Udostępnij za pośrednictwem


Szybki start: tworzenie alertów przy użyciu usługi Azure Resource Graph i usługi Log Analytics

Z tego przewodnika Szybki start dowiesz się, jak za pomocą usługi Azure Log Analytics tworzyć alerty w zapytaniach usługi Azure Resource Graph. Alerty można tworzyć za pomocą zapytań usługi Azure Resource Graph, obszaru roboczego usługi Log Analytics i tożsamości zarządzanych. Warunki alertu wysyłają powiadomienia w określonym interwale.

Za pomocą zapytań można skonfigurować alerty dla wdrożonych zasobów platformy Azure. Zapytania można tworzyć przy użyciu tabel usługi Azure Resource Graph lub łączyć tabele usługi Azure Resource Graph i dane usługi Log Analytics z dzienników usługi Azure Monitor.

W przykładach tego artykułu utwórz zasoby w tej samej grupie zasobów i użyj tego samego regionu, takiego jak Zachodnie stany USA 3. Przykłady w tym artykule uruchamiają zapytania i tworzą alerty dotyczące zasobów platformy Azure w jednej dzierżawie platformy Azure. Klastry usługi Azure Data Explorer są poza zakresem tego artykułu.

Ten artykuł zawiera dwa przykłady alertów:

  • Azure Resource Graph: używa tabeli usługi Azure Resource GraphResources do utworzenia zapytania, które pobiera dane dla wdrożonych zasobów platformy Azure i tworzy alert.
  • Usługi Azure Resource Graph i Log Analytics: używa tabeli azure Resource Graph Resources i danych usługi Log Analytics z tabeli Dzienniki Heartbeat usługi Azure Monitor. W tym przykładzie użyto maszyny wirtualnej, aby pokazać, jak skonfigurować zapytanie i alert.

Uwaga

Integracja alertów usługi Azure Resource Graph z usługą Log Analytics jest dostępna w publicznej wersji zapoznawczej.

Wymagania wstępne

  • Jeśli nie masz jeszcze konta platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
  • Zasoby wdrożone na platformie Azure, takie jak maszyny wirtualne lub konta magazynu.
  • Aby użyć przykładu dla zapytań usługi Azure Resource Graph i Log Analytics, potrzebujesz co najmniej jednej maszyny wirtualnej platformy Azure z agentem usługi Azure Monitor.

Tworzenie obszaru roboczego

Utwórz obszar roboczy usługi Log Analytics w monitorowanej subskrypcji.

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania wpisz obszary robocze usługi Log Analytics i wybierz pozycję Obszary robocze usługi Log Analytics.

    Jeśli używasz obszarów roboczych usługi Log Analytics, możesz wybrać je z poziomu usług platformy Azure.

    Zrzut ekranu przedstawiający stronę główną platformy Azure z wyróżnionymi polami wyszukiwania i obszarami roboczymi usługi Log Analytics.

  3. Wybierz pozycję Utwórz:

    • Subskrypcja: wybierz subskrypcję platformy Azure
    • Grupa zasobów: demo-arg-alert-rg
    • Nazwa: demo-arg-alert-workspace
    • Region: Zachodnie stany USA 3
      • Możesz wybrać inny region, ale użyć tego samego regionu dla innych zasobów.
  4. Wybierz pozycję Przejrzyj i utwórz i poczekaj na wyświetlenie pomyślnie przekazanej weryfikacji.

  5. Wybierz pozycję Utwórz , aby rozpocząć wdrażanie.

  6. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu .

Tworzenie maszyny wirtualnej

Nie musisz tworzyć maszyny wirtualnej na potrzeby przykładu korzystającego z tabeli usługi Azure Resource Graph.

Tworzenie zapytania

W obszarze roboczym usługi Log Analytics utwórz zapytanie usługi Azure Resource Graph, aby uzyskać liczbę zasobów platformy Azure. W tym przykładzie użyto tabeli usługi Azure Resource Graph Resources .

  1. Wybierz pozycję Dzienniki po lewej stronie obszaru roboczego usługi Log Analytics. Zamknij okno Zapytania, jeśli zostanie wyświetlone.

  2. Użyj następującego kodu w nowym zapytaniu:

    arg("").Resources
    | count
    

    Nazwy tabel w usłudze Log Analytics muszą mieć przypadek wielbłąda z pierwszą literą każdego wyrazu, na przykład Resources lub ResourceContainers. Możesz również użyć małych liter, takich jak resources lub resourcecontainers.

