Solution Alert Management dans Azure Log Analytics
Attention
Cette solution n’est plus développée activement et peut ne pas fonctionner comme prévu. Nous vous suggérons d’essayer d’utiliser Azure Resource Graph pour interroger des alertes Azure Monitor.
La solution de gestion des alertes vous permet d’analyser toutes les alertes qui se produisent dans votre référentiel Log Analytics. Ces alertes peuvent provenir de diverses sources, y compris celles créées par Log Analytics ou importées à partir de Nagios ou Zabbix. La solution importe également les alertes de tous les groupes d’administration System Center Operations Manager connectés.
Prérequis
La solution fonctionnant avec tous les enregistrements dans le référentiel Log Analytics ayant le type Alerte, vous devez donc effectuer la configuration nécessaire pour collecter ces enregistrements.
- Pour les alertes Log Analytics, créez des règles d’alerte pour créer des enregistrements d’alerte directement dans le référentiel.
- Pour les alertes Nagios et Zabbix, configurez ces serveurs pour envoyer des alertes à Log Analytics.
- Pour les alertes System Center Operations Manager, connectez votre groupe d’administration Operations Manager à votre espace de travail Log Analytics. Toutes les alertes créées dans System Center Operations Manager sont importées dans Log Analytics.
Configuration
Ajoutez la solution Alert Management à votre espace de travail Log Analytics en suivant la procédure décrite dans Ajouter des solutions. Aucune configuration supplémentaire n’est requise.
Packs d’administration
Si votre groupe d’administration Operations Manager est connecté à votre espace de travail Log Analytics, les packs d’administration suivants sont installés dans Operations Manager lorsque vous ajoutez cette solution. Ces packs d’administration ne nécessitent aucune opération de configuration ou de maintenance.
- Microsoft System Center Advisor Alert Management (Microsoft.IntelligencePacks.AlertManagement)
Pour plus d’informations sur la façon dont ces packs d’administration de solution sont mis à jour, consultez Connecter Operations Manager à Log Analytics.
Collecte de données
Agents
Le tableau suivant décrit les sources connectées qui sont prises en charge par cette solution.
| Source connectée | Support | Description |
|---|---|---|
| Agents Windows | Non | Les agents Windows directs ne génèrent pas d’alertes. Des alertes Log Analytics peuvent être créées à partir d’événements et de données de performances collectées à partir des agents Windows. |
| Agents Linux | Non | Les agents Linux directs ne génèrent pas d’alertes. Des alertes Log Analytics peuvent être créées à partir d’événements et de données de performances collectées à partir des agents Linux. Les alertes Nagios et Zabbix sont collectées à partir de ces serveurs qui requièrent l’agent Linux. |
| Groupe d’administration de Microsoft System Center Operations Manager | Oui | Les alertes générées sur des agents Operations Manager sont remises au groupe d’administration, puis transférées à Log Analytics. Une connexion directe entre des agents Operations Manager et Log Analytics n’est pas obligatoire. Les données des alertes sont transférées du groupe d’administration dans Log Analytics. |
Fréquence de collecte
- Les enregistrements d’alerte sont disponibles pour la solution dès qu’ils sont stockés dans le référentiel.
- Les données des alertes sont envoyées du groupe d’administration Operations Manager à Log Analytics toutes les 3 minutes.
Utilisation de la solution
Quand vous ajoutez la solution Alert Management à votre espace de travail Log Analytics, la vignette Gestion des alertes est ajoutée à votre tableau de bord. Cette vignette affiche le nombre d’alertes actuellement actives qui ont été générées au cours des dernières 24 heures, ainsi qu’une représentation graphique. Vous ne pouvez pas modifier cet intervalle de temps.
Cliquez sur la vignette Gestion des alertes pour ouvrir le tableau de bord Gestion des alertes. Le tableau de bord comprend les colonnes figurant dans le tableau suivant. Chaque colonne répertorie les 10 premières alertes (classées par nombre d’alertes) correspondant aux critères de cette colonne pour l’étendue et l’intervalle de temps spécifiés. Vous pouvez exécuter une recherche dans les journaux qui fournit la liste complète. Pour cela, cliquez sur Afficher tout en bas de la colonne ou cliquez sur l’en-tête de colonne.
