Partilhar via


Criar ou editar uma regra de alerta de pesquisa de log

Este artigo mostra como criar uma nova regra de alerta de pesquisa de log ou editar uma regra de alerta de pesquisa de log existente no Azure Monitor. Para saber mais sobre alertas, consulte a visão geral de alertas.

As regras de alerta combinam os recursos a serem monitorados, os dados de monitoramento do recurso e as condições que você deseja disparar o alerta. Em seguida, você pode definir grupos de ações e regras de processamento de alertas para determinar o que acontece quando um alerta é acionado.

Os alertas acionados por essas regras de alerta contêm uma carga útil que usa o esquema de alerta comum.

Pré-requisitos

Para criar ou editar uma regra de alerta, você deve ter as seguintes permissões:

  • permissão de Ler no recurso de destino da regra de alerta.
  • Permissão de gravação no grupo de recursos no qual a regra de alerta é criada. Se estiver a criar a regra de alerta a partir do portal do Azure, a regra de alerta é criada por predefinição no mesmo grupo de recursos em que reside o recurso de destino.
  • permissão de Ler em qualquer grupo de ação associado à regra de alerta, se aplicável.

Acessar o assistente de regra de alerta no portal do Azure

Há várias maneiras de criar ou editar uma regra de alerta.

Criar ou editar uma regra de alerta a partir da home page do portal

  1. No portal do Azure, selecione Monitor.
  2. No painel esquerdo, selecione Alertas.
  3. Selecione + Criar>regra de alerta.

Captura de ecrã que mostra os passos para criar uma regra de alerta a partir da página inicial do portal.

Criar ou editar uma regra de alerta a partir de um recurso específico

  1. No portal do Azure, vá para o recurso.
  2. No painel esquerdo, selecione Alertas.
  3. Selecione + Criar>regra de alerta.
  4. O escopo da regra de alerta é definido para o recurso selecionado. Continue definindo as condições para a regra de alerta.

Captura de ecrã que mostra os passos para criar uma regra de alerta a partir de um recurso selecionado.

Editar uma regra de alerta existente

  1. No portal do Azure, na home page ou em um recurso específico, selecione Alertas no painel esquerdo.

  2. Selecione Regras de alerta.

  3. Selecione a regra de alerta que pretende editar e, em seguida, selecione Editar.

    Captura de ecrã que mostra os passos para editar uma regra de alerta de pesquisa de registo existente.

  4. Selecione qualquer uma das guias da regra de alerta para editar as configurações.

Configurar o escopo da regra de alerta

  1. No painel Selecionar um recurso, defina o escopo da regra de alerta. Você pode filtrar por assinatura, tipo de recurso ou local do recurso.

    Captura de tela que mostra o painel para selecionar um recurso durante a criação de uma nova regra de alerta.

  2. Selecione Aplicar.

Configurar condições de regra de alerta

  1. Na guia Condição, ao selecionar o campo Nome do sinal, selecione Pesquisa de log personalizada. Ou selecione Ver todos os sinais se quiser escolher um sinal diferente para a condição.

  2. (Opcional) Se você selecionou Ver todos os sinais na etapa anterior, use o painel Selecionar um sinal para procurar o nome do sinal ou filtrar a lista de sinais. Filtrar por:

    • Tipo de sinal: Selecione Log search.
    • Fonte de sinal: O serviço que envia os sinais de pesquisa de log personalizado e Log (consulta salva). Selecione o nome do sinal e, em seguida, selecione Aplicar.
  3. No painel Logs, escreva uma consulta que retorne os eventos de log para os quais você deseja criar um alerta. Para usar uma das consultas de regra de alerta predefinidas, expanda o painel Esquema e filtro ao lado do painel Logs . Em seguida, selecione a guia Consultas e selecione uma das consultas.

    Esteja ciente destas limitações para consultas de regra de alerta de pesquisa de log:

    • As consultas de regra de alerta de pesquisa de log não suportam bag_unpack(), pivot()e narrow().
    • As consultas de regra de alerta de pesquisa de log suportam ago() apenas com literais de intervalo de tempo.
    • AggregatedValue é uma palavra reservada. Não é possível usá-lo na consulta nas regras de alerta de pesquisa de log.
    • O tamanho combinado de todos os dados nas propriedades das regras de alerta de pesquisa de log não pode exceder 64 KB.
    • Ao definir funções personalizadas na consulta KQL para alertas de pesquisa de log, é importante ser cauteloso com o código de função que inclui cláusulas de tempo relativo (por exemplo, now()). Funções personalizadas com cláusulas de tempo relativas que não são definidas na própria consulta KQL de alerta de pesquisa de log podem introduzir inconsistências nos resultados da consulta, potencialmente afetando a precisão e a confiabilidade das avaliações de alerta. Por conseguinte:
      • Para garantir alertas precisos e oportunos, sempre defina cláusulas de tempo relativas diretamente na consulta KQL de alerta de pesquisa de log.
      • Se forem necessários intervalos de tempo dentro da função, eles devem ser passados como parâmetros e usados na função.

