Краткое руководство. Создание оповещений с помощью Azure Resource Graph и Log Analytics
Статья
Из этого краткого руководства вы узнаете, как использовать Azure Log Analytics для создания оповещений в запросах Azure Resource Graph. Оповещения можно создавать с помощью запросов Azure Resource Graph, рабочей области Log Analytics и управляемых удостоверений. Условия оповещения отправляют уведомления по указанному интервалу.
Запросы можно использовать для настройки оповещений для развернутых ресурсов Azure. Запросы можно создавать с помощью таблиц Azure Resource Graph или объединять таблицы Azure Resource Graph и данные Log Analytics из журналов Azure Monitor.
В примерах этой статьи создайте ресурсы в той же группе ресурсов и используйте тот же регион, что и западная часть США 3. Примеры, приведенные в этой статье, выполняют запросы и создают оповещения для ресурсов Azure в одном клиенте Azure. Кластеры Azure Data Explorer не входят в область действия этой статьи.
В этой статье приведены два примера оповещений:
Azure Resource Graph: использует таблицу Azure Resource GraphResources для создания запроса, который получает данные для развернутых ресурсов Azure и создает оповещение.
Azure Resource Graph и Log Analytics: использует таблицу Azure Resource Graph Resources и данные Log Analytics из таблицы журналов Heartbeat Azure Monitor. В этом примере используется виртуальная машина, чтобы показать, как настроить запрос и оповещение.
Примечание.
Интеграция оповещений Azure Resource Graph с Log Analytics доступна в общедоступной предварительной версии.
Необходимые компоненты
Если у вас нет учетной записи Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
Ресурсы, развернутые в Azure, например виртуальные машины или учетные записи хранения.
Чтобы использовать пример для запроса Azure Resource Graph и Log Analytics, вам потребуется по крайней мере одна виртуальная машина Azure с агентом Azure Monitor.
Создание рабочей области
Создайте рабочую область Log Analytics в отслеживаемой подписке.
Вам не нужно создавать виртуальную машину для примера, использующего таблицу Azure Resource Graph.
Примечание.
Этот раздел необязателен, если у вас есть виртуальные машины или как создать виртуальную машину. В этом примере используется виртуальная машина, чтобы показать, как создать запрос с помощью таблицы Azure Resource Graph и данных Log Analytics.
Чтобы получить сведения о журнале, при подключении виртуальной машины к рабочей области Log Analytics агент Azure Monitor устанавливается на виртуальной машине. Если у вас нет виртуальной машины, можно создать ее в этом примере. Чтобы избежать ненужных затрат, удалите виртуальную машину после завершения работы с примером.
Ниже приведены основные параметры виртуальной машины Linux. Подробные инструкции по созданию виртуальной машины находятся вне области этой статьи. В вашей организации могут потребоваться различные параметры безопасности или сети для виртуальных машин.
Добавьте адрес электронной почты, если требуется уведомление о завершении работы.
Мониторинг, расширенные и теги
Для этого примера не требуется никаких изменений.
Выберите Просмотр и создание, а затем щелкните Создать.
Вам будет предложено создать новую пару ключей. Выберите Download private key and create resource (Скачать закрытый ключ и создать ресурс). После завершения работы с виртуальной машиной удалите файл закрытого ключа с компьютера.
Выберите "Перейти к ресурсу " после развертывания виртуальной машины.
Примечание.
Этот раздел необязателен, если вы знаете, как подключить виртуальную машину к рабочей области Log Analytics и агенту Azure Monitor.
Настройте правило сбора данных для мониторинга виртуальной машины.
В поле поиска Azure введите правила сбора данных и выберите правила сбора данных.
Выберите " Создать":
Имя правила: введите имя, например demo-data-collection-rule.
Подписка. Выберите нужную подписку.
Группа ресурсов: выберите demo-arg-alert-rg.
Регион: западная часть США 3.
Тип платформы: Выберите все.
Нажмите кнопку "Далее": ресурсы:
Щелкните Добавление ресурсов.
Подписка. Выберите нужную подписку.
Область. Выберите группу ресурсов и имя виртуальной машины.
Выберите Применить.
Нажмите кнопку Далее: Сбор и доставка:
Выберите Добавить источник данных.
Тип источника данных: выбор счетчиков производительности.
Нажмите кнопку "Далее" и "Добавить назначение":
Тип назначения: журналы Azure Monitor.
Подписка. Выберите нужную подписку.
Учетная запись или пространство имен. Выберите рабочую область Log Analytics, demo-arg-alert-workspace.
Выберите Добавить источник данных.
