管理在舊版中建立的警示規則
本文說明相關程序,讓您了解如何管理透過先前的 UI 或使用 API 2018-04-16
版或更早版本所建立的警示規則。 在最新的 UI 中建立的警示規則要在新的 UI 中檢視及管理,如使用 Azure 監視器來建立、檢視及管理記錄搜尋警示中所述。
記錄搜尋警示規則建立體驗的變更
目前的警示規則精靈與舊版的體驗不同:
- 先前,搜尋結果會包含在觸發警示的承載及其相關聯的通知中。 此封電子郵件只包含 10 筆未經篩選的結果,但 Webhook 承載包含 1,000 筆未經篩選的結果。 若要取得警示的詳細內容資訊,使得您可以決定適當的動作:
- 建議您使用維度。 維度提供觸發警示的資料行值,讓您了解觸發警示的原因,以及如何修正問題的相關內容。
- 需要調查記錄時,請使用警示中的連結,在記錄中搜尋結果。
- 如果您需要原始搜尋結果或任何其他的自訂項目,請使用 Azure Logic Apps。
- 新的警示規則精靈不支援自訂 JSON 承載。
- 在新 API 中使用自訂屬性,將靜態參數和相關聯的值新增至警示所觸發的 Webhook 動作。
- 如需更進階的自訂,請使用 Azure Logic Apps。
- 新增警示規則精靈不支援電子郵件主旨的自訂。
- 客戶通常會使用自訂電子郵件主旨來指出觸發警示的資源,而不是使用 Log Analytics 工作區。 使用全新 API,以使用資源識別碼資料行觸發所需資源的警示。
- 如需更進階的自訂,請使用 Azure Logic Apps。
在 Azure 入口網站中管理在舊版中建立的警示規則
在 Azure 入口網站中,選取您要的資源。
在 [監視] 下方,選取 [警示]。
在頂端列上,選取 [警示規則]。
選取您想要編輯的警示規則。
在 [條件] 區段中,選取條件。
[設定訊號邏輯] 窗格隨即開啟,其中包含以圖表顯示的查詢歷史資料。 您可以變更圖表的時間範圍,以顯示過去六小時到過去一週的資料。 如果您的查詢結果所包含的摘要資料或特定資料行沒有時間資料行,則圖表會顯示單一值。
使用下列區段來編輯警示規則條件:
搜尋查詢:在這個區段中,您可以修改查詢。
警示邏輯:記錄搜尋警示是以兩種類型的量值為基礎:
- 結果數目:查詢傳回的記錄計數。
- 計量測量:彙總值是使用所選運算式和 bin() 選取範圍加以分組的
summarize
計算所得。 例如:// Reported errors union Event, Syslog // Event table stores Windows event records, Syslog stores Linux records | where EventLevelName == "Error" // EventLevelName is used in the Event (Windows) records or SeverityLevel== "err" // SeverityLevel is used in Syslog (Linux) records | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
針對計量測量警示邏輯,您可以使用 [彙總依據] 選項,指定要如何依維度分割警示。 資料列群組運算式必須是唯一且已排序的。
bin() 函式會導致時間間隔不平均,因此警示服務會自動以執行階段的適當時間將 bin() 函式轉換成 binat() 函式,以確保固定時間點有結果。
注意
[依警示維度進行分割] 選項僅適用於目前的 scheduledQueryRules API。 如果您使用舊版的 Log Analytics 警示 API,則必須進行切換。 深入了解切換。 只有 API
2021-08-01
版和更新版本才支援大規模以資源為中心的警示。
當您完成條件編輯時,請選取 [完成]。
使用 [違規數總計] 或 [連續違規] 設定觸發警示的違規次數。
選取完成。
您可以編輯規則的 [描述] 和 [嚴重性]。 這些詳細資料會用於所有警示動作。 您也可以透過選取 [在建立時啟用規則] 選項,選擇不要在建立警示規則時將其啟動。
如果您想要在引發警示之後隱藏指定時間的規則動作,請使用 [隱藏警示] 選項。 此規則仍會執行並建立警示,但不會觸發動作,以防出現雜訊。 [靜音動作] 值必須大於警示頻率才能生效。
若要設定警示狀態,請選取 [自動解決警示 (預覽)]。
指定符合警示條件時,警示規則是否應該觸發一或多個動作群組。 如需可執行的動作限制,請參閱 Azure 監視器服務限制。
(選用) 自訂記錄搜尋警示規則中的動作:
- 自訂電子郵件主旨:覆寫電子郵件動作的電子郵件主旨。 您無法修改電子郵件的本文,且此欄位的適用對象不是電子郵件地址。
- 包含 Webhook 的自訂 Json 承載:覆寫動作群組所使用的 Webhook JSON,以動作群組包含 Webhook 動作為假設前提。 深入了解適用於記錄搜尋警示的 Webhook 動作。
完成所有警示規則選項的編輯後,請選取 [儲存]。
使用 PowerShell 管理記錄搜尋警示
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用,請參閱安裝 Azure PowerShell (部分機器翻譯)。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
請使用下列 PowerShell Cmdlet,以使用排程的查詢規則 API 來管理規則:
- New-AzScheduledQueryRule:用以建立新記錄搜尋警示規則的 PowerShell Cmdlet。
- Set-AzScheduledQueryRule:用以更新現有記錄搜尋警示規則的 PowerShell Cmdlet。
- New-AzScheduledQueryRuleSource:用以建立或更新物件 (以指定記錄搜尋警示的來源參數) 的 PowerShell Cmdlet。 供 New-AzScheduledQueryRule 和 Set-AzScheduledQueryRule Cmdlet 用作輸入。
- New-AzScheduledQueryRuleSchedule:用以建立或更新物件 (以指定記錄搜尋警示的排程參數) 的 PowerShell Cmdlet。 供 New-AzScheduledQueryRule 和 Set-AzScheduledQueryRule Cmdlet 用作輸入。
- New-AzScheduledQueryRuleAlertingAction:用以建立或更新物件 (以指定記錄搜尋警示的動作參數) 的 PowerShell Cmdlet。 供 New-AzScheduledQueryRule 和 Set-AzScheduledQueryRule Cmdlet 用作輸入。
