Lösning för aviseringshantering i Azure Log Analytics
Varning
Den här lösningen är inte längre under aktiv utveckling och fungerar kanske inte som förväntat. Vi föreslår att du försöker använda Azure Resource Graph för att köra frågor mot Azure Monitor-aviseringar.
Med lösningen För aviseringshantering kan du analysera alla aviseringar på Log Analytics-lagringsplatsen. Dessa aviseringar kan ha kommit från en mängd olika källor, inklusive de källor som skapats av Log Analytics eller importerats från Nagios eller Zabbix. Lösningen importerar också aviseringar från alla anslutna System Center Operations Manager-hanteringsgrupper.
Förutsättningar
Lösningen fungerar med alla poster på Log Analytics-lagringsplatsen med en typ av avisering, så du måste utföra den konfiguration som krävs för att samla in dessa poster.
- För Log Analytics-aviseringar skapar du aviseringsregler för att skapa aviseringsposter direkt på lagringsplatsen.
- För Nagios- och Zabbix-aviseringar konfigurerar du servrarna för att skicka aviseringar till Log Analytics.
- För System Center Operations Manager-aviseringar ansluter du Operations Manager-hanteringsgruppen till Log Analytics-arbetsytan. Alla aviseringar som skapas i System Center Operations Manager importeras till Log Analytics.
Konfiguration
Lägg till lösningen Aviseringshantering på Log Analytics-arbetsytan med hjälp av processen som beskrivs i Lägg till lösningar. Det krävs ingen ytterligare konfiguration.
Hanteringspaket
Om din System Center Operations Manager-hanteringsgrupp är ansluten till Log Analytics-arbetsytan installeras följande hanteringspaket i System Center Operations Manager när du lägger till den här lösningen. Det krävs ingen konfiguration eller underhåll av hanteringspaketen.
- Microsoft System Center Advisor Alert Management (Microsoft.IntelligencePacks.AlertManagement)
Mer information om hur lösningens hanteringspaket uppdateras finns i Anslut Operations Manager till Log Analytics.
Datainsamling
Agenter
I följande tabell beskrivs de anslutna källor som stöds av den här lösningen.
| Ansluten källa | Support | Description |
|---|---|---|
| Windows-agenter | No | Direct Windows-agenter genererar inte aviseringar. Log Analytics-aviseringar kan skapas från händelser och prestandadata som samlas in från Windows-agenter. |
| Linux-agenter | No | Direct Linux-agenter genererar inte aviseringar. Log Analytics-aviseringar kan skapas från händelser och prestandadata som samlas in från Linux-agenter. Nagios- och Zabbix-aviseringar samlas in från de servrar som kräver Linux-agenten. |
| System Center Operations Manager-hanteringsgrupp | Yes | Aviseringar som genereras på Operations Manager-agenter levereras till hanteringsgruppen och vidarebefordras sedan till Log Analytics. En direktanslutning från Operations Manager-agenten till Log Analytics krävs inte. Aviseringsdata vidarebefordras från hanteringsgruppen till Log Analytics-lagringsplatsen. |
Insamlingsfrekvens
- Aviseringsposter är tillgängliga för lösningen så snart de lagras på lagringsplatsen.
- Aviseringsdata skickas från Operations Manager-hanteringsgruppen till Log Analytics var tredje minut.
Använda lösningen
När du lägger till lösningen Aviseringshantering på Log Analytics-arbetsytan läggs panelen Aviseringshantering till på instrumentpanelen. Den här panelen visar antalet och en grafisk representation av antalet aktiva aviseringar som har genererats under de senaste 24 timmarna. Du kan inte ändra det här tidsintervallet.
Klicka på panelen Aviseringshantering för att öppna instrumentpanelen För aviseringshantering . Instrumentpanelen innehåller kolumnerna i följande tabell. Varje kolumn visar de 10 främsta aviseringarna efter antal som matchar kolumnens kriterier för det angivna omfånget och tidsintervallet. Du kan köra en loggsökning som innehåller hela listan genom att klicka på Visa alla längst ned i kolumnen eller genom att klicka på kolumnrubriken.
| Kolumn | Beskrivning |
|---|---|
| Kritiska aviseringar | Alla aviseringar med allvarlighetsgraden Kritisk grupperad efter aviseringsnamn. Klicka på ett aviseringsnamn för att köra en loggsökning som returnerar alla poster för aviseringen. |
| Varningsaviseringar | Alla aviseringar med allvarlighetsgraden Varning grupperad efter aviseringsnamn. Klicka på ett aviseringsnamn för att köra en loggsökning som returnerar alla poster för aviseringen. |
| Active System Center Operations Manager-aviseringar | Alla aviseringar som samlas in från Operations Manager med något annat tillstånd än Stängd grupperat efter källa som genererade aviseringen. |
| Alla aktiva aviseringar | Alla aviseringar med valfri allvarlighetsgrad grupperad efter aviseringsnamn. Innehåller endast Operations Manager-aviseringar med något annat tillstånd än Stängd. |
Om du bläddrar till höger visar instrumentpanelen flera vanliga frågor som du kan klicka på för att utföra en loggsökning efter aviseringsdata.
