Esercitazione: Creare un avviso di ricerca log per una risorsa di Azure
Gli avvisi di Monitoraggio di Azure notificano in modo proattivo quando vengono riscontrate importanti condizioni nei dati di monitoraggio. Le regole di avviso di ricerca log creano un avviso quando una query di log restituisce un determinato risultato. Ad esempio, ricevere un avviso quando viene creato un determinato evento in una macchina virtuale o inviare un avviso quando vengono effettuate richieste anonime eccessive a un account di archiviazione.
In questa esercitazione apprenderai a:
- Accedere alle query di log predefinite progettate per supportare regole di avviso per diversi tipi di risorse
- Creare una regola di avviso di ricerca log
- Creare un gruppo di azioni per definire i dettagli delle notifiche
Prerequisiti
Per completare l'esercitazione è necessario quanto segue:
- Una risorsa di Azure da monitorare. È possibile usare tutte le risorse della sottoscrizione di Azure che supportano le impostazioni di diagnostica. Per determinare se una risorsa supporta le impostazioni di diagnostica, passare al relativo menu nel portale di Azure e verificare se è presente un'opzione Impostazioni di diagnostica nella sezione Monitoraggio del menu.
Se si usa una risorsa di Azure diversa da una macchina virtuale:
- Impostazione di diagnostica per inviare i log delle risorse dalla risorsa di Azure a un'area di lavoro Log Analytics. Vedere Esercitazione: Creare un'area di lavoro Log Analytics in Monitoraggio di Azure.
Se si usa una macchina virtuale di Azure:
- Regola di raccolta dati per inviare log guest e metriche a un'area di lavoro Log Analytics. Vedere Esercitazione: Raccogliere i log guest e le metriche dalla macchina virtuale di Azure.
Selezionare una query di log e verificare i risultati
I dati vengono recuperati da un'area di lavoro Log Analytics tramite una query su log scritta nel linguaggio di query Kusto (KQL). Le informazioni dettagliate e le soluzioni in Monitoraggio di Azure forniscono le query di log per recuperare i dati per un servizio specifico, ma è possibile usare direttamente le query di log e i relativi risultati nel portale di Azure con Log Analytics.
Selezionare Log dal menu delle risorse. Log Analytics viene aperto con la finestra Query che include le query predefinite per il tipo di risorsa. Selezionare Avvisi per visualizzare le query progettate per le regole di avviso.
Nota
Se la finestra Query non è aperta, fare clic su Query in alto a destra.
Selezionare una query e fare clic su Esegui per caricarla nell'editor di query e restituire i risultati. È possibile modificare la query e attivarne l’esecuzione di nuovo. Ad esempio, la query Mostra richieste anonime per gli account di archiviazione è illustrata nello screenshot seguente. È possibile modificare AuthenticationType o filtrare in base a una colonna diversa.
Crea regola di avviso
Dopo aver verificato la query, è possibile creare la regola di avviso. Selezionare Nuova regola di avviso per creare una nuova regola di avviso in base alla query di log corrente. L'ambito è già impostato sulla risorsa corrente. Non è necessario modificare questo valore.
Configurare la condizione
Nella scheda Condizione, la query di log è già compilata. La sezione Misurazione definisce il modo in cui vengono misurati i record della query di log. Se la query non esegue un riepilogo, l'unica opzione consiste nel Contare il numero di righe della tabella. Se la query include una o più colonne riepilogate, è possibile usare il numero di righe della tabella o un calcolo basato su una delle colonne riepilogate. Granularità di aggregazione definisce l'intervallo di tempo in cui vengono aggregati i valori raccolti. Ad esempio, se la granularità di aggregazione è impostata su 5 minuti, la regola di avviso valuta i dati aggregati negli ultimi 5 minuti. Se la granularità di aggregazioni è impostata su 15 minuti, la regola di avviso valuta i dati aggregati negli ultimi 15 minuti. È importante scegliere la granularità di aggregazione corretta per la regola di avviso, in quanto può influire sull'accuratezza dell'avviso.
