Rozwiązanie do zarządzania alertami w usłudze Azure Log Analytics
Ostrożność
To rozwiązanie nie jest już aktywne i może nie działać zgodnie z oczekiwaniami. Zalecamy wypróbowanie korzystania z usługi Azure Resource Graph w celu wysyłania zapytań dotyczących alertów usługi Azure Monitor.
Rozwiązanie do zarządzania alertami ułatwia analizowanie wszystkich alertów w repozytorium usługi Log Analytics. Te alerty mogą pochodzić z różnych źródeł, w tym tych źródeł, utworzonych przez usługę Log Analytics lub zaimportowanych zNagios lub Zabbix. Rozwiązanie importuje również alerty z dowolnych połączonych grup zarządzania programu System Center Operations Manager.
Wymagania wstępne
Rozwiązanie współpracuje z dowolnymi rekordami w repozytorium usługi Log Analytics z typem Alert, dlatego należy wykonać dowolną konfigurację wymaganą do zbierania tych rekordów.
- W przypadku alertów usługi Log Analytics należy utworzyć reguły alertów, aby tworzyć rekordy alertów bezpośrednio w repozytorium.
- W przypadku alertów Nagios i Zabbix skonfigurować te serwery w celu wysyłania alertów do usługi Log Analytics.
- W przypadku alertów menedżera operacji System Center połącz grupę zarządzania programu Operations Manager z przestrzenią roboczą usługi Log Analytics. Wszystkie alerty utworzone w programie System Center Operations Manager są importowane do usługi Log Analytics.
Konfiguracja
Dodaj rozwiązanie do zarządzania alertami do obszaru roboczego usługi Log Analytics przy użyciu procesu opisanego w Dodawanie rozwiązań. Nie jest wymagana żadna dalsza konfiguracja.
Pakiety administracyjne
Jeśli grupa zarządzania programu System Center Operations Manager jest połączona z obszarem roboczym usługi Log Analytics, podczas dodawania tego rozwiązania zostaną zainstalowane następujące pakiety administracyjne. Nie jest wymagana żadna konfiguracja ani konserwacja pakietów administracyjnych.
- Microsoft System Center Advisor Alert Management (Microsoft.IntelligencePacks.AlertManagement)
Aby uzyskać więcej informacji na temat aktualizowania pakietów administracyjnych rozwiązania, zobacz Connect Operations Manager to Log Analytics.
Zbieranie danych
Agenci
W poniższej tabeli opisano połączone źródła obsługiwane przez to rozwiązanie.
| Połączone źródło | Wsparcie | Opis |
|---|---|---|
| agentów systemu Windows | Nie. | Bezpośredni agenci systemu Windows nie generują alertów. Alerty usługi Log Analytics można tworzyć na podstawie zdarzeń i danych wydajności zebranych z agentów systemu Windows. |
| agentów systemu Linux | Nie. | Agenci direct Linux nie generują alertów. Alerty usługi Log Analytics można tworzyć na podstawie zdarzeń i danych wydajności zebranych z agentów systemu Linux. Alerty Nagios i Zabbix są zbierane z tych serwerów, które wymagają agenta systemu Linux. |
| grupy zarządzania programu System Center Operations Manager | Tak | Alerty generowane przez agentów programu Operations Manager są dostarczane do grupy zarządzania, a następnie przekazywane do usługi Log Analytics. Bezpośrednie połączenie agentów programu Operations Manager z usługą Log Analytics nie jest wymagane. Dane alertu są przekazywane z grupy zarządzania do repozytorium usługi Log Analytics. |
Częstotliwość zbierania
- Rekordy alertów są dostępne dla rozwiązania, gdy tylko są przechowywane w repozytorium.
- Dane alertów są wysyłane z grupy zarządzania programu Operations Manager do usługi Log Analytics co trzy minuty.
Korzystanie z rozwiązania
Po dodaniu rozwiązania Zarządzanie Alertami do obszaru roboczego usługi Log Analytics, do pulpitu nawigacyjnego zostanie dodany kafelek Zarządzanie Alertami. Ten kafelek zawiera liczbę i graficzną reprezentację liczby aktualnie aktywnych alertów, które zostały wygenerowane w ciągu ostatnich 24 godzin. Nie można zmienić tego zakresu czasu.
kafelek zarządzania alertami 
Kliknij kafelek zarządzania alertami, aby otworzyć pulpit nawigacyjny zarządzania alertami. Pulpit nawigacyjny zawiera kolumny w poniższej tabeli. Każda kolumna zawiera listę 10 najczęstszych alertów według liczby, które spełniają kryteria tej kolumny dla określonego zakresu i przedziału czasu. Możesz uruchomić wyszukiwanie w dziennikach, które udostępnia całą listę, klikając pozycję Zobacz wszystkie w dolnej części kolumny lub klikając nagłówek kolumny.
