Rozwiązywanie problemów z alertami usługi Azure Monitor

W tym artykule omówiono typowe problemy dotyczące alertów i powiadomień usługi Azure Monitor. Alerty usługi Azure Monitor proaktywnie powiadamiają o znalezieniu ważnych warunków w danych monitorowania.

Aby uzyskać szczegółowe informacje na temat rozwiązywania problemów z alertami dotyczącymi metryk platformy Azure lub przeszukiwania dzienników, zobacz:

• Rozwiązywanie problemów z alertami dotyczącymi metryk usługi Azure Monitor
• Rozwiązywanie problemów z alertami przeszukiwania dzienników usługi Azure Monitor

Przed rozpoczęciem rozwiązywania problemów

Jeśli alert zostanie wyzwolony zgodnie z oczekiwaniami, ale odpowiednie powiadomienia nie będą działać zgodnie z oczekiwaniami, najpierw przetestuj grupę akcji, aby upewnić się, że jest ona prawidłowo skonfigurowana.

W przeciwnym razie skorzystaj z informacji w pozostałej części tego artykułu, aby rozwiązać problem.

Nie otrzymano oczekiwanej wiadomości e-mail

Jeśli w witrynie Azure Portal zostanie wyświetlony wyzwolony alert, ale nie otrzymasz skonfigurowanej wiadomości e-mail, wykonaj następujące kroki:

1. Czy wiadomość e-mail została pominięta przez regułę przetwarzania alertów?

   Klikając wyzwolony alert w portalu i przeglądając kartę historii, sprawdź, czy istnieją pominięte grupy akcji:

   

2. Czy typ akcji to „Wyślij wiadomość e-mail do roli usługi Azure Resource Manager”?

   Ta akcja dotyczy tylko przypisań ról usługi Azure Resource Manager, które znajdują się w zakresie subskrypcji i typu Użytkownik lub Grupa. Upewnij się, że przypisano rolę na poziomie subskrypcji, a nie na poziomie zasobu lub grupy zasobów.

3. Czy Twój serwer poczty e-mail i skrzynka pocztowa umożliwiają odbieranie zewnętrznych wiadomości e-mail?

   Sprawdź, czy nie są blokowane wiadomości e-mail z tych trzech adresów:

   • azure-noreply@microsoft.com
   • azureemail-noreply@microsoft.com
   • alerts-noreply@mail.windowsazure.com

   Zdarza się często, że wiadomości e-mail z zewnętrznych adresów e-mail są blokowane na wewnętrznych listach wysyłkowych lub listach dystrybucyjnych. Upewnij się, że zezwalasz na pocztę z powyższych adresów e-mail. Aby to przetestować, dodaj do grupy akcji zwykły służbowy adres e-mail (nie listę wysyłkową) i sprawdź, czy do tej skrzynki pocztowej trafiają alerty.

4. Czy wiadomość e-mail została przetworzona przez reguły skrzynki odbiorczej lub filtr spamu?

   Sprawdź, czy nie ma reguł skrzynki odbiorczej, które powodują usunięcie tych wiadomości e-mail lub ich przeniesienie do innego folderu. Reguły skrzynki odbiorczej mogą na przykład przechwytywać wskazanych nadawców lub określone słowa w temacie. Sprawdź również następujące elementy:

   • Ustawienia spamu klienta poczty e-mail (takie jak Outlook, Gmail)
   • Limity nadawcy / ustawienia spamu / ustawienia kwarantanny serwera poczty e-mail (takie jak Exchange, Microsoft 365, G-suite)
   • Ustawienia urządzenia zabezpieczającego pocztę e-mail, jeśli jest używane (takiego jak Barracuda lub Cisco).

5. Czy subskrypcja grupy akcji nie została przypadkowo anulowana?

   Uwaga

   Pamiętaj, że jeśli anulujesz subskrypcję grupy akcji, wszyscy członkowie z listy dystrybucyjnej również zostaną anulowani. Możesz nadal używać adresu e-mail listy dystrybucyjnej. Należy jednak poinformować użytkowników listy dystrybucyjnej, że jeśli anulują subskrypcję, anulują subskrypcję całej listy dystrybucyjnej, a nie tylko siebie. Obejście tego problemu polega na dodaniu adresu e-mail wszystkich użytkowników w grupie akcji osobno. Jedna grupa akcji może zawierać maksymalnie 1000 adresów e-mail. Następnie, jeśli określony użytkownik chce anulować subskrypcję, będzie mógł to zrobić bez wpływu na innych użytkowników. Będzie również można zobaczyć, którzy użytkownicy anulowali subskrypcję.

