Guia de início rápido: criar alertas com o Azure Resource Graph e o Log Analytics
Artigo
Neste guia de início rápido, você aprenderá como usar o Azure Log Analytics para criar alertas em consultas do Azure Resource Graph. Você pode criar alertas com a consulta do Gráfico de Recursos do Azure, o espaço de trabalho do Log Analytics e identidades gerenciadas. As condições do alerta enviam notificações em um intervalo especificado.
Você pode usar consultas para configurar alertas para seus recursos implantados do Azure. Você pode criar consultas usando tabelas do Azure Resource Graph ou pode combinar tabelas do Azure Resource Graph e dados do Log Analytics dos Logs do Azure Monitor.
Nos exemplos deste artigo, crie recursos no mesmo grupo de recursos e use a mesma região, como West US 3. Os exemplos neste artigo executam consultas e criam alertas para recursos do Azure em um único locatário do Azure. Os clusters do Azure Data Explorer estão fora do escopo deste artigo.
Este artigo inclui dois exemplos de alertas:
Azure Resource Graph: usa a tabela Azure Resource Graph Resources para criar uma consulta que obtém dados para seus recursos do Azure implantados e criar um alerta.
Azure Resource Graph and Log Analytics: Usa a tabela do Azure Resource Graph Resources e os dados do Log Analytics da tabela Azure Monitor Logs Heartbeat . Este exemplo usa uma máquina virtual para mostrar como configurar a consulta e o alerta.
Nota
A integração de alertas do Azure Resource Graph com o Log Analytics está em pré-visualização pública.
Recursos implantados no Azure, como máquinas virtuais ou contas de armazenamento.
Para usar o exemplo para a consulta do Azure Resource Graph e do Log Analytics, você precisa de pelo menos uma máquina virtual do Azure com o Azure Monitor Agent.
Criar área de trabalho
Crie um espaço de trabalho do Log Analytics na assinatura que está sendo monitorada.
Não é necessário criar uma máquina virtual para o exemplo que usa a tabela do Gráfico de Recursos do Azure.
Nota
Esta seção é opcional se você tiver máquinas virtuais existentes ou souber como criar uma máquina virtual. Este exemplo usa uma máquina virtual para mostrar como criar uma consulta usando uma tabela do Azure Resource Graph e dados do Log Analytics.
Para obter informações de log, quando você conecta sua máquina virtual ao espaço de trabalho do Log Analytics, o Agente do Azure Monitor é instalado na máquina virtual. Se você não tiver uma máquina virtual, poderá criar uma para este exemplo. Para evitar custos desnecessários, exclua a máquina virtual quando terminar o exemplo.
As instruções a seguir são configurações básicas para uma máquina virtual Linux. As etapas detalhadas sobre como criar uma máquina virtual estão fora do escopo deste artigo. Sua organização pode exigir configurações de segurança ou de rede diferentes para máquinas virtuais.
Em Criar uma máquina virtual, você pode aceitar as configurações padrão com as seguintes exceções:
Noções básicas
Grupo de recursos: demo-arg-alert-rg
nome da máquina virtual: insira um nome de máquina virtual como demovm01.
Opções de disponibilidade: Não é necessária redundância de infraestrutura
Tamanho: Standard_B1s
Conta de administrador: tem de criar credenciais, mas, neste exemplo, não precisa de iniciar sessão:
Tipo de autenticação: chave pública SSH
Nome de usuário: Criar um nome de usuário
Fonte de chave pública SSH: Gerar novo par de chaves
Nome do par de chaves: Aceitar nome padrão
Portas de entrada públicas: Nenhuma
Discos
Verifique se a opção Excluir com VM está selecionada.
Rede
IP público: Nenhum
Selecione Excluir NIC quando a VM for excluída.
Gestão
Selecione Ativar desligamento automático.
Selecione uma hora de encerramento no seu fuso horário.
Adicione seu endereço de e-mail se quiser uma notificação de desligamento.
Monitoramento, Avançado e Tags
Não são necessárias alterações para este exemplo.
