Správa pravidel upozornění vytvořených v předchozích verzích

Tento článek popisuje proces správy pravidel upozornění vytvořených v předchozím uživatelském rozhraní nebo pomocí verze 2018-04-16 rozhraní API nebo starší verze. Pravidla upozornění vytvořená v nejnovějším uživatelském rozhraní se zobrazují a spravují v novém uživatelském rozhraní, jak je popsáno v tématu Vytvoření, zobrazení a správa upozornění prohledávání protokolů pomocí služby Azure Monitor.

Změny prostředí pro vytváření pravidel upozornění prohledávání protokolu

Aktuální průvodce pravidlem upozornění se liší od předchozího prostředí:

  • Dříve byly výsledky hledání zahrnuty do datové části aktivované výstrahy a souvisejících oznámení. E-mail obsahoval pouze 10 řádků z nefiltrovaných výsledků, zatímco datová část webhooku obsahovala 1 000 nefiltrovaných výsledků. Pokud chcete získat podrobné informace o kontextu výstrahy, abyste se mohli rozhodnout o příslušné akci:
    • Doporučujeme používat dimenze. Dimenze poskytují hodnotu sloupce, která aktivovala výstrahu, což vám poskytne kontext, proč se upozornění aktivovalo a jak problém opravit.
    • Pokud potřebujete prozkoumat protokoly, použijte odkaz v upozornění na výsledky hledání v protokolech.
    • Pokud potřebujete nezpracované výsledky hledání nebo jiné pokročilé přizpůsobení, použijte Azure Logic Apps.
  • Nový průvodce pravidly upozornění nepodporuje kustomizace datové části JSON.
    • Pomocí vlastních vlastností v novém rozhraní API můžete přidat statické parametry a související hodnoty do akcí webhooků aktivovaných tímto upozorněním.
    • Pokud chcete pokročilejší přizpůsobení, použijte Azure Logic Apps.
  • Nový průvodce pravidly upozornění nepodporuje kustomizace předmětu e-mailu.
    • Zákazníci často využívají vlastní předmět e-mailu k označení prostředku, pro který bylo upozornění aktivováno (namísto použití pracovního prostoru služby Log Analytics). Pomocí nového rozhraní API aktivujte upozornění na požadovaný prostředek pomocí sloupce ID prostředku.
    • Pokud chcete pokročilejší přizpůsobení, použijte Azure Logic Apps.

Správa pravidel upozornění vytvořených v předchozích verzích na webu Azure Portal

  1. Na webu Azure Portal vyberte požadovaný prostředek.

  2. V části Monitorování vyberte Upozornění.

  3. Na horním panelu vyberte pravidla upozornění.

  4. Vyberte pravidlo upozornění, které chcete upravit.

  5. V části Podmínka vyberte podmínku.

  6. Otevře se podokno Konfigurovat logiku signálů s historickými daty pro dotaz, který se zobrazí jako graf. Časový rozsah grafu můžete změnit tak, aby zobrazoval data z posledních šesti hodin na minulý týden. Pokud výsledky dotazu obsahují souhrnná data nebo konkrétní sloupce bez časového sloupce, zobrazí se v grafu jedna hodnota.

    Snímek obrazovky znázorňující podokno Konfigurace logiky signálu

  7. Pomocí těchto částí upravte podmínky pravidla upozornění:

    • Vyhledávací dotaz: V této části můžete upravit svůj dotaz.

    • Logika upozornění: Upozornění prohledávání protokolů můžou být založená na dvou typech měr:

      1. Počet výsledků: Počet záznamů vrácených dotazem
      2. Měření metriky: Agregační hodnota se počítá pomocí summarize seskupených podle zvolených výrazů a výběru intervalů . Příklad:
        // Reported errors
        union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records
        | where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records
        or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records
        | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
        

      Pro logiku upozornění měření metrik můžete určit, jak rozdělit výstrahy podle dimenzí pomocí možnosti Agregovat podle. Výraz seskupení řádků musí být jedinečný a seřazený.

