Поделиться через

Создание простого уведомления поиска по журналам — предварительный просмотр

В этой статье показано, как создать новое простое правило генерации оповещений журнала или изменить существующее правило генерации оповещений журнала в Azure Monitor. Дополнительные сведения о оповещениях см. в обзоре оповещений.

Правила оповещения

Правила оповещений объединяют ресурсы, за которыми осуществляется мониторинг, данные мониторинга из этих ресурсов и условия, которые вызывают оповещение. Затем можно определить группы действий и правила обработки оповещений, чтобы определить, что происходит при активации оповещения.

Оповещения, активированные этими правилами оповещений, содержат полезные данные, в которых используется общая схема оповещений.

Предпосылки

Чтобы создать или изменить правило генерации оповещений, необходимо иметь следующие разрешения:

  • Разрешение на чтение целевого ресурса правила оповещения.
  • Разрешение на запись в группе ресурсов, в которой создано правило предупреждения. Если правило генерации оповещений создается на портале Azure, то по умолчанию правило генерации оповещений создается в той же группе ресурсов, в которой находится целевой ресурс.
  • Разрешение на чтение для любой группы действий, связанной с правилом генерации оповещений (если применимо).

Получите доступ к мастеру правил генерации оповещений в портале Azure

Существует несколько способов создания или изменения правила генерации оповещений.

Создание или изменение правила генерации оповещений на домашней странице портала

  1. На портале Azure выберите Монитор.
  2. На левой панели выберите "Оповещения".
  3. Выберите + Создать>Правило оповещения.

Снимок экрана: шаги по созданию правила генерации оповещений на домашней странице портала.

Создание или изменение правила генерации оповещений из определенного ресурса

  1. В портале Azure перейдите к ресурсу.
  2. На левой панели выберите "Оповещения".
  3. Выберите + Создать>Правило оповещения.
  4. Область правила генерации оповещений задана для выбранного ресурса. Продолжайте задавать условия для правила генерации оповещений.

Снимок экрана: шаги по созданию правила генерации оповещений из выбранного ресурса.

Настройте условия простых правил оповещений поиска по журналам

  1. Перейдите на вкладку Условие.

  2. Выберите Пользовательский поиск журнала для поля Имя сигнала. Кроме того, выберите "Просмотреть все сигналы ", если вы хотите выбрать другой сигнал для условия.

  3. (Необязательно) Если вы выбрали "Просмотреть все сигналы" на предыдущем шаге, используйте область "Выбор сигнала" для поиска имени сигнала или фильтрации списка сигналов. Фильтровать по:

    • Тип сигнала: выбор поиска по журналам.
    • Источник сигнала: служба, которая отправляет сигналы пользовательского поиска по журналам и журнал (сохраненный запрос). Выберите имя сигнала и нажмите кнопку "Применить".
    • Тип запроса: выбор агрегированных журналов.

  4. Создание простых оповещений журнала:

    • Закройте область журнала.
    • Выберите одно событие в радиокнопке типа запроса.
    • На панели журналов напишите запрос, который вернет события журнала, по которым вы хотите создать оповещение. Обратите внимание, что простое оповещение журнала основано на простом запросе KQL, основанном на языке KQL преобразования.

    Замечание

    Простые запросы правил генерации оповещений журнала не поддерживают печать, данные и пусть.

  5. Выберите Запуск, чтобы выполнить предупреждение.

  6. В разделе Предварительный просмотр отображаются результаты запроса. После завершения редактирования запроса нажмите кнопку "Продолжить редактирование оповещений".

  7. Откроется вкладка "Условие" и заполняется вашим запросом журнала . По умолчанию правило подсчитывает количество результатов за последние пять минут. Если система обнаруживает сводные результаты запроса, то правило автоматически обновляется на основе полученной информации.

  8. Необязательно. В разделе "Когда активировать оповещение " можно определить количество строк, которые должны соответствовать активации оповещения в течение определенной минуты. Рассмотрим пример.

    • Оповещение для каждой строки, которая соответствует запросу
    • Если условие выполняется по крайней мере один раз в минуту — одна строка соответствует
    • Если условие выполняется по крайней мере дважды в минуту, две строки совпадают.
    • Если условие выполняется по крайней мере три раза в минуту - три строки совпадают
    • Настраиваемое определение количества строк, которые должны соответствовать оповещению в определенной минуте

Отображение различных выходных столбцов

В выходных данных количество строк, отображаемых в сообщении электронной почты или в потреблении оповещений, ограничено. Первые пять столбцов запроса отображаются в выходных данных. Таким образом, если вы хотите отобразить разные столбцы, измените порядок столбцов в запросе KQL, который находится в области журнала.

Оставшиеся шаги

Остальные шаги совпадают с поиском по журналам.