   W wiadomościach e-mail zawierających alerty znajduje się link umożliwiający anulowanie subskrypcji grupy akcji. Aby sprawdzić, czy przypadkowo anulowano subskrypcję tej grupy akcji, wykonaj jedną z następujących czynności:

   1. Otwórz w portalu grupę akcji i sprawdź kolumnę Stan:

   

   2. Sprawdź, czy otrzymano wiadomość e-mail z potwierdzeniem anulowania subskrypcji:

   

   Aby ponownie zasubskrybować — użyj linku w otrzymanej wiadomości e-mail z potwierdzeniem anulowania subskrypcji lub usuń adres e-mail z grupy akcji, a następnie dodaj go ponownie.

6. Czy przekroczono limity usług, wysyłając wiele wiadomości e-mail na jeden adres e-mail?

   Liczba wiadomości e-mail jest ograniczona do maksymalnie 100 wiadomości na godzinę dla każdego adresu e-mail. Jeśli przekroczysz ten próg, nie będą wysyłane żadne powiadomienia e-mail. Sprawdź, czy został wyświetlony komunikat wskazujący, że adres e-mail jest tymczasowo ograniczony:

   

   Jeśli chcesz otrzymywać dużą liczbę powiadomień bez ograniczania szybkości, rozważ użycie innej akcji, takiej jak:

   • Webhook
   • Aplikacja logiki
   • Funkcja platformy Azure
   • Elementy Runbook automatyzacji

   Żadna z tych akcji nie jest ograniczona.

Nie odebrano oczekiwanej wiadomości SMS, połączenia głosowego ani powiadomień wypychanych

Jeśli w portalu zostanie wyświetlony wyzwolony alert, ale nie odebrano skonfigurowanego wiadomości SMS, połączenia głosowego lub powiadomienia wypychanego, wykonaj następujące kroki:

1. Czy akcja została pominięta przez regułę przetwarzania alertów?

   Klikając wyzwolony alert w portalu i przeglądając kartę historii, sprawdź, czy istnieją pominięte grupy akcji:

   

   Jeśli było to niezamierzone, możesz zmodyfikować, wyłączyć lub usunąć regułę przetwarzania alertów.

2. SMS/głos: Czy twój numer telefonu jest poprawny?

   Sprawdź akcję wiadomości SMS pod kątem literówek w kodzie kraju lub numerze telefonu.

3. SMS/voice: czy przekroczono limity usług?

   Wiadomości SMS i połączenia głosowe mają limity częstotliwości wynoszące nie więcej, niż jedno powiadomienie co pięć minut na numer telefonu. Jeśli przekroczysz ten próg, powiadomienia zostaną porzucone.

   • Połączenie głosowe — sprawdź historię połączeń i sprawdź, czy w ciągu poprzednich pięciu minut wystąpiło inne połączenie z platformą Azure.
   • SMS — sprawdź historię wiadomości SMS pod kątem wiadomości wskazującej, że numer telefonu jest ograniczony.

   Jeśli chcesz otrzymywać duże ilości powiadomień bez ograniczania szybkości, rozważ użycie innej akcji, takiej jak:

   • Webhook
   • Aplikacja logiki
   • Funkcja platformy Azure
   • Elementy Runbook automatyzacji

   Żadna z tych akcji nie jest ograniczona.

4. Wiadomość SMS: czy subskrypcja grupy akcji nie została przypadkowo anulowana?

   Otwórz historię wiadomości SMS i sprawdź, czy zrezygnowano z dostarczania wiadomości SMS z tej konkretnej grupy akcji (przy użyciu odpowiedzi DISABLE action_group_short_name) lub ze wszystkich grup akcji (przy użyciu odpowiedzi STOP).

   Aby subskrybować ponownie, wyślij odpowiednie polecenie SMS (ENABLE krótka_nazwa_grupy_akcji lub START) lub usuń akcję wiadomości SMS z grupy akcji, a następnie dodaj ją ponownie. Aby uzyskać więcej informacji, zobacz Zachowanie alertu SMS w grupach akcji.

