Vytvoření nebo úprava pravidla upozornění prohledávání protokolu
V tomto článku se dozvíte, jak vytvořit nové pravidlo upozornění prohledávání protokolu nebo upravit existující pravidlo upozornění prohledávání protokolu ve službě Azure Monitor. Další informace o výstrahách najdete v přehledu výstrah.
Pravidla upozornění kombinují prostředky, které se mají monitorovat, data monitorování z prostředku a podmínky, které chcete aktivovat. Potom můžete definovat skupiny akcí a pravidla zpracování výstrah a určit, co se stane při aktivaci výstrahy.
Výstrahy aktivované těmito pravidly upozornění obsahují datovou část, která používá společné schéma upozornění.
Požadavky
Pokud chcete vytvořit nebo upravit pravidlo upozornění, musíte mít následující oprávnění:
- Oprávnění ke čtení cílového prostředku pravidla upozornění
- Oprávnění k zápisu do skupiny prostředků, ve které je pravidlo upozornění vytvořeno. Pokud vytváříte pravidlo upozornění z webu Azure Portal, pravidlo upozornění se ve výchozím nastavení vytvoří ve stejné skupině prostředků, ve které se nachází cílový prostředek.
- Pokud je to možné, přečtěte si oprávnění ke všem skupinám akcí přidruženým k pravidlu upozornění.
Přístup k průvodci pravidlem upozornění na webu Azure Portal
Existuje několik způsobů, jak vytvořit nebo upravit pravidlo upozornění.
Vytvoření nebo úprava pravidla upozornění na domovské stránce portálu
- Na webu Azure Portal vyberte Monitorovat.
- V levém podokně vyberte Výstrahy.
- Vyberte + Vytvořit>pravidlo upozornění.
Vytvoření nebo úprava pravidla upozornění z konkrétního prostředku
- Na webu Azure Portal přejděte k prostředku.
- V levém podokně vyberte Výstrahy.
- Vyberte + Vytvořit>pravidlo upozornění.
- Rozsah pravidla upozornění je nastavený na prostředek, který jste vybrali. Pokračujte nastavením podmínek pravidla upozornění.
Úprava existujícího pravidla upozornění
Na webu Azure Portal vyberte z domovské stránky nebo z konkrétního prostředku upozornění v levém podokně.
Vyberte pravidla upozornění.
Vyberte pravidlo upozornění, které chcete upravit, a pak vyberte Upravit.
Pokud chcete upravit nastavení, vyberte některou z karet pravidla upozornění.
Konfigurace oboru pravidla upozornění
V podokně Vybrat prostředek nastavte obor pravidla upozornění. Můžete filtrovat podle předplatného, typu prostředku nebo umístění prostředku.
Vyberte Použít.
Konfigurace podmínek pravidla upozornění
Když na kartě Podmínka vyberete pole Název signálu, vyberte Vlastní prohledávání protokolu. Nebo vyberte Zobrazit všechny signály , pokud chcete pro podmínku zvolit jiný signál.
(Volitelné) Pokud jste vybrali možnost Zobrazit všechny signály v předchozím kroku, použijte podokno Vybrat signál a vyhledejte název signálu nebo vyfiltrujte seznam signálů. Filtrovat podle:
- Typ signálu: Vyberte prohledávání protokolu.
- Zdroj signálu: Služba, která odesílá signály vlastního prohledávání protokolu a protokolu (uložený dotaz). Vyberte název signálu a pak vyberte Použít.
V podokně Protokoly napište dotaz, který vrátí události protokolu, pro které chcete vytvořit výstrahu. Pokud chcete použít některý z předdefinovaných dotazů na pravidlo upozornění, rozbalte podokno Schéma a filtr vedle podokna Protokoly . Pak vyberte kartu Dotazy a vyberte jeden z dotazů.
Mějte na paměti tato omezení pro dotazy pravidel upozornění prohledávání protokolu:
- Dotazy pravidla prohledávání protokolu nepodporují
bag_unpack()
,pivot()
anarrow()
. - Dotazy na pravidla upozornění prohledávání protokolu podporují pouze dotazy ago() s časovými literály .
AggregatedValue
je vyhrazené slovo. V dotazu na pravidla upozornění prohledávání protokolu ho nemůžete použít.- Kombinovaná velikost všech dat ve vlastnostech pravidel upozornění prohledávání protokolu nesmí překročit 64 kB.