    Captura de tela que mostra o painel de consulta durante a criação de uma nova regra de alerta de pesquisa de log.

  4. (Opcional) Se você estiver consultando um cluster do Azure Data Explorer ou do Azure Resource Graph, o espaço de trabalho do Log Analytics não poderá identificar automaticamente a coluna com o carimbo de data/hora do evento. Recomendamos que você adicione um filtro de intervalo de tempo à consulta. Por exemplo:

        adx('https://help.kusto.windows.net/Samples').table    
        | where MyTS >= ago(5m) and MyTS <= now()
    
        arg("").Resources
        | where type =~ 'Microsoft.Compute/virtualMachines'
        | project _ResourceId=tolower(id), tags
    

    Captura de tela que mostra a guia Condição para criar uma nova regra de alerta de pesquisa de log.

    Consultas de alerta de pesquisa de log de exemplo estão disponíveis para o Azure Data Explorer e o Resource Graph.

    As consultas entre serviços não são suportadas em nuvens governamentais. Para obter mais informações sobre limitações, consulte Limitações de consulta entre serviços e Combinar tabelas do Azure Resource Graph com um espaço de trabalho do Log Analytics.

  5. Selecione Executar para executar o alerta.

  6. A seção Visualizar mostra os resultados da consulta. Quando terminar de editar a consulta, selecione Continuar o alerta de edição.

  7. A guia Condição é aberta e preenchida com sua consulta de log. Por padrão, a regra conta o número de resultados nos últimos cinco minutos. Se o sistema detetar resultados de consulta resumidos, a regra será atualizada automaticamente com essas informações.

  8. Na seção Medição, selecione valores para estes campos:

    Campo Descrição
    Medida Os alertas de pesquisa de log podem medir duas coisas que você pode usar para vários cenários de monitoramento:
    Linhas da tabela: você pode usar o número de linhas retornadas para trabalhar com eventos como logs de eventos do Windows, Syslog e exceções de aplicativos.
    Cálculo de uma coluna numérica: Você pode usar cálculos baseados em qualquer coluna numérica para incluir qualquer número de recursos. Um exemplo é a percentagem de CPU.
    Tipo de agregação O cálculo realizado em vários registros para agregá-los a um valor numérico usando a granularidade de agregação. Exemplos são Total, Média, Mínimo e Máximo.
    Granularidade da agregação O intervalo para agregar vários registros em um valor numérico.

    Captura de tela que mostra as opções de medição durante a criação de uma nova regra de alerta de pesquisa de log.

  9. (Opcional) Na seção Dividir por dimensões , você pode usar dimensões para ajudar a fornecer contexto para o alerta acionado.

    As dimensões são colunas dos resultados das consultas que contêm dados adicionais. Quando utilizar dimensões, a regra de alerta agrupa os resultados das consultas pelos valores de dimensões e avalia os resultados de cada grupo separadamente. Se a condição for cumprida, a regra ativa um alerta para esse grupo. A payload do alerta inclui a combinação que ativou o alerta.

    Pode aplicar até seis dimensões por regra de alerta. As dimensões podem ser apenas colunas numéricas ou cadeias. Se pretender utilizar uma coluna que não seja um número ou tipo de cadeia como uma dimensão, deverá convertê-la numa cadeia ou num valor numérico na sua consulta. Se selecionar mais de um valor de dimensão, cada série temporal resultante da combinação irá ativar o seu próprio alerta e será cobrado separadamente.

    Por exemplo:

    • Você pode usar dimensões para monitorar o uso da CPU em várias instâncias que executam seu site ou aplicativo. Cada instância é monitorada individualmente e as notificações são enviadas para cada instância em que o uso da CPU excede o valor configurado.
    • Você pode decidir não dividir por dimensões quando quiser que uma condição seja aplicada a vários recursos no escopo. Por exemplo, você não usaria dimensões se quiser disparar um alerta se pelo menos cinco máquinas no escopo do grupo de recursos tiverem uso de CPU acima do valor configurado.