5. Czy na telefonie przypadkowo zablokowano powiadomienia?

   Większość telefonów komórkowych umożliwia blokowanie połączeń lub wiadomości SMS z określonych numerów telefonów lub krótkich kodów oraz blokowanie powiadomień push z określonych aplikacji (takich jak aplikacja mobilna platformy Azure). Aby sprawdzić, czy przypadkowo nie zablokowano powiadomień na telefonie, zapoznaj się z dokumentacją dotyczącą systemu operacyjnego lub modelu Twojego telefonu bądź przeprowadź test przy użyciu innego telefonu i numeru telefonu.

Oczekiwana akcja nie wyzwolła

Jeśli w portalu zostanie wyświetlony wyzwolony alert, ale skonfigurowana akcja nie została wyzwolona, wykonaj następujące kroki:

1. Czy akcja została pominięta przez regułę przetwarzania alertów?

   Klikając wyzwolony alert w portalu i przeglądając kartę historii, sprawdź, czy istnieją pominięte grupy akcji:

   

   Jeśli było to niezamierzone, możesz zmodyfikować, wyłączyć lub usunąć regułę przetwarzania alertów.

2. Czy wyzwalacz elementu webhook?

   1. Czy źródłowy adres IP jest zablokowany?

      Dodaj adresy IP wywoływane przez element webhook do listy dozwolonych.

   2. Czy punkt końcowy elementu webhook działa prawidłowo?

      Sprawdź, czy skonfigurowany punkt końcowy elementu webhook jest poprawny, a punkt końcowy działa prawidłowo. Sprawdź dzienniki elementu webhook lub instrumentuj kod, aby umożliwić analizę (na przykład rejestrowanie ładunku przychodzącego).

   3. Czy używasz poprawnego formatu do wywoływania usługi Slack lub Microsoft Teams?
      Każdy z tych punktów końcowych oczekuje określonego formatu JSON. Postępuj zgodnie z tymi instrukcjami, aby w zamian skonfigurować akcję aplikacji logiki.

   4. Czy element webhook stał się nie odpowiadać lub zwracać błędy?

      Grupy akcji elementu webhook zwykle są zgodne z następującymi regułami, gdy są wywoływane:

      • Po wywołaniu elementu webhook, jeśli pierwsze wywołanie zakończy się niepowodzeniem, zostanie ponowione co najmniej 1 raz i maksymalnie pięć razy (5 ponownych prób) w różnych interwałach opóźnień (5, 20, 40 sekund).
        • Opóźnienie między 1 a drugą próbą wynosi 5 sekund
        • Opóźnienie między drugą i czwartą próbą wynosi 20 sekund
        • Opóźnienie między 3 i 4. próbą wynosi 5 sekund
        • Opóźnienie między 4 i 5 próbą wynosi 40 sekund
        • Opóźnienie między 5 i 6 próbą wynosi 5 sekund
      • Po ponownych próbach wywołania elementu webhook nie można wywołać żadnej grupy akcji wywołuje punkt końcowy przez 15 minut.
      • Logika ponawiania zakłada, że można ponowić próbę wywołania. Kody stanu: 408, 429, 503, 504 lub HttpRequestException, WebExceptionlub TaskCancellationException zezwalają na ponowne próby wywołania.

Akcja lub powiadomienie wystąpiło więcej niż raz

Jeśli otrzymano powiadomienie o alercie (takim jak wiadomość e-mail lub sms) więcej niż raz lub akcja alertu (np. element webhook lub funkcja platformy Azure) została wyzwolona wielokrotnie, wykonaj następujące kroki:

1. Czy to na pewno ten sam alert?

   W niektórych przypadkach wiele podobnych alertów jest uruchamianych mniej więcej w tym samym czasie. Może się więc tylko wydawać, że ten sam alert wyzwolił swoje akcje wiele razy. Na przykład reguła alertu dziennika aktywności może być skonfigurowana do uruchamiania i zakończenia zdarzenia (powodzenie lub niepowodzenie), nie filtrując w polu stanu zdarzenia.

   Aby sprawdzić, czy te akcje lub powiadomienia pochodzą z różnych alertów, sprawdź szczegóły alertu, takie jak sygnatura czasowa i identyfikator alertu lub jego identyfikator korelacji. Możesz też sprawdzić listę wyzwolonych alertów w portalu. W takim przypadku należy dostosować logikę reguły alertu lub skonfigurować źródło alertu.