    Zrzut ekranu przedstawiający obszar roboczy usługi Log Analytics z zapytaniem w tabeli Resources z wyróżnionymi dziennikami i przyciskiem uruchamiania.

  3. Wybierz Uruchom.

    Wyniki wyświetla liczbę zasobów w subskrypcji platformy Azure. Zanotuj ten numer, ponieważ jest on potrzebny dla warunku reguły alertu. Po ręcznym uruchomieniu zapytania liczba jest oparta na tożsamości użytkownika, a wyzwolony alert używa tożsamości zarządzanej. Możliwe, że liczba może się różnić w zależności od ręcznego uruchomienia lub wyzwolonego alertu.

  4. Usuń liczbę z zapytania.

    arg("").Resources
    

Tworzenie reguły alertu

W obszarze roboczym usługi Log Analytics wybierz pozycję Nowa reguła alertu. Zapytanie z obszaru roboczego usługi Log Analytics jest kopiowane do reguły alertu. Tworzenie reguły alertu zawiera kilka kart, które należy zaktualizować, aby utworzyć alert.

Zrzut ekranu przedstawiający stronę obszaru roboczego usługi Log Analytics z wyróżnioną nową regułą alertu.

Scope

Sprawdź, czy zakres jest domyślny dla obszaru roboczego usługi Log Analytics o nazwie demo-arg-alert-workspace.

Tylko wtedy, gdy zakres nie jest ustawiony na wartość domyślną, wykonaj następujące czynności:

  1. Przejdź do karty Zakres i wybierz pozycję Wybierz zakres.
  2. W dolnej części ekranu Wybrane zasoby usuń bieżący zakres.
  3. Wybierz opcję Wybierz zakres.
  4. Rozwiń listę zasobów demo-arg-alert-rg i wybierz pozycję demo-arg-alert-workspace.
  5. Wybierz Zastosuj.
  6. Wybierz pozycję Dalej: Warunek.

Stan

Formularz zawiera kilka pól do ukończenia:

  • Nazwa sygnału: wyszukiwanie w dzienniku niestandardowym
  • Zapytanie wyszukiwania: wyświetla kod zapytania
    • Jeśli zakres został zmieniony, musisz dodać zapytanie z sekcji Tworzenie zapytania .

Miara

  • Miara: wiersze tabeli
  • Typ agregacji: Liczba
  • Stopień szczegółowości agregacji: 5 minut

Logika alertu

  • Operator: większe niż
  • Wartość progu: użyj liczby mniejszej niż liczba zwrócona z liczby zasobów.
    • Jeśli na przykład liczba zasobów wynosiła 50, użyj wartości 45. Ta wartość powoduje wyzwolenie alertu podczas oceny zasobów, ponieważ liczba zasobów jest większa niż wartość progowa.
  • Częstotliwość oceny: 5 minut

Wybierz pozycję Dalej: Akcje.

Akcje

Wybierz pozycję Utwórz grupę akcji:

  • Subskrypcja: wybierz subskrypcję platformy Azure.
  • Grupa zasobów: demo-arg-alert-rg
  • Region: Wartość globalna umożliwia usłudze grup akcji wybieranie lokalizacji.
  • Nazwa grupy akcji: demo-arg-alert-action-group
  • Nazwa wyświetlana: demo-action (limit to 12 znaków)

Wybierz pozycję Dalej: Powiadomienia:

  • Typ powiadomienia: wybierz pozycję Wiadomość e-mail/wiadomość SMS/wypychanie/głos.
  • Nazwa: email-alert
  • Zaznacz pole wyboru Adres e-mail i wpisz swój adres e-mail.
  • Wybierz OK

Wybierz pozycję Przejrzyj i utwórz, sprawdź, czy podsumowanie jest poprawne, a następnie wybierz pozycję Utwórz. Powrócisz do karty Akcje na stronie Tworzenie reguły alertu. Nazwa grupy akcji zawiera utworzoną grupę akcji. Otrzymasz powiadomienie e-mail, aby potwierdzić, że dodano Cię do grupy akcji.

Wybierz pozycję Dalej: Szczegóły.