    Em geral, se o escopo da regra de alerta for um espaço de trabalho, os alertas serão disparados no espaço de trabalho. Se quiser um alerta separado para cada recurso do Azure afetado, você pode:

    • Use a coluna Azure Resource Manager Azure Resource ID como uma dimensão. Quando você usa essa opção, o alerta é disparado no espaço de trabalho com a coluna ID de Recursos do Azure como uma dimensão.

    • Especifique o alerta como uma dimensão na propriedade ID de Recursos do Azure. Essa opção torna o recurso que sua consulta retorna o destino do alerta. Em seguida, os alertas são disparados sobre o recurso retornado pela consulta, como uma máquina virtual ou uma conta de armazenamento, em vez do espaço de trabalho.

      Quando você usa essa opção, se o espaço de trabalho obtiver dados de recursos em mais de uma assinatura, os alertas poderão ser acionados em recursos de uma assinatura diferente da assinatura da regra de alerta.

    Selecione valores para estes campos:

    Campo Descrição
    Nome da dimensão As dimensões podem ser colunas numéricas ou de cadeia de caracteres. As dimensões são usadas para monitorar séries temporais específicas e fornecer contexto para um alerta disparado.
    Operador O operador que é usado no nome e valor da dimensão.
    Valores de dimensão Os valores das dimensões baseiam-se em dados das últimas 48 horas. Selecione Adicionar valor personalizado para adicionar valores de dimensão personalizados.
    Incluir todos os valores futuros Selecione este campo para incluir quaisquer valores futuros adicionados à dimensão selecionada.

    Captura de tela que mostra a seção para divisão por dimensões em uma nova regra de alerta de pesquisa de log.

  10. Na seção Lógica de alerta, selecione valores para estes campos:

    Campo Descrição
    Operador Os resultados da consulta são transformados em um número. Neste campo, selecione o operador a ser usado para comparar o número com o limite.
    Valor limite Um valor numérico para o limite.
    Frequência da avaliação Com que frequência a consulta é executada. Você pode configurá-lo em qualquer lugar de um minuto a um dia (24 horas).

    Captura de tela que mostra a seção para lógica de alerta em uma nova regra de alerta de pesquisa de log.

    Nota

    A frequência não é um horário específico em que o alerta é executado todos os dias. É a frequência com que a regra de alerta é executada.

    Existem algumas limitações para usar uma frequência de regra de alerta de um minuto. Quando define a frequência da regra de alerta para um minuto, é realizada uma manipulação interna para otimizar a consulta. Esta manipulação pode fazer com que a consulta falhe se contiver operações não suportadas. Os motivos mais comuns pelos quais uma consulta não é suportada são:

    • A consulta contém a searchoperação , union, ou take (limit).
    • A consulta contém a ingestion_time() função.
    • A consulta usa o adx padrão.
    • A consulta chama uma função que chama outras tabelas.

    Consultas de alerta de pesquisa de log de exemplo estão disponíveis para o Azure Data Explorer e o Resource Graph.

  11. (Opcional) Na seção Opções avançadas, você pode especificar o número de falhas e o período de avaliação do alerta necessário para disparar um alerta. Por exemplo, se você definir a granularidade de agregação para 5 minutos, poderá especificar que deseja disparar um alerta somente se três falhas (15 minutos) acontecerem na última hora. A política de negócios do seu aplicativo determina essa configuração.

    Selecione valores para estes campos em Número de violações para disparar o alerta:

    Campo Descrição
    Número de violações O número de violações que disparam o alerta. Observe que, para usar isso, a consulta deve incluir a coluna 'datetime' nos resultados da consulta
    Período de avaliação O período de tempo dentro do qual o número de violações ocorre.
    Substituir intervalo de tempo de consulta Se desejar que o período de avaliação do alerta seja diferente do intervalo de tempo da consulta, insira um intervalo de tempo aqui.
    O intervalo de tempo dos alertas é limitado a um máximo de dois dias. Mesmo que a consulta contenha um ago comando com um intervalo de tempo superior a dois dias, o intervalo de tempo máximo de dois dias é aplicado. Por exemplo, mesmo que o texto da consulta contenha ago(7d), a consulta verifica apenas até dois dias de dados. Se a consulta exigir mais dados do que a avaliação do alerta, pode alterar o intervalo de tempo manualmente. Se a consulta contiver um ago comando, ela será alterada automaticamente para dois dias (48 horas).

