Início Rápido: Criar alertas com o Azure Resource Graph e o Log Analytics
Artigo
Neste início rápido, você aprenderá a usar o Azure Log Analytics para criar alertas em consultas do Azure Resource Graph. Você pode criar alertas com a consulta do Azure Resource Graph, o workspace do Log Analytics e as identidades gerenciadas. As condições do alerta enviam notificações em um intervalo especificado.
Você pode usar consultas para configurar alertas para seus recursos implantados do Azure. Você pode criar consultas usando tabelas do Azure Resource Graph ou combinar tabelas do Azure Resource Graph e dados do Log Analytics dos Logs do Azure Monitor.
Nos exemplos deste artigo, crie recursos no mesmo grupo de recursos e use a mesma região, como Oeste dos EUA 3. Os exemplos neste artigo executam consultas e criam alertas para recursos do Azure em um único locatário do Azure. Os clusters do Azure Data Explorer estão fora do escopo deste artigo.
Este artigo inclui dois exemplos de alertas:
Azure Resource Graph: usa a tabela Resources do Azure Resource Graph para criar uma consulta que obtém dados para seus recursos implantados do Azure e criar um alerta.
Azure Resource Graph e Log Analytics: usa a tabela Resources do Azure Resource Graph e os dados do Log Analytics da tabela logs Heartbeat do Azure Monitor. Este exemplo usa uma máquina virtual para mostrar como configurar a consulta e o alerta.
Observação
A integração de alertas do Azure Resource Graph ao Log Analytics está em versão prévia pública.
Pré-requisitos
Se você ainda não tiver uma conta do Azure, crie uma conta gratuita antes de começar.
Recursos implantados no Azure, como máquinas virtuais ou contas de armazenamento.
Para usar o exemplo para a consulta do Azure Resource Graph e do Log Analytics, você precisa de pelo menos uma máquina virtual do Azure com o Agente do Azure Monitor.
Criar o workspace
Crie um workspace do Log Analytics na assinatura que está sendo monitorada.
Você não precisa criar uma máquina virtual para o exemplo que usa a tabela do Azure Resource Graph.
Observação
Esta seção é opcional se você tiver máquinas virtuais existentes ou souber como criar uma máquina virtual. Este exemplo usa uma máquina virtual para mostrar como criar uma consulta usando uma tabela do Azure Resource Graph e dados do Log Analytics.
Para obter informações de log, quando você conecta sua máquina virtual ao workspace do Log Analytics, o Agente do Azure Monitor é instalado na máquina virtual. Se você não tiver uma máquina virtual, poderá criar uma para este exemplo. Para evitar custos desnecessários, exclua a máquina virtual quando terminar de usar o exemplo.
As instruções a seguir são configurações básicas para uma máquina virtual Linux. As etapas detalhadas sobre como criar uma máquina virtual estão fora do escopo deste artigo. Sua organização pode exigir configurações de segurança ou rede diferentes para máquinas virtuais.
Em Criar uma máquina virtual, você pode aceitar configurações padrão com as seguintes exceções:
Noções básicas
Grupo de recursos: demo-arg-alert-rg
nome da máquina virtual: insira um nome de máquina virtual como demovm01.
Opções de disponibilidade: sem redundância de infraestrutura necessária
Tamanho: Standard_B1s
Conta de administrador: você deve criar credenciais, mas para este exemplo, você não precisa entrar:
Tipo de autenticação: Chave pública SSH
Nome de usuário: crie um nome de usuário
Fonte de chave pública SSH: Gerar novo par de chaves
Nome do par de chaves: aceitar o nome padrão
Portas de entrada públicas: Nenhuma
Discos
Verifique se a opção Excluir com VM está selecionada.
Rede
IP público: Nenhum
Selecione Excluir NIC quando VM for excluída.
Gerenciamento
Selecione Habilitar desligamento automático.
Selecione um horário de desligamento no seu fuso horário.
