   • Değer: Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
   • Sonuç: AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z

   Bu örnek, uyarıyı çözümleme veya tetikleme nedeni ile ilgili verileri ekler:

   • Ad: Alert ${data.essentials.monitorCondition} reason
   • Değer: ${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
   • Olası sonuçlar:
     • Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
     • Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585

Uyarı kuralı etiketlerini yapılandırma

Etiketler sekmesinde, uyarı kuralı kaynağında gerekli etiketleri ayarlayın.

Uyarı kuralını gözden geçirme ve oluşturma

1. Gözden Geçir ve oluştur sekmesinde kural doğrulanır. Bir sorun varsa geri dönün ve düzeltin.

2. Doğrulama başarılı olduysa ve ayarları gözden geçirdiyseniz Oluştur düğmesini seçin.

   

İlgili içerik

• Günlük araması uyarı sorgularının örneklerini alma
• Uyarı örneklerinizi görüntüleme ve yönetme