教學課程:為 Azure 資源建立記錄搜尋警示
在監視資料中發現重大狀況時,Azure 監視器會主動通知您。 記錄搜尋警示規則會在記錄查詢傳回特定結果時建立警示。 例如,在虛擬機器上建立特定事件時收到警示,或在對儲存體帳戶提出過多匿名要求時傳送警告。
在本教學課程中,您會了解如何:
- 存取預先建置的記錄查詢,其設計目的是支援不同類型的資源的警示規則
- 建立記錄搜尋警示規則
- 建立動作群組以定義通知詳細資料
必要條件
若要完成此教學課程,您需要下列內容:
- 要監視的 Azure 資源。 您可以使用 Azure 訂用帳戶中支援診斷設定的任何資源。 若要判斷資源是否支援診斷設定,請移至 Azure 入口網站中的功能表,並確認功能表的 [監視] 區段中有 [診斷設定] 選項。
如果您使用虛擬機器以外的任何 Azure 資源:
- 將資源記錄從 Azure 資源傳送至 Log Analytics 工作區的診斷設定。 請參閱教學課程:在 Azure 監視器中建立 Log Analytics 工作區。
如果您使用 Azure 虛擬機器:
- 將來賓記錄和計量傳送至 Log Analytics 工作區的資料收集規則。 請參閱教學課程:從 Azure 虛擬機器收集來賓記錄和計量。
選取記錄查詢並驗證結果
您可使用以 Kusto 查詢語言 (KQL) 撰寫的記錄查詢,從 Log Analytics 工作區中取出資料。 Azure 監視器中的深入解析和解決方案會提供記錄查詢來取出特定服務的資料,但您可以透過 Log Analytics,直接在 Azure 入口網站中使用記錄查詢及其結果。
從資源功能表選取記錄。 Log Analytics 隨即開啟,其中的 [查詢] 視窗包含您的 [資源類型] 的預先建置查詢。 選取 [警示] 以檢視針對警示規則設計的查詢。
注意
如果 [查詢] 視窗未開啟,請按一下右上方的 [查詢]。
選取查詢,然後按一下 [執行] 以在查詢編輯器中載入查詢並傳回結果。 您可能想要修改查詢,然後再執行一次。 例如,儲存體帳戶的顯示匿名要求查詢顯示在下列螢幕擷取畫面中。 您可能想要修改 AuthenticationType 或篩選不同資料行。
建立警示規則
驗證查詢之後,您可以建立警示規則。 選取 [新增警示規則],以根據目前的記錄查詢建立新的警示規則。 [範圍] 已設定為目前的資源。 您不需要變更此值。
設定條件
[條件] 索引標籤上已填入記錄查詢。 [度量] 區段會定義如何測量記錄查詢的記錄。 如果查詢未執行摘要,則唯一的選項是計算資料表資料列的數目。 如果查詢包含一或多個摘要資料行,則您可以選擇使用資料表資料列的數目,或根據任何摘要資料行計算。 彙總細微性會定義彙總所收集值的時間間隔。 例如,如果彙總粒度設定為 5 分鐘,則警示規則會評估過去 5 分鐘彙總的資料。 如果彙總粒度設定為 15 分鐘,則警示規則會評估過去 15 分鐘內彙總的資料。 請務必為您的警示規則選擇正確的彙總粒度,因為其可能會影響警示的正確性。
注意
記錄警示規則屬性中所有資料的大小總和不可超過 64 KB。 原因可能是維度太多、查詢太大、動作群組太多或描述過長。 建立大型警示規則時,請記得將這些區域最佳化。
設定維度
依維度分割可讓您為不同的資源建立個別警示。 當您建立適用於多個資源的警示規則時,此設定很有用。 將範圍設定為單一資源時,通常不會使用此設定。
如果您需要在警示通知電子郵件中包含特定維度,您可以指定維度 (例如「電腦」),警示通知電子郵件將會包含觸發警示的電腦名稱。 警示引擎會使用警示查詢來判斷可用的維度。 如果您在 [維度名稱] 下拉式清單中看不到您想要的維度,這是因為警示查詢不會在結果中顯示該資料行。 您可以藉由將「專案」行新增至包含您想使用之資料行的查詢,輕鬆地新增您想要的維度。 您也可以使用「摘要」行,將更多資料行新增至查詢結果。
