Rychlý start: Vytváření upozornění pomocí Azure Resource Graphu a Log Analytics
Článek
V tomto rychlém startu se dozvíte, jak pomocí Azure Log Analytics vytvářet upozornění na dotazy Azure Resource Graphu. Upozornění můžete vytvářet pomocí dotazů Azure Resource Graphu, pracovního prostoru služby Log Analytics a spravovaných identit. Podmínky výstrahy odesílají oznámení v zadaném intervalu.
Pomocí dotazů můžete nastavit výstrahy pro nasazené prostředky Azure. Dotazy můžete vytvářet pomocí tabulek Azure Resource Graphu nebo zkombinovat tabulky Azure Resource Graphu a data Log Analytics z protokolů služby Azure Monitor.
V příkladech tohoto článku vytvořte prostředky ve stejné skupině prostředků a použijte stejnou oblast, jako je USA – západ 3. Příklady v tomto článku spouštějí dotazy a vytvářejí výstrahy pro prostředky Azure v jednom tenantovi Azure. Clustery Azure Data Exploreru jsou mimo rozsah tohoto článku.
Tento článek obsahuje dva příklady upozornění:
Azure Resource Graph: Pomocí tabulky Azure Resource GraphResources vytvoří dotaz, který načte data pro nasazené prostředky Azure a vytvoří upozornění.
Azure Resource Graph a Log Analytics: Používá tabulku Azure Resource Graph Resources a data Log Analytics z tabulky protokolů Heartbeat služby Azure Monitor. V tomto příkladu se pomocí virtuálního počítače ukáže, jak nastavit dotaz a upozornění.
Poznámka:
Integrace upozornění Azure Resource Graphu se službou Log Analytics je ve verzi Public Preview.
Požadavky
Pokud nemáte účet Azure, vytvořte si bezplatný účet před tím, než začnete.
Prostředky nasazené v Azure, jako jsou virtuální počítače nebo účty úložiště.
Pokud chcete použít příklad pro dotaz Azure Resource Graph a Log Analytics, potřebujete alespoň jeden virtuální počítač Azure s agentem služby Azure Monitor.
Vytvoření pracovního prostoru
Vytvořte pracovní prostor služby Log Analytics v monitorovaném předplatném.
Nemusíte vytvářet virtuální počítač pro příklad, který používá tabulku Azure Resource Graphu.
Poznámka:
Tato část je volitelná, pokud máte existující virtuální počítače nebo víte, jak vytvořit virtuální počítač. V tomto příkladu se pomocí virtuálního počítače ukáže, jak vytvořit dotaz pomocí tabulky Azure Resource Graphu a dat Log Analytics.
Informace o protokolu získáte tak, že když připojíte virtuální počítač k pracovnímu prostoru služby Log Analytics, nainstaluje se na virtuální počítač agent Azure Monitor. Pokud nemáte virtuální počítač, můžete si ho v tomto příkladu vytvořit. Abyste se vyhnuli zbytečným nákladům, odstraňte virtuální počítač po dokončení příkladu.
Následující pokyny jsou základní nastavení pro virtuální počítač s Linuxem. Podrobný postup vytvoření virtuálního počítače je mimo rozsah tohoto článku. Vaše organizace může pro virtuální počítače vyžadovat jiné nastavení zabezpečení nebo sítě.
Z možnosti Vytvořit virtuální počítač můžete přijmout výchozí nastavení s následujícími výjimkami:
Základy
Skupina prostředků: demo-arg-alert-rg
název virtuálního počítače: Zadejte název virtuálního počítače, například demovm01.
Možnosti dostupnosti: Nevyžaduje se žádná redundance infrastruktury
Velikost: Standard_B1s
Účet správce: Musíte vytvořit přihlašovací údaje, ale v tomto příkladu se nemusíte přihlašovat:
Typ ověřování: Veřejný klíč SSH
Uživatelské jméno: Vytvoření uživatelského jména
Zdroj veřejného klíče SSH: Vygenerování nového páru klíčů
Název páru klíčů: Přijmout výchozí název
Veřejné příchozí porty: Žádné
Disky
Ověřte, že je vybráno odstranění s virtuálním počítačem .
Sítě
Veřejná IP adresa: Žádná
Po odstranění virtuálního počítače vyberte Odstranit síťovou kartu.
Správa
Vyberte Povolit automatické vypnutí.
Vyberte čas vypnutí ve vašem časovém pásmu.
