Condividi tramite

Creare o modificare una regola di avviso di ricerca log

Questo articolo illustra come creare una nuova regola di avviso di ricerca log o modificare una regola di avviso di ricerca log esistente in Monitoraggio di Azure. To learn more about alerts, see the alerts overview.

Le regole di avviso combinano le risorse da monitorare, i dati di monitoraggio della risorsa e le condizioni che si desidera attivare l'avviso. You can then define action groups and alert processing rules to determine what happens when an alert is triggered.

Gli avvisi attivati da queste regole di avviso contengono un payload che usa lo schema di avviso comune.

Prerequisites

Per creare o modificare una regola di avviso, è necessario disporre delle autorizzazioni seguenti:

  • Autorizzazione di lettura nella risorsa di destinazione della regola di avviso.
  • Autorizzazione di scrittura nel gruppo di risorse in cui viene creata la regola di avviso. Se si sta creando la regola di avviso dal portale di Azure, questa viene creata per impostazione predefinita nello stesso gruppo di risorse in cui si trova la risorsa di destinazione.
  • Autorizzazione di lettura per qualsiasi gruppo di azioni associato alla regola di avviso, se applicabile.

Accesso alla procedura guidata delle regole di avviso nel portale di Azure

Esistono diversi modi per creare o modificare una regola di avviso.

Creare o modificare una regola di avviso dalla home page del portale

  1. In the Azure portal, select Monitor.
  2. On the left pane, select Alerts.
  3. Select + Create>Alert rule.

Screenshot che mostra i passaggi per creare una regola di avviso dalla home page del portale.

Creare o modificare una regola di avviso da una risorsa specifica

  1. In the Azure portal, go to the resource.
  2. On the left pane, select Alerts.
  3. Select + Create>Alert rule.
  4. L'ambito della regola di avviso è impostato sulla risorsa selezionata. Continuare con l'impostazione delle condizioni per la regola di avviso.

Screenshot che mostra come creare una regola di avviso da una risorsa selezionata.

Modificare una regola di avviso esistente

  1. In the Azure portal, either from the home page or from a specific resource, select Alerts on the left pane.

  2. Select Alert rules.

  3. Select the alert rule that you want to edit, and then select Edit.

    Screenshot che mostra i passaggi per modificare una regola di avviso di ricerca log esistente.

  4. Selezionare una delle schede per la regola di avviso per modificare le impostazioni.

Configurare l'ambito della regola di avviso

  1. Nel riquadro Seleziona una risorsa impostare l'ambito per la regola di avviso. È possibile filtrare per sottoscrizione, tipo di risorsa o posizione risorsa.

    Screenshot che mostra il riquadro per la selezione di una risorsa durante la creazione di una nuova regola di avviso.

  2. Select Apply.

Configurare le condizioni della regola di avviso

  1. On the Condition tab, when you select the Signal name field, select Custom log search. In alternativa, selezionare Visualizza tutti i segnali se si vuole scegliere un segnale diverso per la condizione.

  2. (Facoltativo) Se si seleziona Visualizza tutti i segnali nel passaggio precedente, usare il riquadro Selezionare un segnale per cercare il nome del segnale o filtrare l'elenco dei segnali. Filter by:

    • Signal type: Select Log search.
    • Signal source: The service that sends the Custom log search and Log (saved query) signals. Select the signal name, and then select Apply.

  3. On the Logs pane, write a query that returns the log events for which you want to create an alert. Per usare una delle query delle regole di avviso predefinite, espandere il riquadro Schema e filtro accanto al riquadro Log. Then select the Queries tab, and select one of the queries.

    Tenere presente queste limitazioni per le query delle regole di avviso di ricerca log:

    • Le query delle regole di avviso di ricerca log non supportano bag_unpack(), pivot() e narrow().
    • Log search alert rule queries support ago() with timespan literals only.
    • AggregatedValue è una parola riservata. Non è possibile usarla nella query sulle regole di avviso di ricerca log.
    • La dimensione combinata di tutti i dati nelle proprietà delle regole di avviso di ricerca log non possono superare i 64 KB.
    • Quando si definiscono funzioni personalizzate nella query KQL per gli avvisi di ricerca log, è importante prestare attenzione con il codice della funzione che include clausole temporali relative (ad esempio, adesso()). Le funzioni personalizzate con clausole temporali relative che non sono definite all'interno della query KQL dell'avviso di ricerca log possono introdurre incoerenze nei risultati della query, con potenziali effetti sull'accuratezza e sull'affidabilità delle valutazioni degli avvisi. Therefore:
      • Per garantire un avviso accurato e tempestivo, definire sempre clausole temporali relative direttamente all'interno della query KQL dell'avviso di ricerca log.
      • Se sono necessari intervalli di tempo all'interno della funzione, devono essere passati come parametri e usati nella funzione.