![顯示警示規則維度的螢幕擷取畫面,其中具有稱為 [電腦] 集合的維度。](media/tutorial-log-alert/alert-rule-condition-2.png#lightbox)
設定警示邏輯
在警示邏輯中,設定 [運算子] 和 [閾值],以與從度量傳回的值進行比較。 當此值為 true 時,就會建立警示。 針對 [評估頻率] 選取值,其會定義執行和評估記錄查詢的頻率。 警示規則的成本會以較低的頻率增加。 選取頻率時,除了一段期間的查詢結果預覽之外,還會顯示預估的每月成本。
例如,如果度量是資料表資料列,警示邏輯可以是大於 0,表示至少傳回一筆記錄。 如果度量是資料行值,則邏輯可能必須大於或小於特定閾值。 在下列範例中,記錄查詢會尋找對儲存體帳戶的匿名要求。 如果已提出匿名要求,則我們應該觸發警示。 在此情況下,傳回的單一資料列會觸發警示,因此警示邏輯應大於 0。
設定動作
動作群組會定義觸發警示時要採取的一組動作,例如傳送電子郵件或簡訊。
若要設定動作,請選取 [動作] 索引標籤。
![顯示醒目提示 [動作] 索引標籤的螢幕擷取畫面。](../../includes/media/azure-monitor-tutorial-action-group/actions.png#lightbox)
按一下 [選取動作群組] 以將一個群組新增至警示規則。
![顯示 [選取動作群組] 按鈕的螢幕擷取畫面。](../../includes/media/azure-monitor-tutorial-action-group/select-action-groups.png#lightbox)
如果您的訂用帳戶中還沒有可選取的動作群組,請按一下 [建立動作群組] 來建立新的動作群組。
選取動作群組的 [訂用帳戶] 和 [資源群組],並為其指定將顯示在入口網站中的 [動作群組名稱],以及將顯示在電子郵件和 SMS 通知中的 [顯示名稱]。
選取 [通知] 索引標籤,並新增一或多個方法,以在觸發警示時通知適當的人員。
設定詳細資料
選取 [詳細資料] 索引標籤,並設定警示規則的不同設定。
- 警示規則名稱應該為描述性,因為其會在觸發警示時顯示。
- 選擇性地提供警示詳細資料中包含的警示規則描述。
- 將儲存警示規則的訂用帳戶和資源群組。 這不需要與您監視的資源位於相同的資源群組中。
- 警示規則的嚴重性。 嚴重性可讓您將具有類似相對重要性的警示分組。 錯誤嚴重性適用於沒有回應的虛擬機器。
- 在 [進階選項] 底下,保持勾選 [建立時啟用] 核取方塊。
- 在 [進階選項] 底下,保持勾選 [自動解決警示] 核取方塊。 這會使警示成為「具狀態」,也就是說,當條件不再符合後就會解決警示。
按一下 [建立警示規則] 以建立警示規則。
檢視警示
觸發警示時,警示會將任何通知傳送至其動作群組。 您也可以在 Azure 入口網站中檢視警示。
從資源的功能表選取 [警示]。 如果資源有任何開啟的警示,則會包含在檢視中。
按一下嚴重性以顯示具有該嚴重性的警示。 選取 [使用者回應] 並取消選取 [已關閉] 以僅檢視開啟的警示。
![顯示 [使用者] 回應篩選的螢幕擷取畫面。](../../includes/media/azure-monitor-tutorial-view-alert/user-response.png#lightbox)
按一下警示的名稱可檢視其詳細資料。
下一步
現在您已了解如何建立 Azure 資源的記錄搜尋警示,請查看活頁簿以了解如何建立監視資料的互動式視覺效果。