ADX ve ARG içeren örnek günlük araması uyarı sorguları

Günlük araması uyarı kuralı, günlükleri belirli bir sıklıkta değerlendirmek için Log Analytics sorgusu kullanarak bir kaynağı izler. Günlük araması uyarı kuralı sorgularınıza Azure Veri Gezgini ve Azure Kaynak Grafı verilerini ekleyebilirsiniz.

Bu makalede, Azure Veri Gezgini ve Azure Kaynak Grafı kullanan günlük araması uyarı kuralı sorgularının örnekleri sağlanır. Günlük araması uyarı kuralı oluşturma hakkında daha fazla bilgi için bkz . Günlük araması uyarı kuralı oluşturma.

Sanal makine durumunu denetleen sorgular

Bu sorgu, son 2 dakika içinde sinyal almamış kritik olarak işaretlenmiş sanal makineleri bulur.

    arg("").Resources
    | where type == "microsoft.compute/virtualmachines"
    | summarize LastCall = max(case(isnull(TimeGenerated), make_datetime(1970, 1, 1), TimeGenerated)) by name, id
    | extend SystemDown = case(LastCall < ago(2m), 1, 0)
    | where SystemDown == 1

Bu sorgu, 24 saatten uzun bir süre önce sinyal veren ancak son 2 dakika içinde sinyal almamış kritik olarak işaretlenmiş sanal makineleri bulur.

{
    arg("").Resources
    | where type == "microsoft.compute/virtualmachines"
    | where tags.BusinessCriticality =~ 'critical' and subscriptionId == '123-456-123-456'
    | join kind=leftouter (
    Heartbeat
    | where TimeGenerated > ago(24h)
    )
    on $left.name == $right.Resource
    | summarize LastCall = max(case(isnull(TimeGenerated), make_datetime(1970, 1, 1), TimeGenerated)) by name, id
    | extend SystemDown = case(LastCall < ago(2m), 1, 0)
    | where SystemDown == 1
}

İzlenmeleri gereken sanal makineleri filtreleyen sorgu

   {
    let RuleGroupTags = dynamic(['Linux']);
    Perf | where ObjectName == 'Processor' and CounterName == '% Idle Time' and (InstanceName in ('_Total,'total'))
    | extend CpuUtilisation = (100 - CounterValue)   
    | join kind=inner hint.remote=left (arg("").Resources
        | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags) on _ResourceId
    | project-away _ResourceId1
    | where  (tostring(tags.monitorRuleGroup) in (RuleGroupTags)) 
}

30 gün içinde süresi dolacak sertifikalara sahip kaynakları bulan sorgu

{
    arg("").Resources
    | where type == "microsoft.web/certificates"
    | extend ExpirationDate = todatetime(properties.expirationDate)
    | project ExpirationDate, name, resourceGroup, properties.expirationDate
    | where ExpirationDate < now() + 30d
    | order by ExpirationDate asc
}

Abonelikte yeni bir kaynak oluşturulduğunda uyarı veren sorgu

{
    arg("").resourcechanges
    | extend changeTime = todatetime(properties.changeAttributes.timestamp), 
    changeType = tostring(properties.changeType),targetResourceType = tostring(properties.targetResourceType),
    changedBy = tostring(properties.changeAttributes.changedBy),
    createdResource = tostring(properties.targetResourceId)
    | where changeType == "Create" and changeTime <ago(1h)
    | project changeTime,createdResource,changedBy

}

Sonraki adımlar

• Günlük araması uyarı kuralı oluşturma hakkında daha fazla bilgi edinin
• Günlük araması uyarı sorgularını iyileştirmeyi öğrenin