Rozwiązanie do zarządzania alertami w usłudze Azure Log Analytics
Przestroga
To rozwiązanie nie jest już aktywne i może nie działać zgodnie z oczekiwaniami. Zalecamy wypróbowanie korzystania z usługi Azure Resource Graph w celu wykonywania zapytań dotyczących alertów usługi Azure Monitor.
Rozwiązanie do zarządzania alertami ułatwia analizowanie wszystkich alertów w repozytorium usługi Log Analytics. Te alerty mogą pochodzić z różnych źródeł, w tym źródeł utworzonych przez usługę Log Analytics lub zaimportowanych z nagios lub Zabbix. Rozwiązanie importuje również alerty z dowolnych połączonych grup zarządzania programu System Center Operations Manager.
Wymagania wstępne
Rozwiązanie działa z dowolnymi rekordami w repozytorium usługi Log Analytics z typem alertu, dlatego należy wykonać dowolną konfigurację wymaganą do zbierania tych rekordów.
- W przypadku alertów usługi Log Analytics utwórz reguły alertów , aby tworzyć rekordy alertów bezpośrednio w repozytorium.
- W przypadku alertów Nagios i Zabbix skonfiguruj te serwery do wysyłania alertów do usługi Log Analytics.
- W przypadku alertów programu System Center Operations Manager połącz grupę zarządzania programu Operations Manager z obszarem roboczym usługi Log Analytics. Wszystkie alerty utworzone w programie System Center Operations Manager są importowane do usługi Log Analytics.
Konfiguracja
Dodaj rozwiązanie do zarządzania alertami do obszaru roboczego usługi Log Analytics przy użyciu procesu opisanego w temacie Dodawanie rozwiązań. Nie są wymagane żadne dalsze czynności konfiguracyjne.
Pakiety administracyjne
Jeśli grupa zarządzania programu System Center Operations Manager jest połączona z obszarem roboczym usługi Log Analytics, następujące pakiety administracyjne są instalowane w programie System Center Operations Manager po dodaniu tego rozwiązania. Nie jest wymagana żadna konfiguracja ani konserwacja pakietów administracyjnych.
- Microsoft System Center Advisor Alert Management (Microsoft.IntelligencePacks.AlertManagement)
Aby uzyskać więcej informacji na temat aktualizowania pakietów administracyjnych rozwiązania, zobacz artykuł Connect Operations Manager to Log Analytics (Połączenie programu Operations Manager z usługą Log Analytics).
Zbieranie danych
Agenci
W poniższej tabeli opisano połączone źródła, które obsługuje to rozwiązanie.
| Połączone źródło | Pomoc techniczna | Description |
|---|---|---|
| Agenci dla systemu Windows | Nie | Bezpośredni agenci systemu Windows nie generują alertów. Alerty usługi Log Analytics można tworzyć na podstawie zdarzeń i danych wydajności zebranych z agentów systemu Windows. |
| Agenci dla systemu Linux | Nie | Bezpośredni agenci systemu Linux nie generują alertów. Alerty usługi Log Analytics można tworzyć na podstawie zdarzeń i danych wydajności zebranych z agentów systemu Linux. Alerty Nagios i Zabbix są zbierane z tych serwerów, które wymagają agenta systemu Linux. |
| Grupa zarządzania programu System Center Operations Manager | Tak | Alerty generowane przez agentów programu Operations Manager są dostarczane do grupy zarządzania, a następnie przekazywane do usługi Log Analytics. Bezpośrednie połączenie agenta programu Operations Manager z usługą Log Analytics nie jest wymagane. Dane alertu są przekazywane z grupy zarządzania do repozytorium usługi Log Analytics. |
Częstotliwość zbierania
- Rekordy alertów są dostępne dla rozwiązania zaraz po ich zapisie w repozytorium.
- Dane alertu są wysyłane z grupy zarządzania programu Operations Manager do usługi Log Analytics co trzy minuty.
Użycie rozwiązania
Po dodaniu rozwiązania do zarządzania alertami do obszaru roboczego usługi Log Analytics do pulpitu nawigacyjnego zostanie dodany kafelek Zarządzanie alertami . Ten kafelek wyświetla liczbę i graficzną reprezentację liczby aktualnie aktywnych alertów, które zostały wygenerowane w ciągu ostatnich 24 godzin. Nie można zmienić tego zakresu czasu.
Kliknij kafelek Zarządzanie alertami , aby otworzyć pulpit nawigacyjny zarządzanie alertami . Na pulpicie nawigacyjnym znajdują się kolumny wymienione w poniższej tabeli. Każda kolumna zawiera listę pierwszych 10 alertów przez zliczenie pasujących do kryteriów tej kolumny dla określonego zakresu i zakresu czasu. Możesz uruchomić wyszukiwanie w dzienniku, które zawiera całą listę, klikając pozycję Zobacz wszystko w dolnej części kolumny lub klikając nagłówek kolumny.