    Screenshot che mostra il riquadro Query durante la creazione di una nuova regola di avviso di ricerca log.

  4. (Facoltativo) Se si esegue una query su un cluster Esplora dati di Azure o Azure Resource Graph, l'area di lavoro Log Analytics non può identificare automaticamente la colonna con il timestamp dell'evento. È preferibile aggiungere un filtro intervallo di tempo alla query. For example:

        adx('https://help.kusto.windows.net/Samples').table
    | where MyTS >= ago(5m) and MyTS <= now()

        arg("").Resources
    | where type =~ 'Microsoft.Compute/virtualMachines'
    | project _ResourceId=tolower(id), tags

    Screenshot che mostra il riquadro Condizione per la creazione di una nuova regola di avviso di ricerca log.

    Note

    • È necessario usare un'identità gestita quando si usano query di Azure Resource Graph negli avvisi di ricerca log.
    • Ogni identità gestita supporta un massimo di 50 regole di avviso di ricerca log usando le query di Azure Resource Graph.
    • Assicurarsi che la configurazione degli avvisi non superi questo limite per mantenere le funzionalità appropriate.

    Le query di avviso di ricerca log di esempio sono disponibili per Esplora dati di Azure e Resource Graph.

    Le query tra servizi non sono supportate nei cloud per enti pubblici. Per altre informazioni sulle limitazioni, vedere Limitazioni delle query tra servizi e Combinare tabelle di Azure Resource Graph con un'area di lavoro Log Analytics.

  5. Select Run to run the alert.

  6. The Preview section shows you the query results. Una volta terminata la modifica della query, selezionare Continua a modificare l’avviso.

  7. The Condition tab opens and is populated with your log query. Per impostazione predefinita, la regola conta il numero di risultati negli ultimi cinque minuti. Se il sistema rileva risultati di query riepilogati, la regola viene aggiornata automaticamente con tali informazioni.

  8. In the Measurement section, select values for these fields:

    Field Description
    Measure Gli avvisi per la ricerca log possono misurare due aspetti che è possibile usare per diversi scenari di monitoraggio:
    Table rows: You can use the number of returned rows to work with events such as Windows event logs, Syslog, and application exceptions.
    Calcolo di una colonna numerica: è possibile usare i calcoli basati su una colonna numerica per includere un numero qualunque di risorse. Un esempio è la percentuale di CPU.
    Aggregation type Il calcolo viene eseguito su più record per aggregarli in un singolo valore numerico usando la granularità dell'aggregazione. Examples are Total, Average, Minimum, and Maximum.
    Aggregation granularity Intervallo per l'aggregazione di più record in un singolo valore numerico.

    Screenshot che mostra le opzioni di misurazione durante la creazione di una nuova regola di avviso di ricerca log.

  9. (Facoltativo) Nella sezione Dividi in base alle dimensioni, è possibile usare le dimensioni per fornire il contesto per l'avviso attivato.

    Le dimensioni sono colonne dei risultati della query che contengono dati aggiuntivi. Quando si usano le dimensioni, la regola di avviso raggruppa i risultati della query in base ai valori delle dimensioni e valuta i risultati di ogni gruppo separatamente. Se la condizione viene soddisfatta, la regola genera un avviso per tale gruppo. Il payload dell'avviso include la combinazione che ha attivato l'avviso.

    È possibile applicare fino a sei dimensioni per ogni regola di avviso. Le dimensioni possono essere solo colonne di valori stringa o numerici. Se si desidera utilizzare una colonna che non è di tipo stringa o numero come dimensione, è necessario convertirla in un valore stringa o numerico nella query. Se si seleziona più di un valore dimensione, ogni serie temporale risultante dalla combinazione attiverà un proprio avviso e verrà addebitata separatamente.

    For example:

    • È possibile usare le dimensioni per monitorare l'utilizzo della CPU in più istanze che eseguono un sito Web o un'app. Ogni istanza viene monitorata individualmente e le notifiche vengono inviate per ogni istanza in cui l'utilizzo della CPU supera il valore configurato.
    • È possibile decidere di non suddividere in base alle dimensioni quando si desidera applicare una condizione a più risorse nell'ambito. Ad esempio, le dimensioni non vengono usate se si desidera generare un avviso nel caso in cui l’utilizzo della CPU di almeno cinque computer nell'ambito del gruppo di risorse è superiore al valore configurato.