- Při definování vlastních funkcí v dotazu KQL pro upozornění prohledávání protokolu je důležité být opatrní s kódem funkce, který obsahuje relativní časové klauzule (např. now()). Vlastní funkce s relativními časovými klauzulemi, které nejsou definovány v rámci samotného dotazu KQL upozornění prohledávání protokolu, můžou ve výsledcích dotazu zavádět nekonzistence, které mohou mít vliv na přesnost a spolehlivost vyhodnocení výstrah. Proto:
- Pokud chcete zajistit přesné a včasné upozorňování, vždy definujte relativní časové klauzule přímo v dotazu KQL upozornění prohledávání protokolu.
- Pokud jsou v rámci funkce potřeba časové rozsahy, měly by být předány jako parametry a použity ve funkci.
- Dotazy pravidla prohledávání protokolu nepodporují
(Volitelné) Pokud dotazujete Azure Data Explorer nebo cluster Azure Resource Graph, pracovní prostor služby Log Analytics nemůže automaticky identifikovat sloupec s časovým razítkem události. Do dotazu doporučujeme přidat filtr časového rozsahu. Příklad:
adx('https://help.kusto.windows.net/Samples').table | where MyTS >= ago(5m) and MyTS <= now()
arg("").Resources | where type =~ 'Microsoft.Compute/virtualMachines' | project _ResourceId=tolower(id), tags
Ukázkové dotazy na upozornění prohledávání protokolů jsou k dispozici pro Azure Data Explorer a Resource Graph.
Dotazy napříč službami se nepodporují v cloudech státní správy. Další informace o omezeních najdete v tématu Omezení dotazů mezi službami a kombinování tabulek Azure Resource Graph s pracovním prostorem služby Log Analytics.
Výběrem možnosti Spustit spustíte výstrahu.
V části Náhled se zobrazí výsledky dotazu. Po dokončení úprav dotazu vyberte Pokračovat v upozornění na úpravy.
Otevře se karta Podmínka a naplní se dotazem protokolu. Ve výchozím nastavení pravidlo spočítá počet výsledků za posledních pět minut. Pokud systém zjistí souhrnné výsledky dotazu, pravidlo se automaticky aktualizuje o dané informace.
V části Měření vyberte hodnoty pro tato pole:
Pole Popis Měřit Upozornění prohledávání protokolů můžou měřit dvě věci, které můžete použít pro různé scénáře monitorování:
Řádky tabulky: Počet vrácených řádků můžete použít k práci s událostmi, jako jsou protokoly událostí Systému Windows, Syslog a výjimky aplikací.
Výpočet číselného sloupce: Výpočty založené na libovolném číselném sloupci můžete použít k zahrnutí libovolného počtu prostředků. Příkladem je procento procesoru.Typ agregace Výpočet provedený u více záznamů, aby je agregoval do jedné číselné hodnoty pomocí členitosti agregace. Mezi příklady patří celkový součet, průměr, minimum a maximum. Členitost agregace Interval agregace více záznamů na jednu číselnou hodnotu. (Volitelné) V části Rozdělení podle dimenzí můžete pomocí dimenzí poskytnout kontext aktivované výstrahy.
Dimenze jsou sloupce z výsledků dotazu, které obsahují další data. Když použijete dimenze, pravidlo výstrahy seskupí výsledky dotazu podle hodnot dimenzí a vyhodnocuje výsledky každé skupiny zvlášť. Pokud je podmínka splněna, pravidlo pro tuto skupinu aktivuje upozornění. Datová část upozornění zahrnuje kombinaci, která upozornění aktivovala.
Pro každé pravidlo výstrahy můžete použít až šest dimenzí. Dimenze můžou být pouze řetězcové nebo číselné sloupce. Pokud chcete použít sloupec, který jako dimenze nemá typ číslo nebo řetězec, musíte ho v dotazu převést na řetězec nebo číselnou hodnotu. Pokud vyberete více než jednu hodnotu dimenze, každá časová řada, která je výsledkem kombinace, aktivuje vlastní výstrahu a účtuje se samostatně.
Příklad:
- Dimenze můžete použít k monitorování využití procesoru na několika instancích, na kterých běží váš web nebo aplikace. Každá instance se monitoruje jednotlivě a oznámení se odesílají pro každou instanci, kde využití procesoru překračuje nakonfigurovanou hodnotu.
- Pokud chcete, aby se podmínka použitá na více prostředků v oboru, nerozhodla se rozdělit podle dimenzí. Pokud například chcete aktivovat výstrahu, pokud alespoň pět počítačů v oboru skupiny prostředků má využití procesoru nad nakonfigurovanou hodnotou, nebudete například používat dimenze.
