Démarrage rapide : Créer des alertes avec Azure Resource Graph et Log Analytics

Dans ce guide de démarrage rapide, vous apprenez à utiliser Azure Log Analytics pour créer des alertes sur des requêtes Azure Resource Graph. Vous pouvez créer des alertes avec une requête Azure Resource Graph, un espace de travail Log Analytics et des identités managées. Les conditions de l’alerte envoient des notifications à un intervalle spécifié.

Vous pouvez utiliser des requêtes afin de configurer des alertes pour vos ressources Azure déployées. Vous pouvez créer des requêtes avec des tables Azure Resource Graph, ou combiner des tables Azure Resource Graph et des données Log Analytics des journaux Azure Monitor.

Dans les exemples de cet article, créez des ressources dans le même groupe de ressources et utilisez la même région, comme USA Ouest 3. Les exemples de cet article exécutent des requêtes et créent des alertes pour les ressources Azure dans un seul locataire Azure. Les clusters Azure Data Explorer ne sont pas couverts par cet article.

Cet article comprend deux exemples d’alerte :

  • Azure Resource Graph : utilise la table Resources Azure Resource Graph pour créer une requête qui obtient des données pour vos ressources Azure déployées et créer une alerte.
  • Azure Resource Graph et Log Analytics : utilise la table Resources Azure Resource Graph et les données Log Analytics de la table Heartbeat des journaux Azure Monitor. Cet exemple utilise une machine virtuelle pour montrer comment configurer la requête et l’alerte.

Remarque

L’intégration d’alertes Azure Resource Graph à Log Analytics est en préversion publique.

Prérequis

  • Si vous ne disposez pas d’un compte Azure, créez-en un gratuitement avant de commencer.
  • Ressources déployées dans Azure, comme les machines virtuelles ou les comptes de stockage.
  • Pour utiliser l’exemple de requête Azure Resource Graph et Log Analytics, vous avez besoin d’au moins une machine virtuelle Azure avec l’agent Azure Monitor.

Créer un espace de travail

Créez un espace de travail Log Analytics dans l’abonnement monitoré.

  1. Connectez-vous au portail Azure.

  2. Dans le champ de recherche, tapez Espaces de travail Log Analytics, puis sélectionnez Espaces de travail Log Analytics.

    Si vous avez utilisé des espaces de travail Log Analytics, vous pouvez les sélectionner dans Services Azure.

    Capture d’écran de la page d’accueil Azure qui met en évidence le champ de recherche et les espaces de travail Log Analytics.

  3. Sélectionnez Créer :

    • Abonnement : sélectionnez votre abonnement Azure
    • Groupe de ressources : demo-arg-alert-rg
    • Nom : demo-arg-alert-workspace
    • Région : USA Ouest 3
      • Vous pouvez sélectionner une autre région, mais utiliser la même région pour d’autres ressources.
  4. Sélectionnez Vérifier + créer et attendez que le message Validation réussie s’affiche.

  5. Sélectionnez Créer pour commencer le déploiement.

  6. Sélectionnez Accéder à la ressource une fois le déploiement terminé.

Créer une machine virtuelle

Vous n’avez pas besoin de créer de machine virtuelle pour l’exemple qui utilise la table Azure Resource Graph.

Créer une requête

À partir de l’espace de travail Log Analytics, créez une requête Azure Resource Graph pour obtenir le nombre de vos ressources Azure. Cet exemple utilise la table Azure Resource Graph Resources.

  1. Sélectionnez Journaux à gauche de la page Espace de travail Log Analytics. Fermez la fenêtre Requêtes si elle est affichée.

  2. Utilisez le code suivant dans la nouvelle requête :

    arg("").Resources
    | count
    

    Les noms de table dans Log Analytics doivent être en casse mixte, c’est-à-dire que la première lettre de chaque mot doit être en majuscule, par exemple, Resources ou ResourceContainers. Vous pouvez également utiliser des minuscules, par exemple, resources ou resourcecontainers.

