Správa pravidel upozornění vytvořených v předchozích verzích
Tento článek popisuje proces správy pravidel upozornění vytvořených v předchozím uživatelském rozhraní nebo pomocí verze 2018-04-16
rozhraní API nebo starší verze. Pravidla upozornění vytvořená v nejnovějším uživatelském rozhraní se zobrazují a spravují v novém uživatelském rozhraní, jak je popsáno v tématu Vytvoření, zobrazení a správa upozornění prohledávání protokolů pomocí služby Azure Monitor.
Změny prostředí pro vytváření pravidel upozornění prohledávání protokolu
Aktuální průvodce pravidlem upozornění se liší od předchozího prostředí:
- Dříve byly výsledky hledání zahrnuty do datové části aktivované výstrahy a souvisejících oznámení. E-mail obsahoval pouze 10 řádků z nefiltrovaných výsledků, zatímco datová část webhooku obsahovala 1 000 nefiltrovaných výsledků. Pokud chcete získat podrobné informace o kontextu výstrahy, abyste se mohli rozhodnout o příslušné akci:
- Doporučujeme používat dimenze. Dimenze poskytují hodnotu sloupce, která aktivovala výstrahu, což vám poskytne kontext, proč se upozornění aktivovalo a jak problém opravit.
- Pokud potřebujete prozkoumat protokoly, použijte odkaz v upozornění na výsledky hledání v protokolech.
- Pokud potřebujete nezpracované výsledky hledání nebo jiné pokročilé přizpůsobení, použijte Azure Logic Apps.
- Nový průvodce pravidly upozornění nepodporuje kustomizace datové části JSON.
- Pomocí vlastních vlastností v novém rozhraní API můžete přidat statické parametry a související hodnoty do akcí webhooků aktivovaných tímto upozorněním.
- Pokud chcete pokročilejší přizpůsobení, použijte Azure Logic Apps.
- Nový průvodce pravidly upozornění nepodporuje kustomizace předmětu e-mailu.
- Zákazníci často využívají vlastní předmět e-mailu k označení prostředku, pro který bylo upozornění aktivováno (namísto použití pracovního prostoru služby Log Analytics). Pomocí nového rozhraní API aktivujte upozornění na požadovaný prostředek pomocí sloupce ID prostředku.
- Pokud chcete pokročilejší přizpůsobení, použijte Azure Logic Apps.
Správa pravidel upozornění vytvořených v předchozích verzích na webu Azure Portal
Na webu Azure Portal vyberte požadovaný prostředek.
V části Monitorování vyberte Upozornění.
Na horním panelu vyberte pravidla upozornění.
Vyberte pravidlo upozornění, které chcete upravit.
V části Podmínka vyberte podmínku.
Otevře se podokno Konfigurovat logiku signálů s historickými daty pro dotaz, který se zobrazí jako graf. Časový rozsah grafu můžete změnit tak, aby zobrazoval data z posledních šesti hodin na minulý týden. Pokud výsledky dotazu obsahují souhrnná data nebo konkrétní sloupce bez časového sloupce, zobrazí se v grafu jedna hodnota.
Pomocí těchto částí upravte podmínky pravidla upozornění:
Vyhledávací dotaz: V této části můžete upravit svůj dotaz.
Logika upozornění: Upozornění prohledávání protokolů můžou být založená na dvou typech měr:
- Počet výsledků: Počet záznamů vrácených dotazem
- Měření metriky: Agregační hodnota se počítá pomocí
summarize
seskupených podle zvolených výrazů a výběru intervalů . Příklad:// Reported errors union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records | where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Pro logiku upozornění měření metrik můžete určit, jak rozdělit výstrahy podle dimenzí pomocí možnosti Agregovat podle. Výraz seskupení řádků musí být jedinečný a seřazený.
Funkce bin() může vést k nerovnoměrným časovým intervalům, takže služba upozornění automaticky převede funkci bin() na funkci binat() s odpovídajícím časem za běhu, aby se zajistily výsledky s pevným bodem.
Poznámka:
Možnost Rozdělit podle dimenzí výstrah je dostupná pouze pro aktuální plánované rozhraní APIQueryRules. Pokud používáte starší verzi rozhraní LOG Analytics Alert API, budete muset přepnout. Přečtěte si další informace o přepínání. Upozorňování na prostředky ve velkém měřítku se podporuje pouze ve verzi
2021-08-01
rozhraní API a novějších verzích.Období: Zvolte časový rozsah, ve kterém chcete vyhodnotit zadanou podmínku pomocí možnosti Období .
Po dokončení úprav podmínek vyberte Hotovo.
Pomocí dat náhledu nastavte operátor, prahovou hodnotu a frekvenci.
Nastavte počet porušení, která mají aktivovat výstrahu pomocí celkových nebo po sobě jdoucích porušení.
Vyberte Hotovo.
Můžete upravit popis a závažnost pravidla. Tyto podrobnosti se používají ve všech akcích upozornění. Můžete se také rozhodnout, že se při vytváření neaktivuje pravidlo upozornění výběrem možnosti Povolit pravidlo při vytváření.