Pokud chcete oznámení o vypnutí, přidejte svoji e-mailovou adresu.
Monitorování, pokročilé a značky
V tomto příkladu nejsou potřeba žádné změny.
Vyberte Zkontrolovat a vytvořit a pak Vytvořit.
Zobrazí se výzva k vygenerování nové dvojice klíčů. Vyberte Stáhnout privátní klíč a vytvořit prostředek. Až budete s virtuálním počítačem hotovi, odstraňte ze svého počítače soubor privátního klíče.
Po nasazení virtuálního počítače vyberte Přejít k prostředku .
Poznámka:
Tato část je volitelná, pokud víte, jak připojit virtuální počítač k pracovnímu prostoru služby Log Analytics a agentu Azure Monitoru.
Nastavte pravidlo shromažďování dat pro monitorování virtuálního počítače.
Do vyhledávacího pole Azure zadejte pravidla shromažďování dat a vyberte pravidla shromažďování dat.
Vyberte Vytvořit:
Název pravidla: Zadejte název, například demo-data-collection-rule.
Předplatné: Vyberte předplatné.
Skupina prostředků: Vyberte demo-arg-alert-rg.
Oblast: USA – západ 3.
Typ platformy: Vyberte vše.
Vybrat další: Prostředky:
Vyberte Přidat prostředky.
Předplatné: Vyberte předplatné.
Obor: Vyberte skupinu prostředků a název virtuálního počítače.
Vyberte Použít.
Vyberte Další: Shromažďování a doručování:
Vyberte Přidat zdroj dat.
Typ zdroje dat: Vyberte čítače výkonu.
Vyberte Další: Cíl a Přidat cíl:
Typ cíle: Protokoly služby Azure Monitor.
Předplatné: Vyberte předplatné.
Účet nebo obor názvů: Vyberte pracovní prostor služby Log Analytics, demo-arg-alert-workspace.
Vyberte Přidat zdroj dat.
Vyberte Zkontrolovat a vytvořit a pak Vytvořit.
Po dokončení nasazení vyberte Přejít k prostředku .
Ověřte, že je pro virtuální počítač nakonfigurované monitorování:
Přejděte do pravidla shromažďování dat a zkontrolujte konfiguraci:
Zdroje dat: Zobrazuje čítače výkonu zdroje dat a cílové protokoly služby Azure Monitor.
Prostředky: Zobrazuje virtuální počítač, skupinu prostředků a předplatné.
Přejděte do pracovního prostoru služby Log Analytics demo-arg-alert-workspace. Vyberte Servery Agenti>nastavení>Pro Linux a počítač s Linuxem je připojený k agentu Azure Monitoru pro Linux. Zobrazení agenta může trvat několik minut.
Přejděte na virtuální počítač a vyberte Rozšíření nastavení>a aplikace a ověřte, že AzureMonitorLinuxAgentse zřizování úspěšně zřídilo.
V pracovním prostoru Služby Log Analytics vytvořte dotaz Azure Resource Graphu, abyste získali počet prostředků Azure. V tomto příkladu se používá tabulka Azure Resource Graph Resources .
Na levé straně stránky pracovního prostoru služby Log Analytics vyberte Protokoly. Zavřete okno Dotazy , pokud se zobrazí.
V novém dotazu použijte následující kód:
arg("").Resources
| count
Názvy tabulek v Log Analytics musí být velbloudí písmena s prvním písmenem každého slova s velkými písmeny, například Resources nebo ResourceContainers. Můžete také použít malá písmena jako resources nebo resourcecontainers.
Vyberte Spustit.
Výsledky zobrazí počet prostředků ve vašem předplatném Azure. Poznamenejte si toto číslo, protože ho potřebujete pro podmínku pravidla upozornění. Když ručně spustíte dotaz, počet závisí na identitě uživatele a aktivovaná výstraha používá spravovanou identitu. Je možné, že se počet může lišit mezi ručním spuštěním nebo aktivovaným upozorněním.
Odeberte počet z dotazu.
arg("").Resources
V pracovním prostoru Služby Log Analytics vytvořte dotaz Azure Resource Graphu, který z virtuálního počítače získá poslední informace o prezenčních signálech. V tomto příkladu se používá tabulka Azure Resource Graph Resources a data Log Analytics z tabulky protokolů Heartbeat služby Azure Monitor.
Přejděte do pracovního prostoru Log Analytics s ukázkou arg-alert-workspace .