Selecione Rever + criar e, em seguida, Criar.
Você será solicitado a Gerar novo par de chaves. Selecione Transferir chave privada e criar recurso. Quando terminar de usar a máquina virtual, exclua o arquivo de chave privada do computador.
Selecione Ir para recurso depois que a máquina virtual for implantada.
Nota
Esta seção é opcional se você souber como conectar uma máquina virtual a um espaço de trabalho do Log Analytics e ao Azure Monitor Agent.
Configure uma regra de coleta de dados para monitorar a máquina virtual.
No campo de pesquisa do Azure, insira regras de coleta de dados e selecione Regras de coleta de dados.
Selecione Criar:
Nome da regra: insira um nome como demo-data-collection-rule.
Subscrição: selecione a sua subscrição.
Grupo de recursos: Selecione demo-arg-alert-rg.
Região: Oeste dos EUA 3.
Tipo de plataforma: Selecione Tudo.
Selecione Next: Recursos:
Selecione Adicionar recursos.
Subscrição: selecione a sua subscrição.
Escopo: selecione seu grupo de recursos e o nome da máquina virtual.
Selecione Aplicar.
Selecione Seguinte: Recolher e entregar:
Selecione Adicionar origem de dados.
Tipo de fonte de dados: Selecione Contadores de Desempenho.
Selecione Próximo: Destino e Adicionar destino:
Tipo de destino: Azure Monitor Logs.
Subscrição: selecione a sua subscrição.
Conta ou namespace: selecione seu espaço de trabalho do Log Analytics, demo-arg-alert-workspace.
Selecione Adicionar origem de dados.
Selecione Rever + criar e, em seguida , Criar.
Selecione Ir para recurso quando a implantação estiver concluída.
Verifique se o monitoramento está configurado para a máquina virtual:
Vá para sua regra de coleta de dados e revise a Configuração:
Fontes de Dados: mostra os Contadores de Desempenho da fonte de dados e os Logs do Azure Monitor de destino.
Recursos: mostra a máquina virtual, o grupo de recursos e a assinatura.
Vá para o espaço de trabalho demo-arg-alert-workspace do Log Analytics. Selecione Configurações>Agentes>Servidores Linux e seu computador Linux está conectado ao agente Linux do Azure Monitor. Pode levar alguns minutos para que o agente seja exibido.
Vá para sua máquina virtual e selecione Configurações>Extensões + aplicativos e verifique se o AzureMonitorLinuxAgentprovisionamento mostra foi bem-sucedido.
No espaço de trabalho do Log Analytics, crie uma consulta do Azure Resource Graph para obter uma contagem dos seus recursos do Azure. Este exemplo usa a tabela Azure Resource Graph Resources .
Selecione Logs no lado esquerdo da página do espaço de trabalho do Log Analytics. Feche a janela Consultas , se exibida.
Use o seguinte código na nova consulta:
arg("").Resources
| count
Os nomes das tabelas no Log Analytics precisam ser maiúsculas e minúsculas com a primeira letra de cada palavra em maiúsculas, como Resources ou ResourceContainers. Você também pode usar minúsculas como resources ou resourcecontainers.
Selecione Executar.
Os Resultados exibem a Contagem de recursos em sua assinatura do Azure. Anote esse número porque você precisa dele para a condição da regra de alerta. Quando você executa manualmente a consulta, a contagem é baseada na identidade do usuário e um alerta disparado usa uma identidade gerenciada. É possível que a contagem varie entre uma execução manual ou um alerta disparado.
Remova a contagem da consulta.
arg("").Resources
No espaço de trabalho do Log Analytics, crie uma consulta do Azure Resource Graph para obter as últimas informações de pulsação da sua máquina virtual. Este exemplo usa a tabela do Azure Resource Graph Resources e os dados do Log Analytics da tabela Azure Monitor Logs Heartbeat .
Vá para o espaço de trabalho demo-arg-alert-workspace do Log Analytics.