Adicione seu endereço de email se você quiser receber uma notificação de desligamento.
Monitoramento, Avançado e Marcas
Nenhuma alteração necessária para este exemplo.
Selecione Examinar + criar e depois Criar.
Você será solicitado a Gerar novo par de chaves. Selecione Baixar chave privada e criar recurso. Quando terminar de usar a máquina virtual, exclua o arquivo da chave privada do computador.
Selecione Ir para o recurso depois que a máquina virtual for implantada.
Observação
Esta seção é opcional se você souber como conectar uma máquina virtual a um workspace do Log Analytics e ao Agente do Azure Monitor.
Configure uma regra de coleta de dados para monitorar a máquina virtual.
No campo de pesquisa do Azure, insira regras de coleta de dados e selecione Regras de coleta de dados.
Selecione Criar:
Nome da regra: insira um nome como demo-data-collection-rule.
Assinatura: Selecione sua assinatura.
Grupo de Recursos: selecionar demo-arg-alert-rg.
Região: Oeste dos EUA 3.
Tipo de plataforma: selecione Todas.
Selecione Avançar: Recursos:
Selecione Adicionar Recursos.
Assinatura: Selecione sua assinatura.
Escopo: selecione o grupo de recursos e o nome da máquina virtual.
Escolha Aplicar.
Selecione Avançar: Coletar e entregar:
Clique em Adicionar fonte de dados.
Para o Tipo de fonte de dados, selecione Contadores de desempenho.
Selecione Avançar: Destino e Adicionar destino:
Tipo de destino: Logs do Azure Monitor.
Assinatura: Selecione sua assinatura.
Conta ou namespace: selecione seu workspace do Log Analytics, demo-arg-alert-workspace.
Clique em Adicionar fonte de dados.
Selecione Examinar + criar, depois Criar.
Depois que a implantação for concluída, selecione Ir para o recurso.
Verifique se o monitoramento está configurado para a máquina virtual:
Vá para a regra de coleta de dados e examine a Configuração:
Fontes de dados: mostra os contadores de desempenho da fonte de dados e os logs de destino do Azure Monitor.
Recursos: mostra a máquina virtual, o grupo de recursos e a assinatura.
Acesse seu workspace do Log Analytics demo-arg-alert-workspace. Selecione Configurações>Agentes>Servidores Linux e seu computador Linux está conectado ao agente Linux do Azure Monitor. Pode levar alguns minutos para que o agente seja exibido.
Vá para sua máquina virtual e selecione Configurações>Extensões + aplicativos e verifique se o AzureMonitorLinuxAgent mostra o provisionamento bem-sucedido.
No workspace do Log Analytics, crie uma consulta do Azure Resource Graph para obter uma contagem dos recursos do Azure. Este exemplo usa a tabela Resources do Azure Resource Graph.
Selecione Logs no lado esquerdo da página do workspace do Log Analytics. Feche a janela Consultas se ela for exibida.
Use o código a seguir na Nova Consulta:
arg("").Resources
| count
Os nomes de tabela no Log Analytics precisam ser maiúsculas e minúsculas com a primeira letra de cada palavra maiúscula, como Resources ou ResourceContainers. Você também pode usar letras minúsculas como resources ou resourcecontainers.
Selecione Executar.
Os Resultados exibem a Contagem de recursos em sua assinatura do Azure. Anote esse número porque você precisa dele para a condição da regra de alerta. Quando você executa manualmente a consulta, a contagem é baseada na identidade do usuário e um alerta disparado usa uma identidade gerenciada. É possível que a contagem possa variar entre uma execução manual ou um alerta disparado.
Remova a contagem da consulta.
arg("").Resources
No workspace do Log Analytics, crie uma consulta do Azure Resource Graph para obter as últimas informações de pulsação de sua máquina virtual. Este exemplo usa a tabela Resources do Azure Resource Graph e os dados do Log Analytics da tabela Heartbeat de Logs do Azure Monitor.