Нажмите кнопку "Рецензирование и создание", а затем "Создать".
Выберите "Перейти к ресурсу " после завершения развертывания.
Убедитесь, что мониторинг настроен для виртуальной машины:
Перейдите к правилу сбора данных и просмотрите конфигурацию:
Источники данных: отображаются счетчики производительности источника данных и целевые журналы Azure Monitor.
Ресурсы: показывает виртуальную машину, группу ресурсов и подписку.
Перейдите в рабочую область Log Analytics demo-arg-alert-workspace. Выберите "Агенты>параметров Linux"> и компьютер Linux подключен к агенту Linux Azure Monitor. Для отображения агента может потребоваться несколько минут.
Перейдите на виртуальную машину и выберите "Параметры>" и "Приложения" и убедитесь, что AzureMonitorLinuxAgentпоказана подготовка выполнена успешно.
В рабочей области Log Analytics создайте запрос Azure Resource Graph, чтобы получить количество ресурсов Azure. В этом примере используется таблица Azure Resource Graph Resources .
Выберите журналы в левой части страницы рабочей области Log Analytics. Закройте окно "Запросы" при отображении.
Используйте следующий код в новом запросе:
arg("").Resources
| count
Имена таблиц в Log Analytics должны быть верблюдьими буквами каждого слова с прописной буквой, например Resources или ResourceContainers. Вы также можете использовать строчные буквы, например resources или resourcecontainers.
Выберите Выполнить.
В результатах отображается количество ресурсов в подписке Azure. Запишите это число, так как оно требуется для условия правила генерации оповещений. При выполнении запроса, выполняемого вручную, счетчик основан на удостоверениях пользователей, а в уволенном оповещении используется управляемое удостоверение. Возможно, что количество может отличаться от ручного запуска или срабатывания оповещения.
Удалите количество из запроса.
arg("").Resources
В рабочей области Log Analytics создайте запрос Azure Resource Graph, чтобы получить последние данные пульса из виртуальной машины. В этом примере используются таблица Azure Resource Graph Resources и данные Log Analytics из таблицы журналов Heartbeat Azure Monitor.
Перейдите в рабочую область Log Analytics demo-arg-alert-workspace .
Выберите журналы в левой части страницы рабочей области Log Analytics. Закройте окно "Запросы" при отображении.
Используйте следующий код в новом запросе:
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
Имена таблиц в Log Analytics должны быть верблюдьими буквами каждого слова с прописной буквой, например Resources или ResourceContainers. Вы также можете использовать строчные буквы, например resources или resourcecontainers.
Для этого TimeGeneratedможно использовать другие временные интервалы. Например, вместо минут, таких как 15m часы, например 12h, 48h24h.
Выберите Выполнить.
Запрос должен возвращать последний пульс виртуальной машины, состояние питания, имя и идентификатор ресурса. Если результаты не отображаются, перейдите к следующим шагам. Новые конфигурации могут занять 30 минут, чтобы данные мониторинга стали доступными для запроса и оповещений.
В рабочей области Log Analytics выберите новое правило генерации оповещений. Запрос из рабочей области Log Analytics копируется в правило генерации оповещений. Создание правила генерации оповещений содержит несколько вкладок, которые необходимо обновить для создания оповещения.
Область
Убедитесь, что область по умолчанию используется в рабочей области Log Analytics с именем demo-arg-alert-workspace.
Только если область не задана по умолчанию, выполните следующие действия.
Перейдите на вкладку "Область" и выберите " Выбрать область".
В нижней части экрана "Выбранные ресурсы " удалите текущую область.
Выберите параметр "Выбрать область".
Разверните demo-arg-alert-rg из списка ресурсов и выберите demo-arg-alert-workspace.
Выберите Применить.
Нажмите кнопку "Далее": условие.
Condition
Форма состоит из нескольких полей:
Имя сигнала: пользовательский поиск по журналам
Поисковый запрос: отображает код запроса
Если вы изменили область, необходимо добавить запрос из раздела "Создать запрос ".
Измерение
Мера: строки таблицы
Тип агрегирования: число
Степень детализации агрегирования: 5 минут
Логика оповещений
Оператор: больше
Пороговое значение: используйте число, которое меньше числа, возвращаемого из числа ресурсов.
Например, если количество ресурсов составило 50, используйте 45. Это значение активирует оповещение при оценке ресурсов, так как количество ресурсов больше порогового значения.
Частота оценки: 5 минут
Нажмите кнопку "Далее": действия.
Действия
Выберите " Создать группу действий":
Подписка. Выберите подписку Azure.