Selecione Logs no lado esquerdo da página do espaço de trabalho do Log Analytics. Feche a janela Consultas , se exibida.
Use o seguinte código na nova consulta:
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
Os nomes das tabelas no Log Analytics precisam ser maiúsculas e minúsculas com a primeira letra de cada palavra em maiúsculas, como Resources ou ResourceContainers. Você também pode usar minúsculas como resources ou resourcecontainers.
Você pode usar outros períodos de tempo para o TimeGenerated. Por exemplo, em vez de minutos como 15m horas de uso como 12h, 24h, 48h.
Selecione Executar.
A consulta deve retornar a última pulsação, o estado de energia, o nome e a ID do recurso da máquina virtual. Se nenhum resultado for exibido, continue para as próximas etapas. As novas configurações podem levar 30 minutos para que os dados de monitoramento fiquem disponíveis para a consulta e os alertas.
No espaço de trabalho do Log Analytics, selecione Nova regra de alerta. A consulta do espaço de trabalho do Log Analytics é copiada para a regra de alerta. Criar uma regra de alerta tem várias guias que precisam ser atualizadas para criar o alerta.
Âmbito
Verifique se o escopo assume como padrão o espaço de trabalho do Log Analytics chamado demo-arg-alert-workspace.
Somente se o escopo não estiver definido como padrão, execute as seguintes etapas:
Vá para a guia Escopo e selecione Selecionar escopo.
Na parte inferior da tela Recursos selecionados , remova o escopo atual.
Selecione a opção Selecionar escopo.
Expanda o demo-arg-alert-rg na lista de recursos e selecione demo-arg-alert-workspace.
Selecione Aplicar.
Selecione Next: Condição.
Condição
O formulário tem vários campos a preencher:
Nome do sinal: Pesquisa de log personalizada
Consulta de pesquisa: Exibe o código de consulta
Se você alterou o escopo, precisará adicionar a consulta na seção Criar consulta .
Medição
Medida: Linhas da tabela
Tipo de agregação: Contagem
Granularidade da agregação: 5 minutos
Lógica de alerta
Operador: Maior que
Valor do limite: use um número menor que o número retornado da contagem de recursos.
Por exemplo, se a contagem de recursos foi 50, use 45. Esse valor dispara o alerta para disparar quando ele avalia seus recursos porque seu número de recursos é maior do que o valor limite.
Frequência da avaliação: 5 minutos
Selecione Next: Actions.
Ações
Selecione Criar grupo de ações:
Subscrição: selecione a sua subscrição do Azure.
Grupo de recursos: demo-arg-alert-rg
Região: Global permite que o serviço de grupos de ação selecione o local.
Nome do grupo de ação: demo-arg-alert-action-group
Nome para exibição: demo-action (limite de 12 caracteres)
Selecione Next: Notificações:
Tipo de notificação: Selecione E-mail / SMS mensagem / Push / Voz.
Nome: email-alert
Marque a caixa de seleção E-mail e digite seu endereço de e-mail.
Selecione OK.
Selecione Rever + criar, verifique se o resumo está correto e selecione Criar. Você retornará à guia Ações da página Criar uma regra de alerta. O nome do grupo de ações mostra o grupo de ações que você criou. Você recebe uma notificação por e-mail para confirmar que foi adicionado ao grupo de ação.
Selecione Next: Details.
Detalhes
Use as seguintes informações na guia Detalhes :
Subscrição: selecione a sua subscrição do Azure.
Grupo de recursos: demo-arg-alert-rg
Gravidade: Aceite o valor padrão 3 - Informativo.
Nome da regra de alerta: demo-arg-alert-rule
Descrição da regra de alerta: Alerta de email para contagem de recursos do Azure
Região: West US 3
Identidade: Selecione Identidade gerenciada atribuída ao sistema.
Selecione Rever + criar, verifique se o resumo está correto e selecione Criar. Você retornará à página Logs do seu espaço de trabalho do Log Analytics.