2. Czy ta akcja powtarza się w wielu grupach akcji?

   Po uruchomieniu alertu każda z jego grup akcji jest przetwarzana niezależnie. Jeśli więc akcja (na przykład adres e-mail) pojawia się w wielu wyzwolonych grupach akcji, zostanie wywołana raz dla każdej grupy akcji.

   Aby sprawdzić, które grupy akcji zostały wyzwolone, sprawdź kartę Historia alertów. Zobaczysz, że obie grupy akcji zdefiniowane w regule alertu i grupy akcji dodane do alertu przez reguły przetwarzania alertów:

   

Akcja lub powiadomienie ma nieoczekiwaną zawartość

1. Czy wystąpiła awaria, która wyzwoliła korzystanie z rezerwowego dostawcy poczty e-mail?

   Grupy akcji używają dwóch różnych dostawców poczty e-mail w celu zapewnienia dostarczania powiadomień e-mail. Podstawowy dostawca poczty e-mail jest odporny i szybki, ale czasami cierpi na awarie. Jeśli wystąpi awaria, pomocniczy dostawca poczty e-mail obsługuje żądania poczty e-mail. Dostawca pomocniczy jest tylko rozwiązaniem rezerwowym. Ze względu na różnice dostawcy wiadomość e-mail wysłana od naszego dostawcy pomocniczego może mieć obniżoną wydajność obsługi poczty e-mail. Obniżenie poziomu powoduje nieco inne formatowanie i zawartość wiadomości e-mail. Ponieważ szablony wiadomości e-mail różnią się w dwóch systemach, utrzymanie parzystości między dwoma systemami nie jest możliwe.

   Powiadomienia wygenerowane przez rozwiązanie rezerwowe zawierają notatkę z informacją:

   "Jest to obniżone środowisko poczty e-mail. Oznacza to, że formatowanie może być wyłączone lub może brakować szczegółów. Aby uzyskać więcej informacji na temat obniżonej wydajności obsługi poczty e-mail, przeczytaj tutaj.

   Jeśli powiadomienie nie zawiera tej notatki i otrzymano alert, ale uważasz, że brakuje niektórych pól lub są one nieprawidłowe, sprawdź format ładunku.

2. Jakiego formatu użyto podczas konfigurowania reguły alertu?

   Każdy typ akcji (wiadomość e-mail, element webhook itp.) ma dwa formaty — domyślny, starszy format i wspólny format schematu. Podczas tworzenia grupy akcji należy określić format akcji. Różne akcje w grupach akcji mogą mieć różne formaty.

   Na przykład w przypadku akcji elementu webhook:

   

   Sprawdź, czy na poziomie akcji określono odpowiedni format. Na przykład można utworzyć kod, który odpowiada na alerty (element webhook, funkcja, aplikacja logiki itp.), spodziewając się jednego formatu, ale później w akcji lub innej osobie określono inny format.

   Sprawdź również format ładunku (JSON) dla i dla wspólnego schematu alertu.

Wyniki wyszukiwania nie są uwzględniane w powiadomieniach o alertach przeszukiwania dzienników.

Od wersji 2021-08-01 interfejsu API alertów przeszukiwania dzienników wyniki wyszukiwania zostały usunięte z ładunku powiadomień o alertach. Wyniki wyszukiwania są dostępne tylko dla reguł alertów utworzonych przy użyciu starszych wersji interfejsu API (2018-04-16). Tworzenie nowych reguł alertów za pośrednictwem witryny Azure Portal spowoduje domyślnie utworzenie reguły z nowszą wersją. Zapoznaj się z tematem Zmiany w środowisku tworzenia reguł alertów dziennika, aby dowiedzieć się więcej o zmianach i zalecanych korektach dotyczących używania zaktualizowanej wersji.

Pole MetricValue zawiera wartość "null" dla rozpoznanych powiadomień alertów dotyczących przeszukiwania dzienników.

Jest to celowe. Alerty przeszukiwania dzienników stanowych używają logiki rozwiązywania opartej na czasie, a nie opartej na wartościach. Usługa Azure Monitor wysyła wartość metryki o wartości null, ponieważ nie ma wartości, która spowodowała rozwiązanie alertu, ale raczej upłynął czas.

Lista wymiarów jest pusta lub tytuł alertu nie zawiera nazwy wymiaru

Jeśli masz regułę alertu przeszukiwania dzienników, która nie zwraca żadnych wyników, alert może zostać wyzwolony zgodnie z oczekiwaniami, ale lista wymiarów jest pusta lub tytuł alertu nie zawiera nazwy wymiaru. Jeśli zapytanie nie zwraca żadnych wierszy, pole identyfikatora zasobu (które jest podstawą wypełniania pól wymiarów i tytułów) jest puste.