    In generale, se l'ambito della regola di avviso è un'area di lavoro, gli avvisi vengono attivati nell'area di lavoro. Se si desidera un avviso separato per ogni risorsa di Azure interessata, è possibile:

    • Usare la colonna ID della risorsa di Azure di Azure Resource Manager come dimensione. Quando si usa questa opzione, l'avviso viene generato nell'area di lavoro con la colonna ID della risorsa di Azure come dimensione.
    • Specificare l'avviso come dimensione nella proprietà ID della risorsa di Azure. Questa opzione rende la risorsa che la query restituisce la destinazione dell'avviso. Gli avvisi vengono quindi attivati sulla risorsa restituita dalla query, ad esempio una macchina virtuale o un account di archiviazione, anziché sull'area di lavoro.

    Quando si usa questa opzione, se l'area di lavoro ottiene i dati da risorse in più sottoscrizioni, gli avvisi possono essere attivati sulle risorse da una sottoscrizione diversa dalla sottoscrizione della regola di avviso.

    Selezionare i valori per questi campi:

    Field Description
    Dimension name Le dimensioni possono essere colonne di numeri o stringhe. Le dimensioni vengono usate per monitorare serie temporali specifiche e fornire contesto a un avviso attivato.
    Operator L’operatore utilizzato per il nome e il valore della dimensione.
    Dimension values I valori delle dimensioni sono basati sui dati delle ultime 48 ore. Selezionare Aggiungi valore personalizzato per aggiungere valori dimensione personalizzati.
    Includere tutti i valori futuri Selezionare questo campo per includere tutti i valori futuri aggiunti alla dimensione selezionata.

    Screenshot che mostra la sezione per la suddivisione in base alle dimensioni di una nuova regola di avviso di ricerca log.

  10. In the Alert logic section, select values for these fields:

    Field Description
    Operator I risultati della query vengono trasformati in un numero. In questo campo, selezionare l'operatore da usare per confrontare il numero con la soglia.
    Threshold value Un valore numerico per la soglia.
    Frequenza della valutazione La frequenza con cui viene eseguita la query. È possibile impostare qualunque valore compreso da un minuto a un giorno (24 ore).

    Screenshot che mostra la sezione per la logica dell’avviso di una nuova regola di avviso di ricerca log.

    Note

    La frequenza non è un'ora specifica in cui viene eseguito l'avviso ogni giorno. È la frequenza con cui viene eseguita la regola di avviso.

    There are some limitations to using an alert rule frequency of one minute. Quando si imposta la frequenza della regola di avviso su un minuto, viene eseguita una manipolazione interna per ottimizzare la query. Questa manipolazione può causare l'esito negativo della query se contiene operazioni non supportate. I motivi più comuni per cui una query non è supportata sono:

    • La query contiene l'operazione search, union o take (limite).
    • La query contiene la funzione ingestion_time().
    • La query usa il modello adx.
    • La query chiama una funzione che chiama altre tabelle.

    Le query di avviso di ricerca log di esempio sono disponibili per Esplora dati di Azure e Resource Graph.

  11. (Optional) In the Advanced options section, you can specify the number of failures and the alert evaluation period that's required to trigger an alert. For example, if you set Aggregation granularity to 5 minutes, you can specify that you want to trigger an alert only if three failures (15 minutes) happened in the last hour. Questa impostazione è determinata dai criteri aziendali dell'applicazione.

    Selezionare i valori per questi campi in Numero di violazioni per l’attivazione dell'avviso:

    Field Description
    Numero di violazioni Numero di violazioni che attivano l'avviso. Si noti che, per utilizzare questa funzione, la query deve includere la colonna "datetime" nei risultati.
    Evaluation period Periodo di tempo entro il quale si verifica il numero di violazioni.
    Override intervallo di tempo query Se si vuole che il periodo di valutazione dell'avviso sia diverso dall'intervallo di tempo della query, immettere qui un intervallo di tempo.
    L'intervallo di tempo degli avvisi è limitato a un massimo di due giorni. Anche se la query contiene un comando ago con un intervallo di tempo superiore a due giorni, viene applicato l'intervallo di tempo massimo di due giorni. Ad esempio, anche se il testo della query contiene ago(7d), la query analizza solo fino a due giorni di dati. Se la query richiede più dati rispetto alla valutazione dell'avviso, è possibile modificare manualmente l'intervallo di tempo. Se la query contiene un comando ago, viene automaticamente modificata in due giorni (48 ore).

    Screenshot che mostra la sezione delle opzioni avanzate di una nuova regola di avviso di ricerca log.