Atribuir função
Atribua o Log Analytics Reader à identidade gerenciada atribuída pelo sistema para que ele tenha permissões disparando alertas que enviam notificações por e-mail.
Selecione Alertas de monitoramento> no espaço de trabalho do Log Analytics. Selecione OK se lhe for pedido que as edições não guardadas serão descartadas.
Selecione Regras de alerta.
Selecione demo-arg-alert-rule.
Selecione Configurações>do Sistema de Identidade>atribuído:
Estado: Ativado
ID do objeto: mostra o GUID do seu aplicativo corporativo (entidade de serviço) no Microsoft Entra ID.
Permissão: Selecione atribuições de função do Azure:
Verifique se a sua subscrição está selecionada.
Selecione Adicionar atribuição de função:
Âmbito: Subscrição
Assinatura: selecione o nome da sua assinatura do Azure.
Função: Log Analytics Reader
Selecione Guardar.
Leva alguns minutos para que o Log Analytics Reader seja exibido na página de atribuições de função do Azure. Selecione Atualizar para atualizar a página.
Use o botão Voltar do navegador para retornar à Identidade e selecione Visão geral para retornar à regra de alerta. Selecione o link para seu grupo de recursos chamado demo-arg-alert-rg.
Embora fora do escopo deste artigo, para um cluster do Azure Data Explorer, adicione a função Leitor à identidade gerenciada atribuída ao sistema. Para obter mais informações, no final deste artigo, selecione o link Atribuições de função para clusters do Azure Data Explorer.
No espaço de trabalho do Log Analytics, selecione Nova regra de alerta. A consulta do espaço de trabalho do Log Analytics é copiada para a regra de alerta. A regra Criar um alerta tem várias guias que precisam ser atualizadas.
Âmbito
Verifique se o escopo assume como padrão o espaço de trabalho do Log Analytics chamado demo-arg-alert-workspace.
Somente se o escopo não estiver definido como padrão, execute as seguintes etapas:
Vá para a guia Escopo e selecione Selecionar escopo.
Na parte inferior da tela Recursos selecionados , exclua o escopo atual.
Expanda o demo-arg-alert-rg na lista de recursos e selecione demo-arg-alert-workspace.
Selecione Aplicar.
Selecione Next: Condição.
Condição
O formulário tem vários campos a preencher:
Nome do sinal: Pesquisa de log personalizada
Consulta de pesquisa: Exibe o código de consulta
Se você alterou o escopo, precisará adicionar a consulta na seção Criar consulta .
Medição
Medida: Linhas da tabela
Tipo de agregação: Contagem
Granularidade da agregação: 5 minutos
Lógica de alerta
Operador: Menos de
Valor limite: 2
Frequência da avaliação: 5 minutos
Selecione Next: Actions.
Ações
Selecione Criar grupo de ações:
Subscrição: selecione a sua subscrição do Azure.
Grupo de recursos: demo-arg-alert-rg
Região: Global permite que o serviço de grupos de ação selecione o local.
Nome do grupo de ação: demo-arg-la-alert-action-group
Nome para exibição: demo-argla (limite é de 12 caracteres)
Selecione Next: Notificações:
Tipo de notificação: Selecione Email/SMS message/Push/Voice
Nome: email-alert-arg-la
Marque a caixa de seleção E-mail e digite seu endereço de e-mail
Selecione Ok
Selecione Rever + criar, verifique se o resumo está correto e selecione Criar. Você retornará à guia Ações da página Criar uma regra de alerta. O nome do grupo de ações mostra o grupo de ações que você criou. Você recebe uma notificação por e-mail para confirmar que foi adicionado ao grupo de ação.
Selecione Next: Details.
Detalhes
Use as seguintes informações na guia Detalhes :
Subscrição: selecione a sua subscrição do Azure.
Grupo de recursos: demo-arg-alert-rg
Gravidade: Selecione 2 - Aviso.