Brak informacji w alercie dziennika aktywności

Alerty dziennika aktywności to alerty oparte na zdarzeniach zapisanych w dzienniku aktywności platformy Azure, takich jak zdarzenia dotyczące tworzenia, aktualizowania lub usuwania zasobów platformy Azure, kondycji usługi i zdarzeń kondycji zasobów lub wyników z usług Azure Advisor i Azure Policy. Jeśli otrzymano alert na podstawie dziennika aktywności, ale brakuje niektórych pól, których potrzebujesz, lub są one nieprawidłowe, najpierw sprawdź zdarzenia w samym dzienniku aktywności. Jeśli zasób platformy Azure nie zapisał pól, których szukasz w zdarzeniu dziennika aktywności, te pola nie są uwzględniane w odpowiednim alercie.

Brak właściwości niestandardowych w wiadomościach e-mail, SMS lub powiadomieniach wypychanych.

Właściwości niestandardowe są przekazywane tylko do ładunku dla akcji, takich jak element webhook, funkcja platformy Azure lub aplikacje logiki. Właściwości niestandardowe nie są uwzględniane w powiadomieniach (wiadomość e-mail/wiadomość SMS/wypychanie).

Reguła przetwarzania alertów nie działa zgodnie z oczekiwaniami

Jeśli w portalu zostanie wyświetlony wyzwolony alert, ale powiązana reguła przetwarzania alertów nie działa zgodnie z oczekiwaniami, wykonaj następujące kroki:

1. Czy reguła przetwarzania alertów jest włączona?

   Sprawdź pole stanu reguły przetwarzania alertów, aby sprawdzić, czy powiązana rola akcji jest włączona. Domyślnie w portalu są wyświetlane tylko reguły alertów, które są włączone, ale można zmienić filtr, aby wyświetlić wszystkie reguły.

   

   Jeśli nie jest włączona, możesz włączyć regułę przetwarzania alertów, wybierając ją i klikając pozycję Włącz.

2. Czy jest to alert dotyczący kondycji usługi?

   Kondycja usługi alerty nie mają wpływu na reguły przetwarzania alertów. Dlatego jeśli masz regułę przetwarzania alertów skonfigurowaną dla zakresu obejmującego alerty dotyczące kondycji usługi, podczas gdy alerty dotyczące kondycji usługi znajdują się w zakresie, reguła przetwarzania alertów nie wpłynie na nie.

3. Czy reguła przetwarzania alertów przetworzy alert?

   Wybierz wyzwolony alert w portalu i spójrz na kartę Historia , aby sprawdzić, czy reguła przetwarzania alertów została przetworzona.

   Oto przykład reguły przetwarzania alertów, która pomija wszystkie grupy akcji:

   

   Oto przykład reguły przetwarzania alertów, która dodaje inną grupę akcji:

   

4. Czy zakres reguły przetwarzania alertów i filtr są zgodne z wyzwolony alert?

   Jeśli uważasz, że reguła przetwarzania alertów powinna zostać wyzwolona, ale nie powinna zostać wyzwolona, ale nie została wyzwolona, dokładnie zbadaj zakres reguły przetwarzania alertów i warunki filtrowania i porównaj je z właściwościami wyzwolonego alertu.

Problemy z tworzeniem, aktualizowaniem lub usuwaniem reguł przetwarzania alertów w witrynie Azure Portal

Jeśli podczas próby utworzenia, zaktualizowania lub usunięcia reguły przetwarzania alertów wystąpił błąd, wykonaj następujące kroki:

1. Sprawdź uprawnienia.

   Musisz mieć wbudowaną rolę Współautor monitorowania lub określone uprawnienia związane z regułami i alertami przetwarzania alertów.

2. Sprawdź parametry reguły przetwarzania alertów.

   Sprawdź dokumentację reguły przetwarzania alertów lub polecenie PowerShell Set-AzAlertProcessingRule reguły przetwarzania alertów.

Następne kroki

• Rozwiązywanie problemów z alertami dotyczącymi metryk usługi Azure Monitor
• Rozwiązywanie problemów z alertami przeszukiwania dzienników usługi Azure Monitor