Группа ресурсов: demo-arg-alert-rg
Регион: глобальный позволяет службе групп действий выбрать расположение.
Имя группы действий: demo-arg-alert-action-group
Отображаемое имя: демонстрация действия (ограничение составляет 12 символов)
Нажмите кнопку "Далее": уведомления:
Тип уведомления: выберите сообщение электронной почты,SMS/Push/Voice.
Имя: оповещение по электронной почте
Установите флажок "Электронная почта" и введите адрес электронной почты.
Нажмите OK.
Выберите "Просмотр и создание", проверьте правильность сводки и нажмите кнопку "Создать". Вы вернелись на вкладку "Действия" на странице "Создание правила генерации оповещений". Имя группы действий показывает созданную группу действий. Вы получите уведомление по электронной почте, чтобы подтвердить, что вы были добавлены в группу действий.
Нажмите кнопку "Далее": сведения.
Сведения
Используйте следующие сведения на вкладке "Сведения ".
Подписка. Выберите подписку Azure.
Группа ресурсов: demo-arg-alert-rg
Серьезность. Примите значение по умолчанию 3 — информационное.
Имя правила генерации оповещений: demo-arg-alert-rule
Описание правила генерации оповещений: оповещение электронной почты для количества ресурсов Azure
Выберите "Просмотр и создание", проверьте правильность сводки и нажмите кнопку "Создать". Вы вернеесь на страницу журналов рабочей области Log Analytics.
Назначение роли
Назначьте средство чтения Log Analytics управляемому удостоверению, назначаемого системой, чтобы у него были разрешения, которые отправляют Уведомления по электронной почте.
Выберите "Мониторинг оповещений>" в рабочей области Log Analytics. Нажмите кнопку "ОК ", если появится запрос на удаление несохраненных изменений.
Идентификатор объекта: отображает GUID для корпоративного приложения (субъекта-службы) в идентификаторе Microsoft Entra.
Разрешение. Выбор назначений ролей Azure:
Убедитесь, что выбрана подписка.
Выберите " Добавить назначение ролей":
Область: подписка
Подписка. Выберите имя подписки Azure.
Роль: средство чтения Log Analytics
Выберите Сохранить.
Чтобы средство чтения Log Analytics отображалось на странице назначений ролей Azure, потребуется несколько минут. Щелкните Обновить, чтобы обновить страницу.
Чтобы вернуться к удостоверению , нажмите кнопку "Назад" браузера, а затем выберите "Обзор ", чтобы вернуться к правилу генерации оповещений. Выберите ссылку на группу ресурсов с именем demo-arg-alert-rg.rg.
Хотя в этой статье нет области, для кластера Azure Data Explorer добавьте роль читателя в управляемое удостоверение, назначаемое системой. Для получения дополнительной информации в конце этой статьи выберите ссылки назначения ролей для кластеров Azure Data Explorer.
В рабочей области Log Analytics выберите новое правило генерации оповещений. Запрос из рабочей области Log Analytics копируется в правило генерации оповещений. Правило создания генерации оповещений содержит несколько вкладок, которые необходимо обновить.
Область
Убедитесь, что область по умолчанию используется в рабочей области Log Analytics с именем demo-arg-alert-workspace.
Только если область не задана по умолчанию, выполните следующие действия.
Перейдите на вкладку "Область" и выберите " Выбрать область".
В нижней части экрана "Выбранные ресурсы " удалите текущую область.
Разверните demo-arg-alert-rg из списка ресурсов и выберите demo-arg-alert-workspace.
Выберите Применить.
Нажмите кнопку "Далее": условие.
Condition
Форма состоит из нескольких полей:
Имя сигнала: пользовательский поиск по журналам
Поисковый запрос: отображает код запроса
Если вы изменили область, необходимо добавить запрос из раздела "Создать запрос ".
Измерение
Мера: строки таблицы
Тип агрегирования: число
Степень детализации агрегирования: 5 минут
Логика оповещений
Оператор: меньше
Пороговое значение: 2
Частота оценки: 5 минут
Нажмите кнопку "Далее": действия.
Действия
Выберите " Создать группу действий":
Подписка. Выберите подписку Azure.
Группа ресурсов: demo-arg-alert-rg
Регион: глобальный позволяет службе групп действий выбрать расположение.
Имя группы действий: demo-arg-la-alert-action-group
Тип уведомления: выбор сообщения электронной почты/ SMS/Push/Voice
Имя: email-alert-arg-la
Установите флажок "Электронная почта " и введите адрес электронной почты
Нажмите кнопку ОК.