Acesse o workspace do Log Analytics demo-arg-alert-workspace.
Selecione Logs no lado esquerdo da página do workspace do Log Analytics. Feche a janela Consultas se ela for exibida.
Use o código a seguir na Nova Consulta:
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
Os nomes de tabela no Log Analytics precisam ser maiúsculas e minúsculas com a primeira letra de cada palavra maiúscula, como Resources ou ResourceContainers. Você também pode usar letras minúsculas como resources ou resourcecontainers.
Você pode usar outros quadros de tempo para o TimeGenerated. Por exemplo, em vez de minutos como 15muse horas de uso, como 12h, 24h, 48h.
Selecione Executar.
A consulta deve retornar a última pulsação da máquina virtual, o estado de energia, o nome e a ID do recurso. Se nenhum Resultado for exibido, prossiga para as próximas etapas. Para novas configurações, pode levar 30 minutos para que os dados de monitoramento fiquem disponíveis para a consulta e os alertas.
No workspace do Log Analytics, selecione Nova regra de alerta. A consulta do workspace do Log Analytics é copiada para a regra de alerta. Criar uma regra de alerta tem várias guias que precisam ser atualizadas para criar o alerta.
Escopo
Verifique se o escopo está padronizado para o workspace do Log Analytics chamado demo-arg-alert-workspace.
Somente se o escopo não estiver definido como o padrão, execute as seguintes etapas:
Vá para a guia Escopo e selecione Selecionar escopo.
Na parte inferior da tela de Recursos selecionados, exclua o escopo atual.
Selecione a opção para Selecionar escopo.
Expanda o demo-arg-alert-rg na lista de recursos e selecione demo-arg-alert-workspace.
Escolha Aplicar.
Selecione Avançar: Condição.
Condição
O formulário tem vários campos a serem concluídos:
Nome do sinal: pesquisa de registro personalizada
Consulta de pesquisa: exibe o código da consulta
Se você alterou o escopo, precisará adicionar a consulta da seção Criar consulta.
Medição
Medida: linhas de tabela
Tipo de agregação: contagem
Granularidade de agregação: 5 minutos
Lógica de alerta
Operador: maior que
Valor de limite: use um número menor que o número retornado da contagem de recursos.
Por exemplo, se a contagem de recursos for 50, use 45. Esse valor dispara o alerta a ser acionado quando ele avalia seus recursos porque o número de recursos é maior que o valor limite.
Frequência de avaliação: 5 minutos
Selecione Avançar: Ações.
Ações
Selecione Criar grupo de ações:
Assinatura: Selecione sua assinatura do Azure.
Grupo de recursos: demo-arg-alert-rg
Região: Global permite que o serviço de grupos de ações selecione a localização.
Nome do grupo de ações: demo-arg-alert-action-group
Nome de exibição: demo-action (o limite é de 12 caracteres)
Selecione Avançar: Notificações:
Tipo de notificação, selecione Email/SMS/mensagem/Push/Voz.
Nome: email-alert
Marque a caixa de seleção Email e digite seu endereço de email.
Selecione OK.
Selecione Examinar + criar, verifique se o resumo está correto e selecione Criar. Você é retornado para a guia Ações da página Criar uma regra de alerta. O nome do grupo Ação mostra o grupo de ações que você criou. Você recebe uma notificação por email para confirmar que foi adicionado ao grupo de ações.
Selecione Avançar: Detalhes.
Detalhes
Use as informações a seguir na guia Detalhes:
Assinatura: Selecione sua assinatura do Azure.
Grupo de recursos: demo-arg-alert-rg
Gravidade: aceite o valor padrão 3 – Informativo.
Nome da regra de alerta: demo-arg-alert-rule
Descrição da regra de alerta: alerta de email para contagem de recursos do Azure
Região: Oeste dos EUA 3
Identidade: selecione Identidade gerenciada atribuída pelo sistema.