Szczegóły

Użyj następujących informacji na karcie Szczegóły :

  • Subskrypcja: wybierz subskrypcję platformy Azure.
  • Grupa zasobów: demo-arg-alert-rg
  • Ważność: Zaakceptuj wartość domyślną 3 — Informacyjna.
  • Nazwa reguły alertu: demo-arg-alert-rule
  • Opis reguły alertu: Alert e-mail dotyczący liczby zasobów platformy Azure
  • Region: Zachodnie stany USA 3
  • Tożsamość: wybierz pozycję Tożsamość zarządzana przypisana przez system.

Wybierz pozycję Przejrzyj i utwórz, sprawdź, czy podsumowanie jest poprawne, a następnie wybierz pozycję Utwórz. Wrócisz do strony Dzienniki obszaru roboczego usługi Log Analytics.

Przypisywanie roli

Przypisz czytelnika usługi Log Analytics do przypisanej przez system tożsamości zarządzanej, aby mieć uprawnienia do wyzwalania alertów wysyłających powiadomienia e-mail.

  1. Wybierz pozycję Monitorowanie>alertów w obszarze roboczym usługi Log Analytics. Wybierz przycisk OK , jeśli zostanie wyświetlony monit o odrzucenie niezapisanych edycji.
  2. Wybierz pozycję Reguły alertów.
  3. Wybierz pozycję demo-arg-alert-rule.
  4. Wybierz pozycję Ustawienia>Przypisany system tożsamości:>
    • Stan: Włączone
    • Identyfikator obiektu: pokazuje identyfikator GUID aplikacji dla przedsiębiorstw (jednostki usługi) w identyfikatorze Entra firmy Microsoft.
    • Uprawnienie: wybierz pozycję Przypisania ról platformy Azure:
      • Sprawdź, czy wybrano subskrypcję.
      • Wybierz pozycję Dodaj przypisanie roli:
      • Zakres: Subskrypcja
      • Subskrypcja: wybierz nazwę subskrypcji platformy Azure.
      • Rola: Czytelnik usługi Log Analytics
  5. Wybierz pozycję Zapisz.

Wyświetlenie czytnika usługi Log Analytics na stronie przypisań ról platformy Azure zajmuje kilka minut. Wybierz pozycję Odśwież , aby zaktualizować stronę.

Użyj przycisku Wstecz przeglądarki, aby powrócić do pozycji Tożsamość , a następnie wybierz pozycję Przegląd , aby powrócić do reguły alertu. Wybierz link do grupy zasobów o nazwie demo-arg-alert-rg.

Mimo że poza zakresem tego artykułu w przypadku klastra usługi Azure Data Explorer dodaj rolę Czytelnik do tożsamości zarządzanej przypisanej przez system. Aby uzyskać więcej informacji, na końcu tego artykułu wybierz link Przypisania ról dla klastrów usługi Azure Data Explorer.

Weryfikowanie alertów

Po przypisaniu roli do reguły alertu rozpoczniesz odbieranie wiadomości e-mail dotyczących wiadomości alertów. Reguła została utworzona w celu wysyłania alertów co pięć minut i uzyskanie pierwszego alertu trwa kilka minut.

Alerty można również wyświetlić w witrynie Azure Portal:

  1. Przejdź do grupy zasobów demo-arg-alert-rg.

  2. Wybierz pozycję demo-arg-alert-workspace na liście zasobów.

  3. Wybierz pozycję Alerty monitorowania>.

  4. Zostanie wyświetlona lista alertów.

    Zrzut ekranu przedstawiający obszar roboczy usługi Log Analytics przedstawiający listę wyzwolonych alertów.

Czyszczenie zasobów

Jeśli chcesz zachować konfigurację alertu, ale zatrzymać wyzwalanie alertu i wysyłanie powiadomień e-mail, możesz go wyłączyć. Przejdź do reguły alertu demo-arg-alert-rule lub demo-arg-la-alert-rule i wybierz pozycję Wyłącz.

Jeśli nie potrzebujesz tego alertu lub zasobów utworzonych w tym przykładzie, usuń grupę zasobów, wykonując następujące czynności:

  1. Przejdź do grupy zasobów demo-arg-alert-rg.
  2. Wybierz pozycję Usuń grupę zasobów.
  3. Wpisz nazwę grupy zasobów, aby potwierdzić.
  4. Wybierz Usuń.

Jeśli utworzono maszynę wirtualną, usuń klucz prywatny pobrany na komputer podczas wdrażania. Nazwa pliku ma .pem rozszerzenie.

Aby uzyskać więcej informacji na temat języka zapytań lub sposobu eksplorowania zasobów, przejdź do następujących artykułów.