Na levé straně stránky pracovního prostoru služby Log Analytics vyberte Protokoly. Zavřete okno Dotazy , pokud se zobrazí.
V novém dotazu použijte následující kód:
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
Názvy tabulek v Log Analytics musí být velbloudí písmena s prvním písmenem každého slova s velkými písmeny, například Resources nebo ResourceContainers. Můžete také použít malá písmena jako resources nebo resourcecontainers.
Můžete použít jiné časové rámce pro TimeGenerated. Například místo minut, jako 15m je použití hodin jako 12h, 24h, 48h.
Vyberte Spustit.
Dotaz by měl vrátit poslední prezenční signál virtuálního počítače, stav napájení, název a ID prostředku. Pokud se nezobrazí žádné výsledky , pokračujte dalším postupem. Zpřístupnění nových konfigurací pro dotazy a výstrahy může trvat 30 minut.
V pracovním prostoru služby Log Analytics vyberte Nové pravidlo upozornění. Dotaz z pracovního prostoru služby Log Analytics se zkopíruje do pravidla upozornění. Vytvořte pravidlo upozornění s několika kartami, které je potřeba aktualizovat, aby se upozornění vytvořilo.
Obor
Ověřte, že se jako výchozí obor vztahuje váš pracovní prostor služby Log Analytics s názvem demo-arg-alert-workspace.
Pouze pokud váš obor není nastavený na výchozí, proveďte následující kroky:
Přejděte na kartu Obor a vyberte Vybrat obor.
V dolní části obrazovky Vybrané prostředky odeberte aktuální obor.
Vyberte možnost Vybrat obor.
Rozbalte ukázku arg-alert-rg ze seznamu prostředků a vyberte demo-arg-alert-workspace.
Vyberte Použít.
Vyberte Další: Podmínka.
Podmínka
Formulář obsahuje několik polí k dokončení:
Název signálu: Vlastní prohledávání protokolu
Vyhledávací dotaz: Zobrazí kód dotazu.
Pokud jste obor změnili, musíte přidat dotaz z části Vytvořit dotaz .
Měření
Míra: Řádky tabulky
Typ agregace: Počet
Členitost agregace: 5 minut
Logika upozornění
Operátor: Větší než
Prahová hodnota: Použijte číslo, které je menší než číslo vrácené z počtu prostředků.
Pokud byl například počet prostředků 50, použijte 45. Tato hodnota aktivuje výstrahu, která se aktivuje, když vyhodnotí vaše prostředky, protože váš počet prostředků je větší než prahová hodnota.
Frekvence vyhodnocení: 5 minut
Vyberte Další: Akce.
Akce
Vyberte Vytvořit skupinu akcí:
Předplatné: Vyberte své předplatné Azure.
Skupina prostředků: demo-arg-alert-rg
Oblast: Globální umožňuje službě skupin akcí vybrat umístění.
Název skupiny akcí: demo-arg-alert-action-group
Zobrazovaný název: demo-action (limit je 12 znaků)
Vyberte Další: Oznámení:
Typ oznámení: Vyberte e-mail/SMS zprávu/Nabízené oznámení/Hlas.
Název: e-mailová výstraha
Zaškrtněte políčko E-mail a zadejte svoji e-mailovou adresu.
Vyberte OK.
Vyberte Zkontrolovat a vytvořit, ověřte správnost souhrnu a vyberte Vytvořit. Vrátíte se na kartu Akce na stránce Vytvořit pravidlo upozornění. Název skupiny akcí zobrazuje skupinu akcí, kterou jste vytvořili. Obdržíte e-mailové oznámení s potvrzením, že jste byli přidáni do skupiny akcí.
Vyberte Další: Podrobnosti.
Detaily
Na kartě Podrobnosti použijte následující informace:
Předplatné: Vyberte své předplatné Azure.
Skupina prostředků: demo-arg-alert-rg
Závažnost: Přijměte výchozí hodnotu 3 – informativní.
Název pravidla upozornění: demo-arg-alert-rule
Popis pravidla upozornění: E-mailová výstraha pro počet prostředků Azure
Vyberte Zkontrolovat a vytvořit, ověřte správnost souhrnu a vyberte Vytvořit. Vrátíte se na stránku Protokoly pracovního prostoru služby Log Analytics.