Selecione Examinar + criar, verifique se o resumo está correto e selecione Criar. Você é retornado para a página Logs do seu workspace do Log Analytics.
Atribuir função
Atribua o Leitor do Log Analytics à identidade gerenciada atribuída pelo sistema para que ele tenha permissões para disparar alertas que enviam notificações por email.
Selecione Monitoramento>Alertas no workspace do Log Analytics. Selecione OK se for avisado de que Suas edições não salvas serão descartadas.
ID do objeto: mostra o GUID para seu Aplicativo Empresarial (entidade de serviço) no Microsoft Entra ID.
Permissão: selecione Atribuições de função do Azure:
Verifique se sua assinatura está selecionada.
Escolha Adicionar atribuição de função:
Escopo: Assinatura
Assinatura: selecione o nome da sua assinatura do Azure.
Função: Leitor do Log Analytics
Selecione Salvar.
Leva alguns minutos para que o Leitor do Log Analytics seja exibido na página de atribuições de função do Azure. Selecione Atualizar para atualizar a página.
Use o botão voltar do navegador para retornar à Identidade e, em seguida, selecione Visão geral para retornar à regra de alerta. Selecione o link para o grupo de recursos chamado demo-arg-alert-rg.
Embora fora do escopo deste artigo, para um cluster do Azure Data Explorer, adicione a função Leitor à identidade gerenciada atribuída pelo sistema. Para obter mais informações, no final deste artigo, selecione o link Atribuições de função para clusters do Azure Data Explorer.
No workspace do Log Analytics, selecione Nova regra de alerta. A consulta do workspace do Log Analytics é copiada para a regra de alerta. A regra Criar um alerta tem várias guias que precisam ser atualizadas.
Escopo
Verifique se o escopo está padronizado para o workspace do Log Analytics chamado demo-arg-alert-workspace.
Somente se o escopo não estiver definido como o padrão, execute as seguintes etapas:
Vá para a guia Escopo e selecione Selecionar escopo.
Na parte inferior da tela de Recursos selecionados, exclua o escopo atual.
Expanda o demo-arg-alert-rg na lista de recursos e selecione demo-arg-alert-workspace.
Escolha Aplicar.
Selecione Avançar: Condição.
Condição
O formulário tem vários campos a serem concluídos:
Nome do sinal: pesquisa de registro personalizada
Consulta de pesquisa: exibe o código da consulta
Se você alterou o escopo, precisará adicionar a consulta da seção Criar consulta.
Medição
Medida: linhas de tabela
Tipo de agregação: contagem
Granularidade de agregação: 5 minutos
Lógica de alerta
Operador: Menor que
Valor do limite: 2
Frequência de avaliação: 5 minutos
Selecione Avançar: Ações.
Ações
Selecione Criar grupo de ações:
Assinatura: Selecione sua assinatura do Azure.
Grupo de recursos: demo-arg-alert-rg
Região: Global permite que o serviço de grupos de ações selecione a localização.
Nome do grupo de ações: demo-arg-la-alert-action-group
Nome de exibição: demo-argla (o limite é de 12 caracteres)
Selecione Avançar: Notificações:
Tipo de Notificação, selecione Email/SMS/mensagem/Push/Voz.
Nome: email-alert-arg-la
Selecione a caixa de seleção Email e digite seu endereço de email
Selecione Ok
Selecione Examinar + criar, verifique se o resumo está correto e selecione Criar. Você é retornado para a guia Ações da página Criar uma regra de alerta. O nome do grupo Ação mostra o grupo de ações que você criou. Você recebe uma notificação por email para confirmar que foi adicionado ao grupo de ações.
Selecione Avançar: Detalhes.
Detalhes
Use as informações a seguir na guia Detalhes:
Assinatura: Selecione sua assinatura do Azure.
Grupo de recursos: demo-arg-alert-rg
Gravidade: Selecione 2 – Aviso.
