Jak tworzyć alerty dla Śledzenie zmian i spis

Ważne

Śledzenie zmian i spis korzystanie z agenta usługi Log Analytics zostało wycofane 31 sierpnia 2024 r. i będzie działać w sprawie ograniczonej pomocy technicznej do 01 lutego 2025 r. Zalecamy użycie agenta monitorowania platformy Azure jako nowego agenta pomocniczego. Postępuj zgodnie z wytycznymi dotyczącymi migracji ze śledzenia zmian i spisu przy użyciu usługi analizy dzienników do śledzenia zmian i spisu przy użyciu wersji agenta monitorowania platformy Azure.

Uwaga

Śledzenie zmian i spis przy użyciu dołączania do usługi Log Analytics za pośrednictwem witryny Azure Portal nie będzie dozwolone, ponieważ usługa została wycofana 31 sierpnia 2024 r. Zalecamy skonfigurowanie nowej wersji rozwiązania Change Tracking & Inventory za pomocą usługi AMA. Istniejące maszyny wirtualne w usłudze Change Tracking & Inventory ze starszym agentem będą nadal działać do 1 lutego 2025 r. Aby uzyskać więcej informacji, zobacz Włączanie Śledzenie zmian i spis przy użyciu agenta monitorowania platformy Azure.

Alerty na platformie Azure aktywnie powiadamiają o wynikach z zadań elementu Runbook, problemów z kondycją usługi lub innych scenariuszy związanych z kontem usługi Automation. Usługa Azure Automation nie zawiera wstępnie skonfigurowanych reguł alertów, ale możesz utworzyć własne na podstawie generowanych danych. Ten artykuł zawiera wskazówki dotyczące tworzenia reguł alertów na podstawie zmian zidentyfikowanych przez Śledzenie zmian i spis.

Jeśli nie znasz alertów usługi Azure Monitor, zobacz Omówienie alertów na platformie Microsoft Azure przed rozpoczęciem. Aby dowiedzieć się więcej o alertach korzystających z zapytań dziennika, zobacz Rejestrowanie alertów w usłudze Azure Monitor.

Tworzenie alertu

W poniższym przykładzie pokazano, że plik c:\windows\system32\drivers\etc\hosts został zmodyfikowany na maszynie. Ten plik jest ważny, ponieważ system Windows używa go do rozpoznawania nazw hostów na adresy IP. Ta operacja ma pierwszeństwo przed systemem DNS i może powodować problemy z łącznością. Może również prowadzić do przekierowania ruchu do złośliwych lub w inny sposób niebezpiecznych witryn internetowych.

Użyjmy tego przykładu, aby omówić kroki tworzenia alertów dotyczących zmiany.

1. Na stronie Śledzenie zmian z maszyny wirtualnej wybierz pozycję Log Analytics.

2. W wyszukiwaniu Dzienniki wyszukaj zmiany zawartości w pliku hosts za pomocą zapytania ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts". To zapytanie wyszukuje zmiany zawartości dla plików z w pełni kwalifikowanymi nazwami ścieżek zawierającymi wyraz hosts. Możesz również poprosić o określony plik, zmieniając część ścieżki na w pełni kwalifikowany formularz, na przykład przy użyciu polecenia FileSystemPath == "c:\windows\system32\drivers\etc\hosts".

3. Gdy zapytanie zwróci wyniki, wybierz pozycję Nowa reguła alertu w wyszukiwaniu dzienników, aby otworzyć stronę tworzenie alertu. Możesz również przejść do tej strony za pomocą usługi Azure Monitor w witrynie Azure Portal.

4. Sprawdź ponownie zapytanie i zmodyfikuj logikę alertu. W takim przypadku chcesz, aby alert został wyzwolony, jeśli na wszystkich maszynach w środowisku wykryto nawet jedną zmianę.

   

5. Po ustawieniu logiki alertu przypisz grupy akcji, aby wykonywać akcje w odpowiedzi na wyzwalanie alertu. W takim przypadku konfigurujemy wiadomości e-mail do wysłania i zostanie utworzony bilet zarządzania usługami IT (ITSM).

Wykonaj poniższe kroki, aby skonfigurować alerty, aby poinformować Cię o stanie wdrożenia aktualizacji. Jeśli dopiero zaczynasz korzystać z alertów platformy Azure, zobacz Omówienie alertów platformy Azure.

Konfigurowanie grup akcji dla alertów

Po skonfigurowaniu alertów możesz skonfigurować grupę akcji, która jest grupą akcji do użycia w wielu alertach. Akcje mogą obejmować powiadomienia e-mail, elementy Runbook, elementy webhook i wiele innych. Aby dowiedzieć się więcej o grupach akcji, zobacz Create and manage action groups (Tworzenie grup akcji i zarządzanie nimi).

1. Wybierz alert, a następnie wybierz pozycję Utwórz nowy w obszarze Grupy akcji.

2. Wprowadź pełną nazwę i krótką nazwę grupy akcji. Rozwiązanie Update Management używa krótkiej nazwy podczas wysyłania powiadomień przy użyciu określonej grupy.

3. W obszarze Akcje wprowadź nazwę określającą akcję, na przykład Powiadomienie e-mail.

4. W polu Typ akcji wybierz odpowiedni typ, na przykład wiadomość e-mail/wiadomość SMS/wypychanie/głos.

5. Wybierz ikonę ołówka, aby edytować szczegóły akcji.

6. Wypełnij okienko dla typu akcji. Jeśli na przykład przy użyciu wiadomości e-mail/wiadomości SMS/wypychania/głosu do wysłania wiadomości e-mail wprowadź nazwę akcji, zaznacz pole wyboru Adres e-mail, wprowadź prawidłowy adres e-mail , a następnie wybierz przycisk OK.

   

7. W okienku Dodawanie grupy akcji wybierz przycisk OK.

8. W przypadku wiadomości e-mail z alertami możesz dostosować temat wiadomości e-mail. Wybierz pozycję Dostosuj akcje w obszarze Utwórz regułę, a następnie wybierz pozycję Temat wiadomości e-mail.

9. Po zakończeniu wybierz pozycję Utwórz regułę alertu.

Następne kroki

• Dowiedz się więcej o alertach w usłudze Azure Monitor.

• Dowiedz się więcej o zapytaniach dzienników w celu pobierania i analizowania danych z obszaru roboczego usługi Log Analytics.

• Analiza użycia w obszarze roboczym usługi Log Analytics opisuje sposób analizowania i zgłaszania alertów dotyczących użycia danych.