    Capture d’écran de l’espace de travail Log Analytics avec une requête de la table Ressources qui met en évidence les journaux et le bouton Exécuter.

  3. Sélectionnez Exécuter.

    Le champ Résultats affiche le Nombre de ressources dans votre abonnement Azure. Notez ce nombre, car vous en avez besoin pour la condition de la règle d’alerte. Quand vous exécutez manuellement la requête, le nombre est basé sur l’identité de l’utilisateur, alors qu’une alerte déclenchée utilise une identité managée. Il est possible que le nombre varie selon que vous utilisez une exécution manuelle ou une alerte déclenchée.

  4. Supprimez le nombre de votre requête.

    arg("").Resources
    

Créer une règle d’alerte

Dans l’espace de travail Log Analytics, sélectionnez Nouvelle règle d’alerte. La requête de votre espace de travail Log Analytics est copiée dans la règle d’alerte. La page Créer une règle d’alerte a plusieurs onglets qui doivent être mis à jour pour créer l’alerte.

Capture d’écran de la page de l’espace de travail Log Analytics qui met en évidence une nouvelle règle d’alerte.

Étendue

Vérifiez que l’étendue est définie par défaut sur votre espace de travail Log Analytics nommé demo-arg-alert-workspace.

Uniquement si votre étendue n’est pas définie sur la valeur par défaut, procédez comme suit :

  1. Accédez à l’onglet Étendue et sélectionnez Sélectionner une étendue.
  2. En bas de l’écran Ressources sélectionnées, supprimez l’étendue actuelle.
  3. Sélectionnez l’option Sélectionner l’étendue.
  4. Développez demo-arg-alert-rg à partir de la liste des ressources, puis sélectionnez demo-arg-alert-workspace.
  5. Sélectionnez Appliquer.
  6. Sélectionnez Suivant : Condition.

Condition

Le formulaire contient plusieurs champs à renseigner :

  • Nom du signal : recherche personnalisée dans les journaux
  • Requête de recherche : affiche le code de la requête
    • Si vous avez modifié l’étendue, vous devez ajouter la requête à partir de la section Créer une requête.

Mesure

  • Mesure : Lignes de table
  • Type d’agrégation : Nombre
  • Précision de l’agrégation : 5 minutes

Logique d'alerte

  • Opérateur : Supérieur à
  • Valeur de seuil : utilisez un nombre inférieur au nombre renvoyé par le nombre de ressources.
    • Par exemple, si votre nombre de ressources est 50, utilisez 45. Cette valeur déclenche l’alerte quand elle évalue vos ressources, car votre nombre de ressources est supérieur à la valeur de seuil.
  • Fréquence de l’évaluation : 5 minutes

Sélectionnez Suivant : Actions.

Actions

Sélectionnez Créer un groupe d’actions :

  • Abonnement: Sélectionnez votre abonnement Azure.
  • Groupe de ressources : demo-arg-alert-rg
  • Région : l’option Global permet au service des groupes d’actions de sélectionner l’emplacement.
  • Nom du groupe d’actions : demo-arg-alert-action-group
  • Nom d’affichage : demo-action (la limite est de 12 caractères)

Sélectionnez Suivant : Notifications :

  • Type de notification : sélectionnez E-mail/SMS/Push/Voix.
  • Nom : email-alert
  • Cochez la case E-mail et tapez votre adresse e-mail.
  • Cliquez sur OK.

Sélectionnez Vérifier + créer, vérifiez que le récapitulatif est correct, puis sélectionnez Créer. Vous êtes redirigé vers l’onglet Actions de la page Créer une règle d’alerte. Le Nom du groupe d’actions affiche le groupe d’actions que vous avez créé. Vous recevez une notification par e-mail pour confirmer que vous avez été ajouté au groupe d’actions.

Sélectionnez Suivant : Détails.