Obecně platí, že pokud je oborem pravidla upozornění pracovní prostor, upozornění se v pracovním prostoru aktivují. Pokud chcete pro každý ovlivněný prostředek Azure samostatnou výstrahu, můžete:
Jako dimenzi použijte sloupec AZURE RESOURCE ID Azure Resource Manageru. Když použijete tuto možnost, upozornění se aktivuje v pracovním prostoru se sloupcem ID prostředku Azure jako dimenzí.
V vlastnosti ID prostředku Azure zadejte výstrahu jako dimenzi. Tato možnost vytvoří prostředek, který váš dotaz vrátí cíl výstrahy. Upozornění se pak aktivují u prostředku, který dotaz vrací, například virtuální počítač nebo účet úložiště, a ne na pracovní prostor.
Pokud použijete tuto možnost, pokud pracovní prostor získá data z prostředků ve více než jednom předplatném, můžou se upozornění aktivovat u prostředků z předplatného, které se liší od předplatného pravidla upozornění.
Vyberte hodnoty pro tato pole:
Pole Popis Název dimenze Dimenze můžou být číselné nebo řetězcové sloupce. Dimenze se používají k monitorování konkrétních časových řad a poskytují kontext aktivovanému upozornění. Operátor Operátor, který se používá pro název a hodnotu dimenze. Hodnoty dimenzí Hodnoty dimenzí vycházejí z dat za posledních 48 hodin. Vyberte Přidat vlastní hodnotu a přidejte vlastní hodnoty dimenzí. Zahrnout všechny budoucí hodnoty Toto pole vyberte, pokud chcete zahrnout všechny budoucí hodnoty přidané do vybrané dimenze. V části Logika upozornění vyberte hodnoty pro tato pole:
Pole Popis Operátor Výsledky dotazu se transformují na číslo. V tomto poli vyberte operátor, který chcete použít k porovnání čísla s prahovou hodnotou. Prahová hodnota Číselná hodnota pro prahovou hodnotu. Frekvence vyhodnocování Jak často se dotaz spouští. Můžete ho nastavit kdekoli od jedné minuty do jednoho dne (24 hodin). Poznámka:
Frekvence není konkrétní čas, kdy se výstraha spouští každý den. Jak často se pravidlo upozornění spouští.
Používání frekvence pravidel upozornění na jednu minutu má určitá omezení. Když nastavíte frekvenci pravidla upozornění na jednu minutu, bude provedena interní manipulace s optimalizací dotazu. Tato manipulace může způsobit selhání dotazu, pokud obsahuje nepodporované operace. Mezi nejčastější důvody, proč se dotaz nepodporuje, patří:
- Dotaz obsahuje
search
operaci ,union
nebotake
(limit). - Dotaz obsahuje
ingestion_time()
funkci. - Dotaz používá
adx
vzor. - Dotaz volá funkci, která volá jiné tabulky.
Ukázkové dotazy na upozornění prohledávání protokolů jsou k dispozici pro Azure Data Explorer a Resource Graph.
- Dotaz obsahuje
(Volitelné) V části Upřesnit možnosti můžete zadat počet selhání a období vyhodnocení výstrahy, které je nutné k aktivaci výstrahy. Pokud například nastavíte úroveň agregace na 5 minut, můžete určit, že chcete aktivovat výstrahu pouze v případě, že v poslední hodině došlo k třem selháním (15 minut). Toto nastavení určuje firemní zásady vaší aplikace.
Vyberte hodnoty pro tato pole v části Počet porušení, která mají výstrahu aktivovat:
Pole Popis Počet porušení Počet porušení, která aktivují výstrahu. Všimněte si, že pokud chcete tento dotaz použít, měl by do výsledků dotazu obsahovat sloupec datetime. Zkušební období Časové období, ve kterém dochází k počtu porušení. Přepsání časového rozsahu dotazů Pokud chcete, aby se období vyhodnocení výstrahy liší od časového rozsahu dotazu, zadejte sem časový rozsah.