Nome da regra de alerta: demo-arg-la-alert-rule
Descrição da regra de alerta: Alerta de email para consulta ARG-LA da máquina virtual do Azure
Região: West US 3
Identidade: Selecione Identidade gerenciada atribuída ao sistema
Selecione Rever + criar, verifique se o resumo está correto e selecione Criar. Você retornará à página Logs do seu espaço de trabalho do Log Analytics.
Atribuir função
Atribua o Log Analytics Reader à identidade gerenciada atribuída pelo sistema para que ele tenha permissões disparando alertas que enviam notificações por e-mail.
Selecione Alertas de monitoramento> no espaço de trabalho do Log Analytics. Selecione OK se lhe for pedido que as edições não guardadas serão descartadas.
Selecione Regras de alerta.
Selecione demo-arg-la-alert-rule.
Selecione Configurações>do Sistema de Identidade>atribuído:
Estado: Ativado
ID do objeto: mostra o GUID do seu aplicativo corporativo (entidade de serviço) no Microsoft Entra ID.
Permissão: selecione atribuições de função do Azure
Verifique se a sua subscrição está selecionada
Selecione Adicionar atribuição de função:
Âmbito: Subscrição
Assinatura: selecione o nome da sua assinatura do Azure
Função: Log Analytics Reader
Selecione Guardar.
Leva alguns minutos para que o Log Analytics Reader seja exibido na página de atribuições de função do Azure. Selecione Atualizar para atualizar a página.
Use o botão Voltar do navegador para retornar à Identidade e selecione Visão geral para retornar à regra de alerta. Selecione o link para seu grupo de recursos chamado demo-arg-alert-rg.
Embora fora do escopo deste artigo, para um cluster do Azure Data Explorer, adicione a função Leitor à identidade gerenciada atribuída ao sistema. Para obter mais informações, no final deste artigo, selecione o link Atribuições de função para clusters do Azure Data Explorer.
Depois que a função for atribuída à sua regra de alerta, você começará a receber emails para mensagens de alerta. A regra foi criada para enviar alertas a cada cinco minutos e leva alguns minutos para receber o primeiro alerta.
Você também pode exibir os alertas no portal do Azure:
Vá para o grupo de recursos demo-arg-alert-rg.
Selecione demo-arg-alert-workspace na sua lista de recursos.
Selecione Monitoramento>de alertas.
É apresentada uma lista de alertas.
Depois que a função for atribuída à sua regra de alerta, você começará a receber emails para mensagens de alerta. A regra foi criada para enviar alertas a cada cinco minutos e leva alguns minutos para receber o primeiro alerta.
Você também pode exibir os alertas no portal do Azure:
Vá para o grupo de recursos demo-arg-alert-rg.
Selecione a sua máquina virtual.
Selecione Monitoramento>de alertas.
É apresentada uma lista de alertas.
Para uma nova configuração, pode levar 30 minutos para que as informações de log fiquem disponíveis e criem alertas. Durante esse tempo, você pode notar que a regra de alerta da máquina virtual exibe alertas nos alertas de monitoramento do espaço de trabalho. Quando as informações de log da máquina virtual ficam disponíveis, os alertas são exibidos nos alertas de monitoramento da máquina virtual.
Clean up resources (Limpar recursos)
Se você quiser manter a configuração de alerta, mas impedir que o alerta dispare e envie notificações por e-mail, você pode desativá-lo. Vá para sua regra de alerta demo-arg-alert-rule ou demo-arg-la-alert-rule e selecione Desativar.
Se você não precisar desse alerta ou dos recursos criados neste exemplo, exclua o grupo de recursos com as seguintes etapas:
Vá para o seu grupo de recursos demo-arg-alert-rg.
Selecione Eliminar grupo de recursos.
Digite o nome do grupo de recursos para confirmar.
Selecione Eliminar.
Se você criou uma máquina virtual, exclua a chave privada baixada para o computador durante a implantação. O nome do arquivo tem uma .pem extensão.
Conteúdos relacionados
Para obter mais informações sobre a linguagem de consulta ou como explorar recursos, consulte os seguintes artigos.