Nome da regra de alerta: demo-arg-la-alert-rule
Descrição da regra de alerta: alerta de email para a consulta ARG-LA da máquina virtual do Azure
Região: Oeste dos EUA 3
Identidade: selecione Identidade gerenciada atribuída pelo sistema.
Selecione Examinar + criar, verifique se o resumo está correto e selecione Criar. Você é retornado para a página Logs do seu workspace do Log Analytics.
Atribuir função
Atribua o Leitor do Log Analytics à identidade gerenciada atribuída pelo sistema para que ele tenha permissões para disparar alertas que enviam notificações por email.
Selecione Monitoramento>Alertas no workspace do Log Analytics. Selecione OK se for avisado de que Suas edições não salvas serão descartadas.
ID do objeto: mostra o GUID para seu Aplicativo Empresarial (entidade de serviço) no Microsoft Entra ID.
Permissão: selecione atribuições de função do Azure
Verifique se sua assinatura está selecionada
Escolha Adicionar atribuição de função:
Escopo: Assinatura
Assinatura: selecione o nome da sua assinatura do Azure
Função: Leitor do Log Analytics
Selecione Salvar.
Leva alguns minutos para que o Leitor do Log Analytics seja exibido na página de atribuições de função do Azure. Selecione Atualizar para atualizar a página.
Use o botão voltar do navegador para retornar à Identidade e selecione Visão geral para retornar à regra de alerta. Selecione o link para o grupo de recursos chamado demo-arg-alert-rg.
Embora fora do escopo deste artigo, para um cluster do Azure Data Explorer, adicione a função Leitor à identidade gerenciada atribuída pelo sistema. Para obter mais informações, no final deste artigo, selecione o link Atribuições de função para clusters do Azure Data Explorer.
Depois que a função é atribuída à regra de alerta, você começa a receber emails para mensagens de alerta. A regra foi criada para enviar alertas a cada cinco minutos e leva alguns minutos para receber o primeiro alerta.
Você também pode ver os alertas no portal do Azure:
Vá para o grupo de recursos demo-arg-alert-rg.
Selecione demo-arg-alert-workspace em sua lista de recursos.
Selecione Monitoramento>Alertas.
Uma lista de alertas é exibida.
Depois que a função é atribuída à regra de alerta, você começa a receber emails para mensagens de alerta. A regra foi criada para enviar alertas a cada cinco minutos e leva alguns minutos para receber o primeiro alerta.
Você também pode ver os alertas no portal do Azure:
Vá para o grupo de recursos demo-arg-alert-rg.
Selecione sua máquina virtual.
Selecione Monitoramento>Alertas.
Uma lista de alertas é exibida.
Para uma nova configuração, pode levar 30 minutos para que as informações de log fiquem disponíveis e criem alertas. Durante esse tempo, você pode notar que a regra de alerta da máquina virtual exibe alertas nos alertas de monitoramento do workspace. Quando as informações de log da máquina virtual ficam disponíveis, os alertas são exibidos nos alertas de monitoramento da máquina virtual.
Limpar os recursos
Se você quiser manter a configuração de alerta, mas impedir que o alerta seja disparado e enviar notificações por email, você poderá desabilitá-lo. Vá para a regra de alerta demo-arg-alert-rule ou demo-arg-la-alert-rule e selecione Desabilitar.
Se você não precisar desse alerta ou dos recursos criados neste exemplo, exclua o grupo de recursos com as seguintes etapas:
Vá para o grupo de recursos demo-arg-alert-rg.
Selecione Excluir grupo de recursos.
Digite o nome do grupo de recursos para confirmar.
Selecione Excluir.
Se você criou uma máquina virtual, exclua a chave privada baixada no seu computador durante a implantação. O nome do arquivo tem uma extensão .pem.
Conteúdo relacionado
Para obter mais informações sobre a linguagem de consulta ou como explorar recursos, acesse os artigos a seguir.