- New-AzScheduledQueryRuleAznsActionGroup:用以建立或更新物件 (以指定記錄搜尋警示的動作群組參數) 的 PowerShell Cmdlet。 供 New-AzScheduledQueryRuleAlertingAction Cmdlet 用作輸入。
- New-AzScheduledQueryRuleTriggerCondition:用以建立或更新物件 (以指定記錄搜尋警示的觸發條件參數) 的 PowerShell Cmdlet。 供 New-AzScheduledQueryRuleAlertingAction Cmdlet 用作輸入。
- New-AzScheduledQueryRuleLogMetricTrigger:用以建立或更新物件 (以指定計量測量記錄搜尋警示的計量觸發條件參數) 的 PowerShell Cmdlet。 供 New-AzScheduledQueryRuleTriggerCondition Cmdlet 用作輸入。
- Get-AzScheduledQueryRule:用以列出現有記錄搜尋警示規則或特定記錄搜尋警示規則的 PowerShell Cmdlet。
- Update-AzScheduledQueryRule:用以啟用或停用記錄搜尋警示規則的 PowerShell Cmdlet。
- Remove-AzScheduledQueryRule:用以刪除現有記錄搜尋警示規則的 PowerShell Cmdlet。
注意
ScheduledQueryRules
PowerShell Cmdlet 只能管理在此版本的排程查詢規則 API 中建立的規則。 只有在切換至排程查詢規則 API 之後,才能使用 PowerShell 管理使用舊版 Log Analytics 警示 API 所建立的記錄搜尋警示規則。
使用 PowerShell 建立記錄搜尋警示規則的範例步驟:
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews"
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"
使用 PowerShell 搭配跨資源查詢來建立記錄搜尋警示規則的範例步驟:
$authorized = @ ("/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicewsCrossExample", "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/components/serviceAppInsights")
$source = New-AzScheduledQueryRuleSource -Query 'Heartbeat | summarize AggregatedValue = count() by bin(TimeGenerated, 5m), _ResourceId' -DataSourceId "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.OperationalInsights/workspaces/servicews" -AuthorizedResource $authorized
$schedule = New-AzScheduledQueryRuleSchedule -FrequencyInMinutes 15 -TimeWindowInMinutes 30
$metricTrigger = New-AzScheduledQueryRuleLogMetricTrigger -ThresholdOperator "GreaterThan" -Threshold 2 -MetricTriggerType "Consecutive" -MetricColumn "_ResourceId"
$triggerCondition = New-AzScheduledQueryRuleTriggerCondition -ThresholdOperator "LessThan" -Threshold 5 -MetricTrigger $metricTrigger
$aznsActionGroup = New-AzScheduledQueryRuleAznsActionGroup -ActionGroup "/subscriptions/a123d7efg-123c-1234-5678-a12bc3defgh4/resourceGroups/contosoRG/providers/microsoft.insights/actiongroups/sampleAG" -EmailSubject "Custom email subject" -CustomWebhookPayload "{ `"alert`":`"#alertrulename`", `"IncludeSearchResults`":true }"
$alertingAction = New-AzScheduledQueryRuleAlertingAction -AznsAction $aznsActionGroup -Severity "3" -Trigger $triggerCondition
New-AzScheduledQueryRule -ResourceGroupName "contosoRG" -Location "Region Name for your Application Insights App or Log Analytics Workspace" -Action $alertingAction -Enabled $true -Description "Alert description" -Schedule $schedule -Source $source -Name "Alert Name"
您也可以使用 PowerShell,透過範本和參數檔案來建立記錄搜尋警示:
Connect-AzAccount
Select-AzSubscription -SubscriptionName <yourSubscriptionName>
New-AzResourceGroupDeployment -Name AlertDeployment -ResourceGroupName ResourceGroupofTargetResource `
-TemplateFile mylogalerttemplate.json -TemplateParameterFile mylogalerttemplate.parameters.json
下一步
- 了解記錄搜尋警示。
- 使用 Azure Resource Manager 範本建立記錄搜尋警示。
- 了解記錄搜尋警示的 Webhook 動作。
- 深入了解記錄查詢。