Log Analytics-poster
Aviseringshanteringslösningen analyserar alla poster med en typ av avisering. Aviseringar som skapats av Log Analytics eller samlats in från Nagios eller Zabbix samlas inte in direkt av lösningen.
Lösningen importerar aviseringar från System Center Operations Manager och skapar en motsvarande post för var och en med en typ av avisering och ett SourceSystem för OpsManager. Dessa poster har egenskaperna i följande tabell:
| Egenskap | Beskrivning |
|---|---|
Type |
Varning |
SourceSystem |
OpsManager |
AlertContext |
Information om det dataobjekt som gjorde att aviseringen genererades i XML-format. |
AlertDescription |
Detaljerad beskrivning av aviseringen. |
AlertId |
GUID för aviseringen. |
AlertName |
Namnet på aviseringen. |
AlertPriority |
Prioritetsnivå för aviseringen. |
AlertSeverity |
Allvarlighetsgrad för aviseringen. |
AlertState |
Senaste lösningstillståndet för aviseringen. |
LastModifiedBy |
Namnet på den användare som senast ändrade aviseringen. |
ManagementGroupName |
Namnet på hanteringsgruppen där aviseringen genererades. |
RepeatCount |
Antal gånger som samma avisering genererades för samma övervakade objekt sedan den löstes. |
ResolvedBy |
Namnet på den användare som löste aviseringen. Tom om aviseringen ännu inte har lösts. |
SourceDisplayName |
Visningsnamn för övervakningsobjektet som genererade aviseringen. |
SourceFullName |
Fullständigt namn på övervakningsobjektet som genererade aviseringen. |
TicketId |
Biljett-ID för aviseringen om System Center Operations Manager-miljön är integrerad med en process för att tilldela biljetter för aviseringar. Tomt på inget biljett-ID har tilldelats. |
TimeGenerated |
Datum och tid då aviseringen skapades. |
TimeLastModified |
Datum och tid då aviseringen senast ändrades. |
TimeRaised |
Datum och tid då aviseringen genererades. |
TimeResolved |
Datum och tid då aviseringen löstes. Tom om aviseringen ännu inte har lösts. |
Exempel på loggsökningar
Följande tabell innehåller exempelloggsökningar för aviseringsposter som samlas in av den här lösningen:
| Söka i data | Description |
|---|---|
| Avisering | where SourceSystem == "OpsManager" och AlertSeverity == "error" och TimeRaised > ago(24h) | Kritiska aviseringar som har utlösts under de senaste 24 timmarna |
| Avisering | where AlertSeverity == "warning" och TimeRaised > ago(24h) | Varningsaviseringar som har utlösts under de senaste 24 timmarna |
| Avisering | where SourceSystem == "OpsManager" och AlertState != "Closed" och TimeRaised > ago(24h) | summarize Count = count() by SourceDisplayName | Källor med aktiva aviseringar som har utlösts under de senaste 24 timmarna |
| Avisering | där SourceSystem == "OpsManager" och AlertSeverity == "error" och TimeRaised > ago(24h) och AlertState != "Closed" | Kritiska aviseringar som har utlösts under de senaste 24 timmarna som fortfarande är aktiva |
| Avisering | where SourceSystem == "OpsManager" och TimeRaised > ago(24h) och AlertState == "Closed" | Aviseringar som har utlösts under de senaste 24 timmarna som nu är stängda |
| Avisering | where SourceSystem == "OpsManager" och TimeRaised > ago(1d) | summarize Count = count() by AlertSeverity | Aviseringar som har utlösts under den senaste 1 dagen grupperade efter deras allvarlighetsgrad |
| Avisering | where SourceSystem == "OpsManager" och TimeRaised > ago(1d) | sort by RepeatCount desc | Aviseringar som har utlösts under den senaste 1 dagen sorterade efter värdet för upprepat antal |
Nästa steg
- Lär dig mer om Aviseringar i Log Analytics för information om att generera aviseringar från Log Analytics.