| Colonne | Description |
|---|---|
| Alertes critiques | Toutes les alertes ayant le niveau de gravité Critique, regroupées selon le nom de l’alerte. Cliquez sur un nom d’alerte pour exécuter une recherche dans les journaux retournant tous les enregistrements pour cette alerte. |
| Alertes d'avertissement | Toutes les alertes ayant le niveau de gravité Avertissement, regroupées selon le nom de l’alerte. Cliquez sur un nom d’alerte pour exécuter une recherche dans les journaux retournant tous les enregistrements pour cette alerte. |
| Alertes actives de System Center Operations Manager | Toutes les alertes recueillies depuis Operations Manager n’ayant pas l’état Fermé , regroupées selon la source ayant généré l’alerte. |
| Toutes les alertes actives | Toutes les alertes, quel que soit leur niveau de gravité, regroupées selon le nom de l’alerte. Seules les alertes Operations Manager n’ayant pas l’état Fermé. |
Si vous faites défiler l’écran vers la droite, le tableau de bord répertorie plusieurs requêtes courantes sur lesquelles vous pouvez cliquer pour effectuer une recherche dans les journaux afin d’obtenir les données des alertes.
Enregistrements Log Analytics
La solution de gestion des alertes analyse tous les enregistrements de type Alerte. Les alertes créées par Log Analytics ou collectées à partir de Nagios ou Zabbix ne sont pas collectées directement par la solution.
Cette solution importe également les alertes de System Center Operations Manager et crée pour chacune d’entre elles un enregistrement correspondant avec comme propriétés Type et SourceSystem les valeurs Alert et OpsManager, respectivement. Les propriétés de ces enregistrements sont décrites dans le tableau suivant :
| Propriété | Description |
|---|---|
Type |
Alert |
SourceSystem |
OpsManager |
AlertContext |
Détails de l’élément de données à l’origine de l’alerte générée au format XML. |
AlertDescription |
Description détaillée de l’alerte. |
AlertId |
GUID de l’alerte. |
AlertName |
Nom de l’alerte. |
AlertPriority |
Niveau de priorité de l’alerte. |
AlertSeverity |
Niveau de gravité de l’alerte. |
AlertState |
Dernier état de résolution de l’alerte. |
LastModifiedBy |
Nom de l’utilisateur ayant apporté la dernière modification à l’alerte. |
ManagementGroupName |
Nom du groupe d’administration dans lequel l’alerte a été générée. |
RepeatCount |
Nombre de fois que l’alerte a été générée pour le même objet analysé depuis sa résolution. |
ResolvedBy |
Nom de l’utilisateur ayant résolu l’alerte. Vide si l’alerte n’a pas encore été résolue. |
SourceDisplayName |
Nom d’affichage de l’objet d’analyse ayant généré l’alerte. |
SourceFullName |
Nom complet de l’objet d’analyse ayant généré l’alerte. |
TicketId |
ID de ticket de l’alerte si l’environnement System Center Operations Manager est intégré à un processus d’affectation de tickets pour les alertes. Vide si aucun ID ticket n’est affecté. |
TimeGenerated |
Date et heure de la création de l’alerte. |
TimeLastModified |
Date et heure de la dernière modification de l’alerte. |
TimeRaised |
Date et heure de la génération de l’alerte. |
TimeResolved |
Date et heure de la résolution de l’alerte. Vide si l’alerte n’a pas encore été résolue. |
Exemples de recherches dans les journaux
Le tableau suivant fournit des exemples de recherches dans les journaux pour les enregistrements d’alerte collectés par cette solution :
| Requête | Description |
|---|---|
| Alert | where SourceSystem == "OpsManager" and AlertSeverity == "error" and TimeRaised > ago(24h) | Alertes critiques déclenchées au cours des dernières 24 heures |
| Alert | where AlertSeverity == "warning" and TimeRaised > ago(24h) | Alertes d’avertissement déclenchées au cours des dernières 24 heures |
| Alert | where SourceSystem == "OpsManager" and AlertState != "Closed" and TimeRaised > ago(24h) | summarize Count = count() by SourceDisplayName | Sources avec des alertes actives déclenchées au cours des dernières 24 heures |
| Alert | where SourceSystem == "OpsManager" and AlertSeverity == "error" and TimeRaised > ago(24h) and AlertState != "Closed" | Alertes critiques déclenchées au cours des dernières 24 heures et toujours actives |
| Alert | where SourceSystem == "OpsManager" and TimeRaised > ago(24h) and AlertState == "Closed" | Alertes déclenchées au cours des dernières 24 heures et désormais fermées |
| Alert | where SourceSystem == "OpsManager" and TimeRaised > ago(1d) | summarize Count = count() by AlertSeverity | Alertes déclenchées au cours de la journée précédente et regroupées selon leur niveau de gravité |
| Alert | where SourceSystem == "OpsManager" and TimeRaised > ago(1d) | sort by RepeatCount desc | Alertes déclenchées au cours de la journée précédente et triées selon leur valeur de répétition |
Étapes suivantes
- Consultez Alertes dans Log Analytics pour obtenir des informations sur la génération d’alertes à partir de Log Analytics.