      Funkce bin() může vést k nerovnoměrným časovým intervalům, takže služba upozornění automaticky převede funkci bin() na funkci binat() s odpovídajícím časem za běhu, aby se zajistily výsledky s pevným bodem.

      Poznámka:

      Možnost Rozdělit podle dimenzí výstrah je dostupná pouze pro aktuální plánované rozhraní APIQueryRules. Pokud používáte starší verzi rozhraní LOG Analytics Alert API, budete muset přepnout. Přečtěte si další informace o přepínání. Upozorňování na prostředky ve velkém měřítku se podporuje pouze ve verzi 2021-08-01 rozhraní API a novějších verzích.

      Snímek obrazovky znázorňující agregaci

    • Období: Zvolte časový rozsah, ve kterém chcete vyhodnotit zadanou podmínku pomocí možnosti Období .

  8. Po dokončení úprav podmínek vyberte Hotovo.

  9. Pomocí dat náhledu nastavte operátor, prahovou hodnotu a frekvenci.

  10. Nastavte počet porušení, která mají aktivovat výstrahu pomocí celkových nebo po sobě jdoucích porušení.

  11. Vyberte Hotovo.

  12. Můžete upravit popis a závažnost pravidla. Tyto podrobnosti se používají ve všech akcích upozornění. Můžete se také rozhodnout, že se při vytváření neaktivuje pravidlo upozornění výběrem možnosti Povolit pravidlo při vytváření.

  13. Pokud chcete potlačit akce pravidla po určitou dobu po spuštění výstrahy, použijte možnost Potlačit upozornění. Pravidlo se bude dál spouštět a vytvářet výstrahy, ale akce se neaktivují, aby se zabránilo šumu. Hodnota ztlumení akcí musí být větší než frekvence výstrahy, aby byla efektivní.

    Snímek obrazovky s podoknem Podrobnosti výstrahy

  14. Pokud chcete nastavit stav výstrah, vyberte Automaticky vyřešit výstrahy (Preview).

  15. Určete, jestli má pravidlo upozornění aktivovat jednu nebo více skupin akcí při splnění podmínky upozornění. Omezení akcí, které je možné provést, najdete v tématu Omezení služby Azure Monitor.

  16. (Volitelné) Přizpůsobení akcí v pravidlech upozornění prohledávání protokolu:

    • Vlastní předmět e-mailu: Přepíše předmět e-mailu akcí e-mailu. Text e-mailu nemůžete upravit a toto pole není určené pro e-mailové adresy.
    • Zahrnout vlastní datovou část JSON pro webhook: Přepíše json webhooku používaný skupinami akcí za předpokladu, že skupina akcí obsahuje akci webhooku. Přečtěte si další informace o akcích webhooku pro upozornění prohledávání protokolu.

    Snímek obrazovky znázorňující přepsání akcí pro upozornění prohledávání protokolu

  17. Po dokončení úprav všech možností pravidla upozornění vyberte Uložit.

Správa upozornění prohledávání protokolů pomocí PowerShellu

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Ke správě pravidel pomocí rozhraní API pravidel naplánovaných dotazů použijte následující rutiny PowerShellu:

Poznámka:

Rutiny ScheduledQueryRules PowerShellu můžou spravovat pouze pravidla vytvořená v této verzi rozhraní API pravidel naplánovaných dotazů. Pravidla upozornění prohledávání protokolů vytvořená pomocí starší verze rozhraní API upozornění Log Analytics je možné spravovat pouze pomocí PowerShellu po přepnutí na rozhraní API pravidel naplánovaných dotazů.

Příklad postupu vytvoření pravidla upozornění prohledávání protokolu pomocí PowerShellu:

$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"

Příklad postupu vytvoření pravidla upozornění prohledávání protokolu pomocí PowerShellu s dotazy mezi prostředky:

$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name" 

Upozornění prohledávání protokolu můžete vytvořit také pomocí šablony a souborů parametrů pomocí PowerShellu:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
  -TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json

Další kroky