OMS 警示正式發布

與 public review 有何不同？

WebHook 支援： 提供 WebHook URL 來接收警示。這使得與其他工具(如：Slack 或是 各種事件管理工具)結合變得很容易。

 

開啟/關閉和編輯警示： 在 設定>Alerts 中，您可以開啟、關閉或是編輯單一的警示。您可以在此關閉惱人的警示或是在維修時關閉警示。

 

隱藏警示： 在警示發佈後，停止警示一段時間。這能幫助減少警示的干擾。

 

新增警示畫面： 在未來您還會看到這個使用者介面有些許的修改。

效能進步： 最大搜尋時間間隔可達24小時。

在 OMS 工作區右上方的通知： 現在當您進到 OMS 工作區，將會在通知告訴您當您離開的時間內有多少警示發佈。在通知中您也可以有連結查看所有發佈的警示。

 

警示嚴重性： 總共有三種程度可以選擇：嚴重、警告、資訊。

OMS 警示還會繼續更新嗎？

當然會！警示是任何良好監視工具的基礎，因此微軟將會持續更新、改進 OMS 警示的功能。在未來您將會看到微軟積極採取行動來減少警界時間，並對警示管理進行修改來提供更有凝聚力的警示監控與管理。

開始使用

雖然您需要利用搜尋指令來產生警示，但其實您不需要知道任何搜尋語法就可以使用警示。最簡單的方式就是透過一個方案來做搜尋。

進到一個解決方案的儀表板後，點選任何您想建立警示的項目。接著 OMS 將會自動跳到記錄搜尋並之行該指令。

執行完後，您可以按下左上方的 [警示] 圖示。接著就會跳到先前提到的新增警示畫面，輸入各項資料後按下儲存即完成警示的新增。

有什麼好的警示可以作為開端嗎？

以下列出了一些有用的搜尋指令警示來幫助您開始，也列出了指令相對應所需的方案或是數據來源：

Name	Query	Alert configuration	Required solution/data source
Computers missing required Critical or Security updates	Type=Update UpdateState=Needed Optional=false (Classification=”Security Updates” OR Classification=”Critical Updates”)	Frequency: 24 hours Time window: 24 hours Threshold: Greater than 0 results	System Update Assessment
More than 5 software changes in the last 24 hours	Type=ConfigurationChange ConfigChangeType=Software	Frequency: 24 hours Time window: 24 hours Threshold: Greater than 5 results	Change Tracking
Suspicious executable discovered	Type=SecurityEvent EventID=8002 Fqbn:”-” | Measure count() as ExecutionCountHash by FileHash | Where ExecutionCountHash <= 5	Frequency: 15 minutes Time window: 15 minutes Threshold: Greater than 0	Security and Audit
A process of has initiated a restart of a computer	Type=Event EventID=1074 Source=User32	Frequency: 5 minutes Time window: 5 minutes Threshold: 0	Collect “System” logs in “Settings -> Data -> Windows event logs”
Available memory is less than 1 GB **insert your computer name in the query	Computer= <computer name> Type=Perf ObjectName=Memory CounterName=”Available MBytes” | measure avg(CounterValue) by Computer interval 30minute | where AggregatedValue<1024	Frequency: 30 minutes Time window: 1 hour Threshold: Less than 3	Collect the “\Memory(*)\Available Bytes” performance counter in “Settings -> Data -> Windows Performance Counters”
Average CPU % above 90% over the last hour **insert your computer name in the query	Computer= <computer name> Type=Perf ObjectName=Processor CounterName=”% Processor Time” | measure avg(CounterValue) interval 30minute | where AggregatedValue>90	Frequency: 30 minutes Time window: 1 hour Threshold: 1	Collect the “\Processor(*)\% Processor Time” Settings -> Data -> Windows Performance Counters
The state of a service has changed in a Computer Group **insert your computer group name in the query	$ComputerGroups[GroupName] Type=Event EventID=7036	Frequency: 5 minutes Time window: 5 minutes Threshold: 0	Collect “System” logs in “Settings -> Data -> Windows event logs”

理所當然的，學會更多的語法能夠幫助您建立更多有效的警示。以下是有幫助的文章：

• Log Analytics 搜尋參考
• OMS 中依據需求的指標之集合和視覺化