    Note

    Se l'utente o l'amministratore ha assegnato i Criteri di Azure Gli avvisi di ricerca log di Azure nelle aree di lavoro di Log Analytics devono usare chiavi gestite dal cliente, è necessario selezionare Controlla l'archiviazione collegata all'area di lavoro. In caso contrario, la creazione della regola avrà esito negativo perché non soddisfa i requisiti dei criteri.

  12. The Preview chart shows the results of query evaluations over time. È possibile modificare il periodo del grafico o selezionare serie temporali diverse risultanti da una suddivisione di avvisi univoci in base alle dimensioni.

    Screenshot che mostra un’anteprima di una nuova regola di avviso.

  13. Select Done. Dopo aver configurato le condizioni della regola di avviso, è possibile configurare i dettagli della regola di avviso per completare la creazione dell'avviso oppure, facoltativamente, è anche possibile aggiungere azioni e tag alla regola di avviso.

Configurare le azioni delle regole di avviso

On the Actions tab, you can optionally select or create action groups for your alert rule.

Screenshot che mostra la scheda Azioni per la creazione di una nuova regola di avviso.

Facoltativamente, è possibile impostare un oggetto di posta elettronica personalizzato per le notifiche. Per altre informazioni, vedere Personalizzare gli argomenti di posta elettronica degli avvisi di ricerca log.

Configurare i dettagli della regola di avviso

  1. On the Details tab, under Project details, select the Subscription and Resource group values.

  2. Da Dettagli regola di avviso:

    1. Select the Severity value.

    2. Immettere i valori per Nome regola di avviso e Descrizione regola di avviso.

      Note

      Una regola che usa un'identità non può avere il carattere del punto e virgola (;) nel valore Nome della regola di avviso.

    3. Select the Region value.

  3. In the Identity section, select which identity the log search alert rule uses for authentication when it sends the log query.

    Tenere presenti questi punti quando si seleziona un'identità:

    • È necessaria un'identità gestita se si invia una query a Esplora dati di Azure o a Resource Graph.
    • Usare un'identità gestita se si desidera visualizzare o modificare le autorizzazioni associate alla regola di avviso.
    • Se non si usa un'identità gestita, le autorizzazioni della regola di avviso si basano sulle autorizzazioni dell'ultimo utente per la modifica della regola al momento dell'ultima modifica della regola.
    • Usare un'identità gestita per evitare un caso in cui la regola non funzioni come previsto perché l'utente che ha modificato l'ultima volta la regola non dispone delle autorizzazioni per tutte le risorse aggiunte all'ambito della regola.

    L'identità associata alla regola deve avere le regole seguenti:

    • If the query is accessing a Log Analytics workspace, the identity must be assigned a reader role for all workspaces that the query accesses. Se vengono creati avvisi di ricerca log incentrati sulle risorse, la regola di avviso potrebbe accedere a più aree di lavoro e l'identità deve avere un ruolo lettore per tutte le aree di lavoro.
    • If you're querying an Azure Data Explorer or Resource Graph cluster, you must add the reader role for all data sources that the query accesses. Ad esempio, se la query è incentrata su una risorsa, è necessario un ruolo lettore per tale risorsa.
    • Se la query accede a un cluster remoto di Esplora dati di Azure, è necessario assegnare l'identità:
      • A reader role for all data sources that the query accesses. Ad esempio, se la query chiama un cluster di Esplora dati di Azure remoto usando la funzione adx(), richiede un ruolo lettore per tale cluster di Esplora dati di Azure.
      • A database viewer role for all databases that the query accesses.

    Per informazioni dettagliate sulle identità gestite, vedere Identità gestite per le risorse di Azure.

    Selezionare una delle opzioni seguenti per l'identità usata dalla regola di avviso:

    Identity option Description
    None Le autorizzazioni della regola di avviso si basano sulle autorizzazioni dell'ultimo utente che ha modificato la regola nel momento in cui la regola è stata modificata.
    Abilitare l'identità gestita assegnata dal sistema Azure crea una nuova identità dedicata per questa regola di avviso. Questa identità non dispone di autorizzazioni e viene eliminata automaticamente quando la regola viene eliminata. Dopo aver creato la regola, è necessario assegnare autorizzazioni a questa identità per l’accesso all'area di lavoro e alle origini dati necessarie per la query. Per altre informazioni sulle assegnazioni delle autorizzazioni, vedere Assegnare ruoli di Azure tramite il portale di Azure. Le regole di avviso di ricerca log che usano l'archiviazione collegata non sono supportate.
    Abilitare l’identità gestita assegnata dall'utente Prima di creare la regola di avviso, creare un'identità e assegnarle autorizzazioni appropriate per la query di log. Questa è una normale identità di Azure. È possibile usare un'unica identità in più regole di avviso. L'identità non viene eliminata quando la regola viene eliminata. Quando si seleziona questo tipo di identità, viene aperto un riquadro per la selezione dell'identità associata per la regola.