Přiřazení role
Přiřaďte čtenáře Log Analytics spravované identitě přiřazené systémem, aby mělo oprávnění aktivovaná upozornění, která odesílají e-mailová oznámení.
V pracovním prostoru služby Log Analytics vyberte Výstrahy monitorování>. Pokud se zobrazí výzva, že vaše neuložené úpravy budou zahozeny, vyberte OK.
Vyberte pravidla upozornění.
Vyberte demo-arg-alert-rule.
Vyberte Přiřazený systém identit>nastavení:>
Stav: Zapnuto
ID objektu: Zobrazuje identifikátor GUID pro vaši podnikovou aplikaci (instanční objekt) v Microsoft Entra ID.
Oprávnění: Výběr přiřazení rolí Azure:
Ověřte, že je vybrané vaše předplatné.
Vyberte Přidat přiřazení role:
Rozsah: Předplatné
Předplatné: Vyberte název předplatného Azure.
Role: Čtenář Log Analytics
Zvolte Uložit.
Zobrazení čtečky Log Analytics na stránce přiřazení rolí Azure trvá několik minut. Výběrem možnosti Aktualizovat aktualizujte stránku.
Pomocí tlačítka Zpět v prohlížeči se vraťte k identitěa výběrem možnosti Přehled se vraťte k pravidlu upozornění. Vyberte odkaz na vaši skupinu prostředků s názvem demo-arg-alert-rg.
I když je tento článek mimo rozsah, cluster Azure Data Exploreru přidá roli Čtenář do spravované identity přiřazené systémem. Další informace potřebujete, když na konci tohoto článku vyberete propojení přiřazení rolí pro clustery Azure Data Exploreru.
V pracovním prostoru služby Log Analytics vyberte Nové pravidlo upozornění. Dotaz z pracovního prostoru služby Log Analytics se zkopíruje do pravidla upozornění. Pravidlo vytvořit upozornění obsahuje několik karet, které je potřeba aktualizovat.
Obor
Ověřte, že se jako výchozí obor vztahuje váš pracovní prostor služby Log Analytics s názvem demo-arg-alert-workspace.
Pouze pokud váš obor není nastavený na výchozí, proveďte následující kroky:
Přejděte na kartu Obor a vyberte Vybrat obor.
V dolní části obrazovky Vybrané prostředky odstraňte aktuální obor.
Rozbalte ukázku arg-alert-rg ze seznamu prostředků a vyberte demo-arg-alert-workspace.
Vyberte Použít.
Vyberte Další: Podmínka.
Podmínka
Formulář obsahuje několik polí k dokončení:
Název signálu: Vlastní prohledávání protokolu
Vyhledávací dotaz: Zobrazí kód dotazu.
Pokud jste obor změnili, musíte přidat dotaz z části Vytvořit dotaz .
Měření
Míra: Řádky tabulky
Typ agregace: Počet
Členitost agregace: 5 minut
Logika upozornění
Operátor: Menší než
Prahová hodnota: 2
Frekvence vyhodnocení: 5 minut
Vyberte Další: Akce.
Akce
Vyberte Vytvořit skupinu akcí:
Předplatné: Vyberte své předplatné Azure.
Skupina prostředků: demo-arg-alert-rg
Oblast: Globální umožňuje službě skupin akcí vybrat umístění.
Název skupiny akcí: demo-arg-la-alert-action-group
Zobrazovaný název: demo-argla (limit je 12 znaků)
Vyberte Další: Oznámení:
Typ oznámení: Výběr e-mailu, SMS zprávy, nabízené zprávy, hlasu
Název: email-alert-arg-la
Zaškrtněte políčko E-mail a zadejte svoji e-mailovou adresu.
Vybrat ok
Vyberte Zkontrolovat a vytvořit, ověřte správnost souhrnu a vyberte Vytvořit. Vrátíte se na kartu Akce na stránce Vytvořit pravidlo upozornění. Název skupiny akcí zobrazuje skupinu akcí, kterou jste vytvořili. Obdržíte e-mailové oznámení s potvrzením, že jste byli přidáni do skupiny akcí.
Vyberte Další: Podrobnosti.
Detaily
Na kartě Podrobnosti použijte následující informace:
Předplatné: Vyberte své předplatné Azure.
Skupina prostředků: demo-arg-alert-rg
Závažnost: Vyberte 2 – upozornění.