Časový rozsah upozornění je omezen na maximálně dva dny. I když dotaz obsahujeago
příkaz s časovým rozsahem delším než dvěma dny, použije se dvoudenní maximální časový rozsah. I když například text dotazu obsahujeago(7d)
, dotaz prohledává pouze dva dny dat. Pokud dotaz vyžaduje více dat než vyhodnocení výstrahy, můžete časový rozsah změnit ručně. Pokud dotaz obsahujeago
příkaz, změní se automaticky na dva dny (48 hodin).Poznámka:
Pokud jste vy nebo váš správce přiřadili upozornění služby Azure Log Search pro pracovní prostory služby Log Analytics, měli byste použít klíče spravované zákazníkem, musíte vybrat Možnost Zkontrolovat propojené úložiště pracovního prostoru. Pokud ne, vytvoření pravidla se nezdaří, protože nesplňuje požadavky zásad.
Graf Náhled zobrazuje výsledky vyhodnocení dotazů v průběhu času. Můžete změnit období grafu nebo vybrat jinou časovou řadu, která byla výsledkem jedinečného rozdělení výstrahy podle dimenzí.
Vyberte Hotovo. Jakmile nakonfigurujete podmínky pravidla upozornění, můžete nakonfigurovat podrobnosti o pravidle upozornění tak, aby se dokončilo vytváření výstrahy, nebo volitelně můžete do pravidla upozornění přidat také akce a značky.
Konfigurace akcí pravidla upozornění
Na kartě Akce můžete volitelně vybrat nebo vytvořit skupiny akcí pro pravidlo upozornění.
Konfigurace podrobností pravidla upozornění
Na kartě Podrobnosti v části Podrobnosti projektu vyberte hodnoty předplatného a skupiny prostředků.
V části Podrobnosti pravidla upozornění:
Vyberte hodnotu Závažnost.
Zadejte hodnoty pro název pravidla upozornění a popis pravidla upozornění.
Poznámka:
Pravidlo, které používá identitu, nemůže mít středník (;) znak v hodnotě názvu pravidla upozornění.
Vyberte hodnotu Oblast.
V části Identita vyberte identitu, kterou pravidlo upozornění prohledávání protokolu používá k ověřování při odesílání dotazu protokolu.
Při výběru identity mějte na paměti tyto body:
- Spravovaná identita se vyžaduje, pokud odesíláte dotaz do Azure Data Exploreru nebo Do Resource Graphu.
- Spravovanou identitu použijte, pokud chcete mít možnost zobrazit nebo upravit oprávnění přidružená k pravidlu upozornění.
- Pokud spravovanou identitu nepoužíváte, oprávnění pravidla upozornění jsou založená na oprávněních posledního uživatele k úpravám pravidla v době poslední úpravy pravidla.
- Spravovaná identita vám pomůže vyhnout se případu, kdy pravidlo nefunguje podle očekávání, protože uživatel, který pravidlo naposledy upravil, neměl oprávnění pro všechny prostředky přidané do oboru pravidla.
Identita přidružená k pravidlu musí mít tyto role:
- Pokud dotaz přistupuje k pracovnímu prostoru služby Log Analytics, musí být identitě přiřazena role čtenáře pro všechny pracovní prostory, ke kterým dotaz přistupuje. Pokud vytváříte upozornění prohledávání protokolu zaměřené na prostředky, pravidlo upozornění může přistupovat k více pracovním prostorům a identita musí mít ve všech těchto pracovních prostorech roli čtenáře.
- Pokud dotazujete cluster Azure Data Exploreru nebo Resource Graphu, musíte přidat roli čtenáře pro všechny zdroje dat, ke kterým dotaz přistupuje. Pokud je například dotaz orientovaný na prostředek, potřebuje u něj roli čtenáře.
- Pokud dotaz přistupuje ke vzdálenému clusteru Azure Data Exploreru, musí být identita přiřazená:
- Role čtenáře pro všechny zdroje dat, ke kterým dotaz přistupuje. Pokud například dotaz volá vzdálený cluster Azure Data Exploreru pomocí
adx()
funkce, potřebuje v tomto clusteru Azure Data Exploreru roli čtenáře. - Role prohlížeče databází pro všechny databáze, ke kterým dotaz přistupuje.
- Role čtenáře pro všechny zdroje dat, ke kterým dotaz přistupuje. Pokud například dotaz volá vzdálený cluster Azure Data Exploreru pomocí
Podrobné informace o spravovaných identitách najdete v tématu Spravované identity pro prostředky Azure.