| Kolumna | Opis |
|---|---|
| Alerty krytyczne | Wszystkie alerty o ważności Krytyczne pogrupowane według nazwy alertu. Kliknij nazwę alertu, aby uruchomić wyszukiwanie w dzienniku zwracające wszystkie rekordy dla tego alertu. |
| Alerty ostrzegawcze | Wszystkie alerty o ważności Ostrzeżenie pogrupowane według nazwy alertu. Kliknij nazwę alertu, aby uruchomić wyszukiwanie w dzienniku zwracające wszystkie rekordy dla tego alertu. |
| Aktywne alerty programu System Center Operations Manager | Wszystkie alerty zebrane z programu Operations Manager ze stanem innym niż Zamknięte pogrupowane według źródła, które wygenerowały alert. |
| Wszystkie aktywne alerty | Wszystkie alerty z dowolną ważnością pogrupowane według nazwy alertu. Obejmuje tylko alerty programu Operations Manager o dowolnym stanie innym niż Zamknięty. |
Jeśli przewiniesz w prawo, na pulpicie nawigacyjnym zostanie wyświetlonych kilka typowych zapytań, które można kliknąć, aby wyszukać dane alertu w dzienniku .
Rekordy usługi Log Analytics
Rozwiązanie do zarządzania alertami analizuje dowolny rekord z typem alertu. Alerty utworzone przez usługę Log Analytics lub zebrane z rozwiązania Nagios lub Zabbix nie są bezpośrednio zbierane przez rozwiązanie.
Rozwiązanie importuje alerty z programu System Center Operations Manager i tworzy odpowiedni rekord dla każdego z typami Alert i SourceSystem opsManager. Te rekordy mają właściwości w poniższej tabeli:
| Właściwość | Opis |
|---|---|
Type |
Alert |
SourceSystem |
OpsManager |
AlertContext |
Szczegóły elementu danych, który spowodował wygenerowanie alertu w formacie XML. |
AlertDescription |
Szczegółowy opis alertu. |
AlertId |
Identyfikator GUID alertu. |
AlertName |
Nazwa alertu. |
AlertPriority |
Poziom priorytetu alertu. |
AlertSeverity |
Poziom ważności alertu. |
AlertState |
Najnowszy stan rozwiązania alertu. |
LastModifiedBy |
Nazwa użytkownika, który ostatnio zmodyfikował alert. |
ManagementGroupName |
Nazwa grupy zarządzania, w której został wygenerowany alert. |
RepeatCount |
Liczba przypadków wygenerowania tego samego alertu dla tego samego monitorowanego obiektu od momentu rozwiązania problemu. |
ResolvedBy |
Nazwa użytkownika, który rozpoznał alert. Puste, jeśli alert nie został jeszcze rozwiązany. |
SourceDisplayName |
Nazwa wyświetlana obiektu monitorowania, który wygenerował alert. |
SourceFullName |
Pełna nazwa obiektu monitorowania, który wygenerował alert. |
TicketId |
Identyfikator biletu dla alertu, jeśli środowisko programu System Center Operations Manager jest zintegrowane z procesem przypisywania biletów dla alertów. Nie przypisano żadnego identyfikatora biletu. |
TimeGenerated |
Data i godzina utworzenia alertu. |
TimeLastModified |
Data i godzina ostatniej zmiany alertu. |
TimeRaised |
Data i godzina wygenerowania alertu. |
TimeResolved |
Data i godzina rozwiązania alertu. Puste, jeśli alert nie został jeszcze rozwiązany. |
Przykładowe wyszukiwania dzienników
Poniższa tabela zawiera przykładowe wyszukiwanie dzienników dla rekordów alertów zebranych przez to rozwiązanie:
| Zapytanie | Description |
|---|---|
| Alert | where SourceSystem == "OpsManager" i AlertSeverity == "error" i TimeRaised > ago(24h) | Alerty krytyczne zgłaszane w ciągu ostatnich 24 godzin |
| Alert | where AlertSeverity == "warning" and TimeRaised > ago(24h) | Alerty ostrzegawcze zgłoszone w ciągu ostatnich 24 godzin |
| Alert | where SourceSystem == "OpsManager" i AlertState != "Closed" and TimeRaised > ago(24h) | summarize Count = count() by SourceDisplayName | Źródła z aktywnymi alertami zgłoszonymi w ciągu ostatnich 24 godzin |
| Alert | where SourceSystem == "OpsManager" i AlertSeverity == "error" i TimeRaised > ago(24h) i AlertState != "Closed" | Alerty krytyczne zgłaszane w ciągu ostatnich 24 godzin, które są nadal aktywne |
| Alert | where SourceSystem == "OpsManager" i TimeRaised > ago(24h) i AlertState == "Closed" | Alerty zgłoszone w ciągu ostatnich 24 godzin, które są teraz zamknięte |
| Alert | where SourceSystem == "OpsManager" i TimeRaised > ago(1d) | summarize Count = count() by AlertSeverity | Alerty zgłoszone w ciągu ostatniego 1 dnia pogrupowane według ich ważności |
| Alert | where SourceSystem == "OpsManager" i TimeRaised > ago(1d) | sort by RepeatCount desc | Alerty zgłoszone w ciągu ostatnich 1 dni posortowane według ich wartości liczby powtórzeń |
Następne kroki
- Dowiedz się więcej na temat alertów w usłudze Log Analytics, aby poznać szczegóły generowania alertów z usługi Log Analytics.