Název pravidla upozornění: demo-arg-la-alert-rule
Popis pravidla upozornění: E-mailová výstraha pro dotaz ARG-LA virtuálního počítače Azure
Oblast: USA – západ 3
Identita: Výběr spravované identity přiřazené systémem
Vyberte Zkontrolovat a vytvořit, ověřte správnost souhrnu a vyberte Vytvořit. Vrátíte se na stránku Protokoly pracovního prostoru služby Log Analytics.
Přiřazení role
Přiřaďte čtenáře Log Analytics spravované identitě přiřazené systémem, aby mělo oprávnění aktivovaná upozornění, která odesílají e-mailová oznámení.
V pracovním prostoru služby Log Analytics vyberte Výstrahy monitorování>. Pokud se zobrazí výzva, že vaše neuložené úpravy budou zahozeny, vyberte OK.
Vyberte pravidla upozornění.
Vyberte demo-arg-la-alert-rule.
Vyberte Přiřazený systém identit>nastavení:>
Stav: Zapnuto
ID objektu: Zobrazuje identifikátor GUID pro vaši podnikovou aplikaci (instanční objekt) v Microsoft Entra ID.
Oprávnění: Výběr přiřazení rolí Azure
Ověřte, že je vybrané vaše předplatné.
Vyberte Přidat přiřazení role:
Rozsah: Předplatné
Předplatné: Vyberte název předplatného Azure.
Role: Čtenář Log Analytics
Zvolte Uložit.
Zobrazení čtečky Log Analytics na stránce přiřazení rolí Azure trvá několik minut. Výběrem možnosti Aktualizovat aktualizujte stránku.
Pomocí tlačítka Zpět v prohlížeči se vraťte k identitěa výběrem možnosti Přehled se vraťte k pravidlu upozornění. Vyberte odkaz na vaši skupinu prostředků s názvem demo-arg-alert-rg.
I když je tento článek mimo rozsah, cluster Azure Data Exploreru přidá roli Čtenář do spravované identity přiřazené systémem. Další informace potřebujete, když na konci tohoto článku vyberete propojení přiřazení rolí pro clustery Azure Data Exploreru.
Po přiřazení role k pravidlu upozornění začnete dostávat e-maily pro zprávy upozornění. Pravidlo se vytvořilo pro odesílání upozornění každých pět minut a získání první výstrahy trvá několik minut.
Upozornění můžete zobrazit také na webu Azure Portal:
Přejděte do ukázkové skupiny prostředků arg-alert-rg.
V seznamu prostředků vyberte ukázkový pracovní prostor arg-alert-workspace .
Vyberte Výstrahy monitorování>.
Zobrazí se seznam výstrah.
Po přiřazení role k pravidlu upozornění začnete dostávat e-maily pro zprávy upozornění. Pravidlo se vytvořilo pro odesílání upozornění každých pět minut a získání první výstrahy trvá několik minut.
Upozornění můžete zobrazit také na webu Azure Portal:
Přejděte do ukázkové skupiny prostředků arg-alert-rg.
Vyberte virtuální počítač.
Vyberte Výstrahy monitorování>.
Zobrazí se seznam výstrah.
V případě nové konfigurace může trvat 30 minut, než budou informace protokolu k dispozici a vytvoří výstrahy. Během této doby si můžete všimnout, že pravidlo upozornění virtuálního počítače zobrazuje výstrahy v upozorněních monitorování pracovního prostoru. Jakmile budou informace protokolu virtuálního počítače dostupné, zobrazí se výstrahy v upozorněních monitorování virtuálního počítače.
Vyčištění prostředků
Pokud chcete zachovat konfiguraci upozornění, ale zastavit aktivaci a odesílání e-mailových oznámení, můžete ji zakázat. Přejděte na pravidlo upozornění demo-arg-alert-rule nebo demo-arg-la-alert-rule a vyberte Zakázat.
Pokud toto upozornění nebo prostředky vytvořené v tomto příkladu nepotřebujete, odstraňte skupinu prostředků pomocí následujícího postupu:
Přejděte do ukázkové skupiny prostředků arg-alert-rg.
Vyberte Odstranit skupinu prostředků.
Potvrďte zadáním názvu skupiny prostředků.
Vyberte Odstranit.
Pokud jste vytvořili virtuální počítač, odstraňte privátní klíč, který jste stáhli do počítače během nasazení. Název souboru má příponu .pem .
Související obsah
Další informace o dotazovacím jazyce nebo o tom, jak prozkoumat prostředky, najdete v následujících článcích.