Détails

Utilisez les informations suivantes sous l’onglet Détails :

  • Abonnement: Sélectionnez votre abonnement Azure.
  • Groupe de ressources : demo-arg-alert-rg
  • Gravité : acceptez la valeur par défaut 3 - Information.
  • Nom de la règle d’alerte : demo-arg-alert-rule
  • Description de la règle d’alerte : Alerte par e-mail pour le nombre de ressources Azure
  • Région : USA Ouest 3
  • Identité : sélectionnez Identité managée affectée par le système.

Sélectionnez Vérifier + créer, vérifiez que le récapitulatif est correct, puis sélectionnez Créer. Vous êtes redirigé vers la page Journaux de votre espace de travail Log Analytics.

Attribuer un rôle

Attribuez le rôle Lecteur Log Analytics à l’identité managée affectée par le système afin qu’elle ait l’autorisation de déclencher des alertes qui envoient des notifications par e-mail.

  1. Sélectionnez Monitoring>Alertes dans l’espace de travail Log Analytics. Sélectionnez OK si vous voyez l’invite Vos modifications non enregistrées seront ignorées.
  2. Sélectionnez Règles d’alerte.
  3. Sélectionnez demo-arg-alert-rule.
  4. Sélectionnez Paramètres>Identité>Affectée par le système :
    • État : activé
    • ID d’objet : affiche le GUID de votre application d’entreprise (principal de service) dans Microsoft Entra ID.
    • Autorisation : sélectionnez Attributions de rôle Azure :
      • Vérifiez que votre abonnement est sélectionné.
      • Sélectionnez Ajouter une attribution de rôle :
      • Étendue : Abonnement
      • Abonnement : sélectionnez le nom de votre abonnement Azure.
      • Rôle : Lecteur Log Analytics
  5. Cliquez sur Enregistrer.

Le rôle Lecteur Log Analytics prend quelques minutes pour s’afficher dans la page Attributions de rôle Azure. Sélectionnez Actualiser pour mettre à jour la page.

Utilisez le bouton Précédent de votre navigateur pour revenir à l’Identité, puis sélectionnez Vue d’ensemble pour revenir à la règle d’alerte. Sélectionnez le lien vers votre groupe de ressources nommé demo-arg-alert-rg.

Bien qu’il ne soit pas couvert par cet article, pour un cluster Azure Data Explorer, ajoutez le rôle Lecteur à l’identité managée affectée par le système. Pour plus d’informations, à la fin de cet article, sélectionnez le lien Attributions de rôles pour les clusters Azure Data Explorer.

Vérifier les alertes

Une fois que le rôle est attribué à votre règle d’alerte, vous commencez à recevoir un e-mail pour les messages d’alerte. La règle a été créée pour envoyer des alertes toutes les cinq minutes et la première alerte arrive au bout de quelques minutes.

Vous pouvez également voir l’alerte dans le portail Azure :

  1. Accédez au groupe de ressources demo-arg-alert-rg.

  2. Sélectionnez demo-arg-alert-workspace dans votre liste de ressources.

  3. Sélectionnez Monitoring>Alertes.

  4. Une liste des alertes s’affiche.

    Capture d’écran de l’espace de travail Log Analytics montrant la liste des alertes déclenchées.

Nettoyer les ressources

Si vous voulez conserver la configuration de l’alerte tout en empêchant l’alerte de se déclencher et d’envoyer des notifications par e-mail, vous pouvez la désactiver. Accédez à votre règle d’alerte demo-arg-alert-rule ou demo-arg-la-alert-rule, puis sélectionnez Désactiver.

Si vous n’avez pas besoin de cette alerte ou des ressources que vous avez créées dans cet exemple, supprimez le groupe de ressources en effectuant les étapes suivantes :

  1. Accédez à votre groupe de ressources demo-arg-alert-rg.
  2. Sélectionnez Supprimer le groupe de ressources.
  3. Tapez le nom du groupe de ressources pour confirmer.
  4. Sélectionnez Supprimer.

Si vous avez créé une machine virtuelle, supprimez la clé privée que vous avez téléchargée sur votre ordinateur pendant le déploiement. Le nom de fichier porte l’extension .pem.

Pour plus d’informations sur le langage de requête ou sur l’exploration des ressources, consultez les articles suivants.