Vyberte jednu z následujících možností pro identitu, kterou pravidlo upozornění používá:
Možnost Identita Popis Nic Oprávnění k pravidlu upozornění jsou založená na oprávněních posledního uživatele, který pravidlo upravil v době úprav pravidla. Povolení spravované identity přiřazené systémem Azure pro toto pravidlo upozornění vytvoří novou vyhrazenou identitu. Tato identita nemá žádná oprávnění a při odstranění pravidla se automaticky odstraní. Po vytvoření pravidla musíte této identitě přiřadit oprávnění pro přístup k potřebnému pracovnímu prostoru a zdrojům dat pro dotaz. Další informace o přiřazování oprávnění najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal. Pravidla upozornění prohledávání protokolu, která používají propojené úložiště, se nepodporují. Povolení spravované identity přiřazené uživatelem Před vytvořením pravidla upozornění vytvoříte identitu a přiřadíte jí příslušná oprávnění pro dotaz protokolu. Jedná se o běžnou identitu Azure. Jednu identitu můžete použít v několika pravidlech upozornění. Identita se při odstranění pravidla neodstraní. Když vyberete tento typ identity, otevře se podokno pro výběr přidružené identity pravidla. (Volitelné) V části Upřesnit možnosti můžete nastavit několik možností:
Pole Popis Povolit při vytváření Tuto možnost vyberte, pokud chcete, aby pravidlo upozornění začalo běžet hned po jeho vytvoření. Automatické řešení výstrah Tuto možnost vyberte, pokud chcete nastavit stav výstrahy. Když je výstraha stavová, výstraha se vyřeší, když už není splněná podmínka pro konkrétní časový rozsah. Časový rozsah se liší v závislosti na frekvenci upozornění:
1 minuta: Podmínka upozornění není splněna po dobu 10 minut.
5 až 15 minut: Podmínka upozornění není splněna po dobu tří intervalů četnosti.
15 minut až 11 hodin: Podmínka upozornění není splněná pro dvě období četnosti.
11 až 12 hodin: Podmínka upozornění není splněna po dobu jedné frekvence.
Upozornění prohledávání stavových protokolů mají tato omezení.Ztlumení akcí Tuto možnost vyberte, pokud chcete nastavit dobu čekání, než se znovu aktivují akce upozornění. V zobrazeném poli Ztlumit akce vyberte dobu čekání po aktivaci výstrahy, než se znovu aktivuje akce. Kontrola propojeného úložiště pracovního prostoru Tuto možnost vyberte, pokud je nakonfigurované propojené úložiště pracovního prostoru pro výstrahy. Pokud není nakonfigurované žádné propojené úložiště, pravidlo se nevytvořilo. -
(Volitelné) Pokud toto pravidlo upozornění obsahuje skupiny akcí, můžete v části Vlastní vlastnosti přidat vlastní vlastnosti, které chcete zahrnout do datové části oznámení výstrahy. Tyto vlastnosti můžete použít v akcích, které skupina akcí volá, jako je webhook, funkce Azure nebo akce aplikace logiky.
Vlastní vlastnosti se zadají jako páry klíč/hodnota pomocí statického textu, dynamické hodnoty extrahované z datové části výstrahy nebo kombinace obojího.
Formát pro extrakci dynamické hodnoty z datové části výstrahy je:
${<path to schema field>}
. Například:${data.essentials.monitorCondition}
.Pomocí formátu běžného schématu upozornění určete pole v datové části bez ohledu na to, jestli skupiny akcí nakonfigurované pro pravidlo upozornění používají společné schéma.
Poznámka:
- Vlastní vlastnosti se přidají do datové části upozornění, ale nezobrazují se v e-mailové šabloně ani v podrobnostech upozornění na webu Azure Portal.
Následující příklady používají hodnoty ve vlastních vlastnostech k využití dat z datové části, která používá společné schéma upozornění.
Tento příklad vytvoří značku Další podrobnosti s daty týkajícími se času spuštění okna a času ukončení okna:
- Název:
Additional Details
- Hodnota:
Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
- Výsledek:
AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z
Tento příklad přidá data týkající se důvodu vyřešení nebo aktivaci výstrahy:
- Název:
Alert ${data.essentials.monitorCondition} reason
- Hodnota:
${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
- Potenciální výsledky:
Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585
Konfigurace značek pravidel upozornění
Na kartě Značky můžete volitelně nastavit všechny požadované značky prostředku pravidla upozornění.
Kontrola a vytvoření pravidla upozornění
Na kartě Zkontrolovat a vytvořit se pravidlo ověří. Pokud dojde k problému, vraťte se a opravte ho.
Po úspěšném ověření a kontrole nastavení klikněte na tlačítko Vytvořit.