| Kolumna | Opis |
|---|---|
| Alerty krytyczne | Wszystkie alerty o ważności Krytyczne pogrupowane według nazwy alertu. Kliknij nazwę alertu, aby uruchomić wyszukiwanie w dzienniku zwracające wszystkie rekordy dla tego alertu. |
| Alerty ostrzegawcze | Wszystkie alerty o stopniu ważności Ostrzeżenia pogrupowane według nazwy alertu. Kliknij nazwę alertu, aby uruchomić wyszukiwanie w dzienniku zwracające wszystkie rekordy dla tego alertu. |
| Aktywne alerty programu System Center Operations Manager | Wszystkie alerty zebrane z programu Operations Manager z dowolnym stanem innym niż Zamknięte pogrupowane według źródła, które wygenerowało alert. |
| Wszystkie aktywne alerty | Wszystkie alerty z dowolną ważnością pogrupowane według nazwy alertu. Uwzględnia tylko alerty programu Operations Manager z dowolnym stanem innym niż Zamknięty. |
Jeśli przewiniesz w prawo, na pulpicie nawigacyjnym zostanie wyświetlonych kilka typowych zapytań, które można kliknąć, aby wykonać przeszukiwanie danych z dzienników alertów.
Rekordy usługi Log Analytics
Rozwiązanie do zarządzania alertami analizuje dowolny rekord z typem Alert. Alerty utworzone przez usługę Log Analytics lub zebrane z platformy Nagios lub Zabbix nie są zbierane bezpośrednio przez rozwiązanie.
Rozwiązanie importuje alerty z programu System Center Operations Manager i tworzy odpowiedni rekord dla każdego z typem Alert i SourceSystem OpsManager. Te rekordy mają właściwości w poniższej tabeli:
| Nieruchomość | Opis |
|---|---|
Type |
Alert |
SourceSystem |
OpsManager |
AlertContext |
Szczegóły elementu danych, który spowodował wygenerowanie alertu w formacie XML. |
AlertDescription |
Szczegółowy opis alertu. |
AlertId |
Identyfikator GUID alertu. |
AlertName |
Nazwa alertu. |
AlertPriority |
Poziom priorytetu alertu. |
AlertSeverity |
Poziom ważności alertu. |
AlertState |
Najnowszy stan rozwiązania alertu. |
LastModifiedBy |
Nazwa użytkownika, który ostatnio zmodyfikował alert. |
ManagementGroupName |
Nazwa grupy zarządzania, w której został wygenerowany alert. |
RepeatCount |
Liczba przypadków wygenerowania tego samego alertu dla tego samego monitorowanego obiektu od momentu rozwiązania problemu. |
ResolvedBy |
Nazwa użytkownika, który rozpoznał alert. Pusty, jeśli alert nie został jeszcze rozwiązany. |
SourceDisplayName |
Nazwa wyświetlana obiektu monitorowania, który wygenerował alert. |
SourceFullName |
Pełna nazwa obiektu monitorowania, który wygenerował alert. |
TicketId |
Identyfikator zgłoszenia dla alertu, jeśli środowisko programu System Center Operations Manager jest zintegrowane z procesem przypisywania zgłoszeń do alertów. Nie przypisano identyfikatora biletu, jeśli jest pusty. |
TimeGenerated |
Data i godzina utworzenia alertu. |
TimeLastModified |
Data i godzina ostatniej zmiany alertu. |
TimeRaised |
Data i godzina wygenerowania alertu. |
TimeResolved |
Data i godzina rozwiązania alertu. Pusty, jeśli alert nie został jeszcze rozwiązany. |
Przykładowe przeszukiwanie dzienników
Poniższa tabela zawiera przykładowe wyszukiwanie dzienników dla rekordów alertów zebranych przez to rozwiązanie:
| Zapytanie | Opis |
|---|---|
| Alert | gdzie SourceSystem == "OpsManager" oraz AlertSeverity == "error" oraz TimeRaised > ago(24h) | Alerty krytyczne zgłaszane w ciągu ostatnich 24 godzin |
| Alert | gdzie AlertSeverity == "warning" oraz TimeRaised > ago(24h) | Alerty ostrzegawcze zgłoszone w ciągu ostatnich 24 godzin |
| Alert | gdzie SourceSystem == "OpsManager" oraz AlertState != "Closed" oraz TimeRaised > ago(24h) | summarize Count = count() by SourceDisplayName | Źródła z aktywnymi alertami zgłoszonymi w ciągu ostatnich 24 godzin |
| Alert | where SourceSystem == "OpsManager" oraz AlertSeverity == "error" oraz TimeRaised > ago(24h) oraz AlertState != "Zamknięte" | Alerty krytyczne zgłaszane w ciągu ostatnich 24 godzin, które są nadal aktywne |
| Alert | where SourceSystem == "OpsManager" oraz TimeRaised > ago(24h) oraz AlertState == "Closed" | Alerty zgłoszone w ciągu ostatnich 24 godzin, które są teraz zamknięte |
| Alert | gdzie SourceSystem == "OpsManager" oraz TimeRaised > ago(1d) | summarize Count = count() by AlertSeverity | Alerty zgłaszane w ciągu ostatnich 1 dni pogrupowane według ich ważności |
| Alert | where SourceSystem == "OpsManager" oraz TimeRaised > ago(1d) | sortuj wg RepeatCount desc | Alerty zgłaszane w ciągu ostatnich 1 dni posortowane według ich wartości liczby powtórzeń |
Następne kroki
- Dowiedz się więcej o alertach w usłudze Log Analytics, aby uzyskać szczegółowe informacje na temat generowania alertów z usługi Log Analytics.