Pokud chcete potlačit akce pravidla po určitou dobu po spuštění výstrahy, použijte možnost Potlačit upozornění. Pravidlo se bude dál spouštět a vytvářet výstrahy, ale akce se neaktivují, aby se zabránilo šumu. Hodnota ztlumení akcí musí být větší než frekvence výstrahy, aby byla efektivní.
Pokud chcete nastavit stav výstrah, vyberte Automaticky vyřešit výstrahy (Preview).
Určete, jestli má pravidlo upozornění aktivovat jednu nebo více skupin akcí při splnění podmínky upozornění. Omezení akcí, které je možné provést, najdete v tématu Omezení služby Azure Monitor.
(Volitelné) Přizpůsobení akcí v pravidlech upozornění prohledávání protokolu:
- Vlastní předmět e-mailu: Přepíše předmět e-mailu akcí e-mailu. Text e-mailu nemůžete upravit a toto pole není určené pro e-mailové adresy.
- Zahrnout vlastní datovou část JSON pro webhook: Přepíše json webhooku používaný skupinami akcí za předpokladu, že skupina akcí obsahuje akci webhooku. Přečtěte si další informace o akcích webhooku pro upozornění prohledávání protokolu.
Po dokončení úprav všech možností pravidla upozornění vyberte Uložit.
Správa upozornění prohledávání protokolů pomocí PowerShellu
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Ke správě pravidel pomocí rozhraní API pravidel naplánovaných dotazů použijte následující rutiny PowerShellu:
- New-AzScheduledQueryRule: Rutina PowerShellu pro vytvoření nového pravidla upozornění prohledávání protokolu
- Set-AzScheduledQueryRule: Rutina PowerShellu pro aktualizaci existujícího pravidla upozornění prohledávání protokolu
- New-AzScheduledQueryRuleSource: Rutina PowerShellu pro vytvoření nebo aktualizaci objektu, který určuje zdrojové parametry pro upozornění prohledávání protokolu. Používá se jako vstup rutiny New-AzScheduledQueryRule a Set-AzScheduledQueryRule .
- New-AzScheduledQueryRuleSchedule: Rutina PowerShellu pro vytvoření nebo aktualizaci objektu, který určuje parametry plánu pro upozornění prohledávání protokolu. Používá se jako vstup rutiny New-AzScheduledQueryRule a Set-AzScheduledQueryRule .
- New-AzScheduledQueryRuleAlertingAction: Rutina PowerShellu pro vytvoření nebo aktualizaci objektu, který určuje parametry akce pro upozornění prohledávání protokolu. Používá se jako vstup rutiny New-AzScheduledQueryRule a Set-AzScheduledQueryRule .
- New-AzScheduledQueryRuleAznsActionGroup: Rutina PowerShellu pro vytvoření nebo aktualizaci objektu, který určuje parametry skupiny akcí pro upozornění prohledávání protokolu. Používá se jako vstup rutinou New-AzScheduledQueryRuleAlertingAction .
- New-AzScheduledQueryRuleTriggerCondition: Rutina PowerShellu pro vytvoření nebo aktualizaci objektu, který určuje parametry podmínky triggeru pro upozornění prohledávání protokolu. Používá se jako vstup rutinou New-AzScheduledQueryRuleAlertingAction .
- New-AzScheduledQueryRuleLogMetricTrigger: Rutina PowerShellu pro vytvoření nebo aktualizaci objektu, který určuje parametry podmínky triggeru metriky pro upozornění prohledávání protokolu měření metriky. Používá se jako vstup rutinou New-AzScheduledQueryRuleTriggerCondition .
- Get-AzScheduledQueryRule: Rutina PowerShellu pro výpis existujících pravidel upozornění prohledávání protokolů nebo konkrétní pravidlo upozornění prohledávání protokolu
- Update-AzScheduledQueryRule: Rutina PowerShellu pro povolení nebo zakázání pravidla upozornění prohledávání protokolu
- Remove-AzScheduledQueryRule: Rutina PowerShellu pro odstranění existujícího pravidla upozornění prohledávání protokolu
Poznámka:
Rutiny ScheduledQueryRules
PowerShellu můžou spravovat pouze pravidla vytvořená v této verzi rozhraní API pravidel naplánovaných dotazů. Pravidla upozornění prohledávání protokolů vytvořená pomocí starší verze rozhraní API upozornění Log Analytics je možné spravovat pouze pomocí PowerShellu po přepnutí na rozhraní API pravidel naplánovaných dotazů.
Příklad postupu vytvoření pravidla upozornění prohledávání protokolu pomocí PowerShellu:
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"
Příklad postupu vytvoření pravidla upozornění prohledávání protokolu pomocí PowerShellu s dotazy mezi prostředky:
$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"
Upozornění prohledávání protokolu můžete vytvořit také pomocí šablony a souborů parametrů pomocí PowerShellu:
Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
-TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json
Další kroky
- Seznamte se s upozorněními prohledávání protokolů.
- Vytváření upozornění prohledávání protokolů pomocí šablon Azure Resource Manageru
- Seznamte se s akcemi webhooku pro upozornění prohledávání protokolu.
- Přečtěte si další informace o dotazech protokolu.