    Screenshot che mostra la scheda Dettagli per la creazione di una nuova regola di avviso di ricerca log.

  4. (Optional) In the Advanced options section, you can set several options:

    Field Description
    Abilitare alla creazione Selezionare questa opzione per avviare l'esecuzione della regola di avviso non appena viene completata la creazione.
    Risolvere automaticamente gli avvisi Selezionare questa opzione per rendere l'avviso con stato. Quando un avviso è con stato, viene risolto quando la condizione non viene più soddisfatta per un intervallo di tempo specifico. L'intervallo di tempo è diverso in base alla frequenza dell'avviso:
    1 minute: The alert condition isn't met for 10 minutes.
    Da 5 a 15 minuti: la condizione di avviso non viene soddisfatta per tre periodi di frequenza.
    Da 15 minuti a 11 ore: la condizione di avviso non viene soddisfatta per due periodi di frequenza.
    Da 11 a 12 ore: la condizione di avviso non viene soddisfatta per un periodo di frequenza.

    Note that stateful log search alerts have these limitations.
    Mute actions Selezionare questa opzione per impostare il tempo di attesa prima di attivare nuovamente le azioni dell'avviso. Il campo Disattiva azioni per viene visualizzato per selezionare la quantità di tempo atteso dopo l'attivazione di un avviso prima di attivare nuovamente le azioni.
    Controllare la risorsa di archiviazione collegata all'area di lavoro Selezionare questa opzione se è configurata una risorsa di archiviazione collegata all'area di lavoro log per gli avvisi. Se non è configurata alcuna risorsa di archiviazione collegata, la regola non viene creata.

  5. (Optional) In the Custom properties section, if this alert rule contains action groups, you can add your own properties to include in the alert notification payload. È possibile usare queste proprietà nelle azioni chiamate dal gruppo di azioni, ad esempio da un webhook, una funzione di Azure o un'azione dell'app per la logica.

    Le proprietà personalizzate vengono specificate come coppie chiave/valore usando testo statico, un valore dinamico estratto dal payload dell'avviso o una combinazione di entrambi.

    Il formato per l’estrazione di un valore dinamico dal payload dell'avviso è: ${<path to schema field>}. Ad esempio: ${data.essentials.monitorCondition}.

    Usare il formato dello schema di avviso comune per specificare il campo nel payload, indipendentemente dal fatto che i gruppi di azioni configurati per la regola di avviso usino lo schema comune.

    Note

    • Le proprietà personalizzate vengono aggiunte al payload dell'avviso ma non vengono visualizzate nel modello e-mail o nei dettagli dell'avviso nel portale di Azure.

    Screenshot che mostra le proprietà personalizzate per la creazione di una nuova regola di avviso.

    The following examples use values in Custom properties to utilize data from a payload that uses the common alert schema.

    This example creates an Additional Details tag with data regarding the window start time and window end time:

    • Nome: Additional Details
    • Valore: Evaluation windowStartTime: ${data.alertContext.condition.windowStartTime}. windowEndTime: ${data.alertContext.condition.windowEndTime}
    • Risultato: AdditionalDetails:Evaluation windowStartTime: 2023-04-04T14:39:24.492Z. windowEndTime: 2023-04-04T14:44:24.492Z

    In questo esempio vengono aggiunti dati relativi al motivo della risoluzione o dell'attivazione dell'avviso:

    • Nome: Alert ${data.essentials.monitorCondition} reason
    • Valore: ${data.alertContext.condition.allOf[0].metricName} ${data.alertContext.condition.allOf[0].operator} ${data.alertContext.condition.allOf[0].threshold} ${data.essentials.monitorCondition}. The value is ${data.alertContext.condition.allOf[0].metricValue}
    • Potential results:
      • Alert Resolved reason: Percentage CPU GreaterThan5 Resolved. The value is 3.585
      • Alert Fired reason": "Percentage CPU GreaterThan5 Fired. The value is 10.585

Configurare tag di regole di avviso

On the Tags tab, you can optionally set any required tags on the alert rule resource.

Screenshot che mostra la scheda Tag per la creazione di una nuova regola di avviso.

Rivedere e creare la regola di avviso

  1. Nella scheda Rivedi e crea, la regola viene convalidata. Se si verifica un problema, tornare indietro e risolverlo.

  2. When validation passes and you've reviewed the settings, select the Create button.

    Screenshot che mostra la scheda per la revisione e la creazione di una nuova regola di avviso.

Related content