    Captura de tela que mostra a seção para opções avançadas em uma nova regra de alerta de pesquisa de log.

    Nota

    Se você ou seu administrador atribuiu a política do Azure Azure Log Search Alertas sobre espaços de trabalho do Log Analytics deve usar chaves gerenciadas pelo cliente, você deve selecionar Verificar armazenamento vinculado do espaço de trabalho. Se você não fizer isso, a criação da regra falhará porque não atenderá aos requisitos da política.

  12. O gráfico Pré-visualização mostra os resultados das avaliações de consulta ao longo do tempo. Você pode alterar o período do gráfico ou selecionar diferentes séries temporais que resultaram de um alerta exclusivo dividido por dimensões.

    Captura de ecrã que mostra uma pré-visualização de uma nova regra de alerta.

  13. Selecionar Concluído. Depois de configurar as condições da regra de alerta, você pode configurar os detalhes da regra de alerta para concluir a criação do alerta ou, opcionalmente, também pode adicionar ações e tags à regra de alerta.

Configurar ações de regra de alerta

Na guia Ações, você pode, opcionalmente, selecionar ou criar grupos de ações para sua regra de alerta.

Captura de ecrã que mostra o separador Ações para criar uma nova regra de alerta.

Configurar detalhes da regra de alerta

  1. Na guia Detalhes, em Detalhes do projeto, selecione os valores do grupo Assinatura e Recurso.

  2. Em Detalhes da regra de alerta:

    1. Selecione o valor Gravidade .

    2. Insira valores para Nome da regra de alerta e Descrição da regra de alerta.

      Nota

      Uma regra que usa uma identidade não pode ter o caractere ponto-e-vírgula (;) no valor Nome da regra de alerta.

    3. Selecione o valor Região.

  3. Na seção Identidade, selecione qual identidade a regra de alerta de pesquisa de log usa para autenticação quando envia a consulta de log.

    Tenha estes pontos em mente ao selecionar uma identidade:

    • Uma identidade gerenciada é necessária se você estiver enviando uma consulta para o Azure Data Explorer ou Resource Graph.
    • Use uma identidade gerenciada se quiser visualizar ou editar as permissões associadas à regra de alerta.
    • Se você não usar uma identidade gerenciada, as permissões da regra de alerta serão baseadas nas permissões do último usuário a editar a regra, no momento em que a regra foi editada pela última vez.
    • Use uma identidade gerenciada para ajudá-lo a evitar um caso em que a regra não funcione como esperado porque o usuário que editou a regra pela última vez não tinha permissões para todos os recursos adicionados ao escopo da regra.

    A identidade associada à regra deve ter estas funções:

    • Se a consulta estiver acessando um espaço de trabalho do Log Analytics, a identidade deverá receber uma função de leitor para todos os espaços de trabalho acessados pela consulta. Se você estiver criando alertas de pesquisa de log centrados em recursos, a regra de alerta poderá acessar vários espaços de trabalho e a identidade deverá ter uma função de leitor em todos eles.
    • Se você estiver consultando um cluster do Azure Data Explorer ou do Resource Graph, deverá adicionar a função de leitor para todas as fontes de dados acessadas pela consulta. Por exemplo, se a consulta for centrada em recursos, ela precisará de uma função de leitor nesse recurso.
    • Se a consulta estiver acessando um cluster remoto do Azure Data Explorer, a identidade deverá ser atribuída:
      • Uma função de leitor para todas as fontes de dados que a consulta acessa. Por exemplo, se a consulta estiver chamando um cluster remoto do Azure Data Explorer usando a adx() função, ela precisará de uma função de leitor nesse cluster do Azure Data Explorer.
      • Uma função de visualizador de banco de dados para todos os bancos de dados que a consulta acessa.

    Para obter informações detalhadas sobre identidades gerenciadas, consulte Identidades gerenciadas para recursos do Azure.