Выберите "Просмотр и создание", проверьте правильность сводки и нажмите кнопку "Создать". Вы вернелись на вкладку "Действия" на странице "Создание правила генерации оповещений". Имя группы действий показывает созданную группу действий. Вы получите уведомление по электронной почте, чтобы подтвердить, что вы были добавлены в группу действий.
Нажмите кнопку "Далее": сведения.
Сведения
Используйте следующие сведения на вкладке "Сведения ".
Подписка. Выберите подписку Azure.
Группа ресурсов: demo-arg-alert-rg
Серьезность: выберите 2 — предупреждение.
Имя правила генерации оповещений: demo-arg-la-alert-rule
Описание правила генерации оповещений: оповещение электронной почты для запроса ARG-LA виртуальной машины Azure
Регион: западная часть США 3
Удостоверение: выбор управляемого удостоверения, назначаемого системой
Выберите "Просмотр и создание", проверьте правильность сводки и нажмите кнопку "Создать". Вы вернеесь на страницу журналов рабочей области Log Analytics.
Назначение роли
Назначьте средство чтения Log Analytics управляемому удостоверению, назначаемого системой, чтобы у него были разрешения, которые отправляют Уведомления по электронной почте.
Выберите "Мониторинг оповещений>" в рабочей области Log Analytics. Нажмите кнопку "ОК ", если появится запрос на удаление несохраненных изменений.
Идентификатор объекта: отображает GUID для корпоративного приложения (субъекта-службы) в идентификаторе Microsoft Entra.
Разрешение. Выбор назначений ролей Azure
Убедитесь, что выбрана подписка
Выберите " Добавить назначение ролей":
Область: подписка
Подписка. Выберите имя подписки Azure
Роль: средство чтения Log Analytics
Выберите Сохранить.
Чтобы средство чтения Log Analytics отображалось на странице назначений ролей Azure, потребуется несколько минут. Щелкните Обновить, чтобы обновить страницу.
Чтобы вернуться к удостоверению , нажмите кнопку "Назад" браузера и выберите "Обзор ", чтобы вернуться к правилу генерации оповещений. Выберите ссылку на группу ресурсов с именем demo-arg-alert-rg.rg.
Хотя в этой статье нет области, для кластера Azure Data Explorer добавьте роль читателя в управляемое удостоверение, назначаемое системой. Для получения дополнительной информации в конце этой статьи выберите ссылки назначения ролей для кластеров Azure Data Explorer.
После назначения роли правилу генерации оповещений вы начнете получать сообщения электронной почты для оповещений. Правило было создано для отправки оповещений каждые пять минут, и оно занимает несколько минут, чтобы получить первое оповещение.
Вы также можете просмотреть оповещения в портал Azure:
Перейдите в группу ресурсов demo-arg-alert-rg.
Выберите демонстрационную рабочую область arg-alert-в списке ресурсов.
Выберите "Мониторинг оповещений>".
Отображается список оповещений.
После назначения роли правилу генерации оповещений вы начнете получать сообщения электронной почты для оповещений. Правило было создано для отправки оповещений каждые пять минут, и оно занимает несколько минут, чтобы получить первое оповещение.
Вы также можете просмотреть оповещения в портал Azure:
Перейдите в группу ресурсов demo-arg-alert-rg.
Выберите свою виртуальную машину.
Выберите "Мониторинг оповещений>".
Отображается список оповещений.
Для новой конфигурации может потребоваться 30 минут для получения сведений журнала и создания оповещений. В течение этого времени можно заметить, что правило генерации оповещений виртуальной машины отображает оповещения в оповещениях мониторинга рабочей области. Когда сведения о журнале виртуальной машины становятся доступными, оповещения отображаются в оповещениях мониторинга виртуальной машины.
Очистка ресурсов
Если вы хотите сохранить конфигурацию оповещений, но остановить оповещение от запуска и отправки Уведомления по электронной почте, ее можно отключить. Перейдите к правилу генерации оповещений demo-arg-alert-rule или demo-arg-la-alert-rule и выберите "Отключить".
Если вам не нужен этот оповещение или ресурсы, созданные в этом примере, удалите группу ресурсов, выполнив следующие действия.
Перейдите в группу ресурсов demo-arg-alert-rg.
Выберите команду Удалить группу ресурсов.
Введите имя группы ресурсов, чтобы подтвердить.
Выберите команду Удалить.
Если вы создали виртуальную машину, удалите закрытый ключ, скачанный на компьютер во время развертывания. Имя файла имеет .pem расширение.
Связанный контент
Дополнительные сведения о языке запросов или о том, как изучить ресурсы, см. в следующих статьях.