    Selecione uma das seguintes opções para a identidade usada pela regra de alerta:

    Opção de identidade Description
    Nenhuma As permissões da regra de alerta são baseadas nas permissões do último usuário que editou a regra, no momento em que a regra foi editada.
    Habilitar identidade gerenciada atribuída ao sistema O Azure cria uma nova identidade dedicada para esta regra de alerta. Essa identidade não tem permissões e é excluída automaticamente quando a regra é excluída. Depois de criar a regra, você deve atribuir permissões a essa identidade para acessar o espaço de trabalho e as fontes de dados necessários para a consulta. Para obter mais informações sobre como atribuir permissões, consulte Atribuir funções do Azure usando o portal do Azure. Não há suporte para regras de alerta de pesquisa de log que usam armazenamento vinculado.
    Habilitar identidade gerenciada atribuída ao usuário Antes de criar a regra de alerta, crie uma identidade e atribua-lhe as permissões apropriadas para a consulta de log. Esta é uma identidade normal do Azure. Você pode usar uma identidade em várias regras de alerta. A identidade não é excluída quando a regra é excluída. Quando você seleciona esse tipo de identidade, um painel é aberto para que você selecione a identidade associada à regra.

    Captura de tela que mostra a guia Detalhes para criar uma nova regra de alerta de pesquisa de log.

  4. (Opcional) Na seção Opções avançadas , você pode definir várias opções:

    Campo Descrição
    Ativar após a criação Selecione esta opção para que a regra de alerta comece a ser executada assim que terminar de criá-la.
    Resolver alertas automaticamente Selecione esta opção para tornar o alerta com monitoração de estado. Quando um alerta é com monitoração de estado, ele é resolvido quando a condição não é mais atendida para um intervalo de tempo específico. O intervalo de tempo difere com base na frequência do alerta:
    1 minuto: A condição de alerta não é cumprida durante 10 minutos.
    5 a 15 minutos: A condição de alerta não é cumprida durante três períodos de frequência.
    15 minutos a 11 horas: A condição de alerta não é atendida por dois períodos de frequência.
    11 a 12 horas: A condição de alerta não é cumprida durante um período de frequência.

    Observe que os alertas de pesquisa de log com monitoração de estado têm essas limitações.
    Silenciar ações Selecione esta opção para definir um período de tempo de espera antes que as ações de alerta sejam acionadas novamente. No campo Silenciar ações para exibido, selecione a quantidade de tempo a aguardar depois que um alerta é disparado antes de acionar ações novamente.
    Verificar o armazenamento vinculado ao espaço de trabalho Selecione essa opção se o armazenamento vinculado ao espaço de trabalho para alertas estiver configurado. Se nenhum armazenamento vinculado estiver configurado, a regra não será criada.
  5. (Opcional) Na seção Propriedades personalizadas, se essa regra de alerta contiver grupos de ações, você poderá adicionar suas próprias propriedades para incluir na carga útil da notificação de alerta. Você pode usar essas propriedades nas ações que o grupo de ações chama, como por um webhook, função do Azure ou ação de aplicativo lógico.

    As propriedades personalizadas são especificadas como pares chave/valor usando texto estático, um valor dinâmico extraído da carga útil de alerta ou uma combinação de ambos.

    O formato para extrair um valor dinâmico da carga útil de alerta é: ${<path to schema field>}. Por exemplo: ${data.essentials.monitorCondition}.

    Use o formato do esquema de alerta comum para especificar o campo na carga útil, independentemente de os grupos de ação configurados para a regra de alerta usarem ou não o esquema comum.

    Nota

    • As propriedades personalizadas são adicionadas à carga útil do alerta, mas não aparecem no modelo de email ou nos detalhes do alerta no portal do Azure.

    Captura de tela que mostra propriedades personalizadas para criar uma nova regra de alerta.

    Os exemplos a seguir usam valores em Propriedades personalizadas para utilizar dados de uma carga útil que usa o esquema de alerta comum.

    Este exemplo cria uma tag Additional Details com dados sobre a hora de início e a hora de término da janela:

    • Nome: Additional Details
    • Valor: Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
    • Resultado: AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z

    Este exemplo adiciona dados sobre o motivo para resolver ou disparar o alerta:

    • Nome: Alert ${data.essentials.monitorCondition} reason
    • Valor: ${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
    • Resultados potenciais:
      • Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
      • Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585

Configurar tags de regra de alerta

Na guia Marcas, você pode, opcionalmente, definir as tags necessárias no recurso de regra de alerta.

Captura de ecrã que mostra o separador Etiquetas para criar uma nova regra de alerta.

Rever e criar a regra de alerta

  1. Na guia Revisão + criação, a regra é validada. Se houver um problema, volte e corrija-o.

  2. Quando a validação for aprovada e tiver revisto as definições, selecione o botão Criar.

    Captura de ecrã que mostra o separador para rever e criar uma nova regra de alerta.