Nota
La dimensione combinata di tutti i dati nelle proprietà della regola di avviso log non può superare 64 kB. Ciò può essere causato da troppe dimensioni, da una query troppo grande, da troppi gruppi di azioni o da una descrizione lunga. Quando si crea una regola di avviso ampia, ricordarsi di ottimizzare queste aree.
Configurazione delle dimensioni
La divisione in base alle dimensioni consente di creare avvisi separati per risorse diverse. Questa impostazione è utile quando si crea una regola di avviso che si applica a più risorse. Con l'ambito impostato su una risorsa singola, questa impostazione in genere non viene usata.
Se sono necessarie determinate dimensioni incluse nel messaggio di posta elettronica di notifica degli avvisi, è possibile specificare una dimensione, (ad esempio "Computer"), il messaggio di posta elettronica di notifica dell'avviso includerà il nome del computer che ha attivato l'avviso. Il motore di avvisi usa la query di avviso per determinare le dimensioni disponibili. Se non viene visualizzata la dimensione desiderata nell'elenco a discesa per "Nome dimensione", la query di avviso non espone tale colonna nei risultati. È possibile aggiungere facilmente le dimensioni desiderate aggiungendo una riga di Progetto alla query che include le colonne da usare. Inoltre è possibile usare la riga di riepilogo per aggiungere altre colonne ai risultati della query.
Configurare la logica degli avvisi
Nella logica di avviso configurare Operatore e Valore soglia per confrontare il valore restituito dalla misura. Quando questo valore è true, viene creato un avviso. Selezionare un valore per Frequenza di valutazione, che definisce la frequenza con cui viene eseguita e valutata la query di log. Il costo per la regola di avviso aumenta con una frequenza inferiore. Quando si seleziona una frequenza, viene visualizzato il costo mensile stimato oltre a un'anteprima dei risultati della query in un periodo di tempo.
Ad esempio, se la misura è Righe tabella, la logica di avviso può essere maggiore di 0, ciò indica che è stato restituito almeno un record. Se la misura è un valore di colonne, potrebbe essere necessario che la logica sia maggiore o minore di un determinato valore soglia. Nell'esempio seguente la query di log cerca richieste anonime a un account di archiviazione. Se viene effettuata una richiesta anonima, è necessario attivare un avviso. In questo caso, una singola riga restituita attiverà l'avviso, quindi la logica dell'avviso deve essere maggiore di 0.
Configurazione di azioni
I gruppi di azioni definiscono un set di azioni da eseguire quando viene generato un avviso, ad esempio l'invio di un messaggio di posta elettronica o un SMS.
Per configurare le azioni, selezionare la scheda Azioni.
Fare clic su Selezionare i gruppi di azioni per aggiungerne uno alla regola di avviso.
Se non si ha già un gruppo di azioni nella sottoscrizione da selezionare, fare clic su Crea gruppo di azioni per crearne uno nuovo.
Selezionare una sottoscrizione e un gruppo di risorse per il gruppo di azioni e assegnargli un nome gruppo di azioni che verrà visualizzato nel portale e un nome visualizzato che verrà visualizzato nelle notifiche tramite posta elettronica e SMS.
Selezionare la scheda Notifiche e aggiungere uno o più metodi per inviare notifiche agli utenti appropriati quando viene generato l'avviso.
Configurare i dettagli
Selezionare la scheda Dettagli e configurare impostazioni diverse per la regola di avviso.
- Nome regola di avviso che deve essere descrittivo perché verrà visualizzato quando viene generato l'avviso.
- Facoltativamente specificare una Descrizione della regola di avviso, che viene inclusa nei dettagli dell'avviso.
- Sottoscrizione e Gruppo di risorse in cui verrà archiviata la regola di avviso. Non è necessario che si trovi nello stesso gruppo di risorse della risorsa monitorata.
- Gravità per l'avviso. La gravità consente di raggruppare gli avvisi con un'importanza relativa simile. La gravità dell'errore è appropriata per una macchina virtuale che non risponde.
- In Opzioni avanzate mantenere selezionata la casella Abilita alla creazione.
- In Opzioni avanzate mantenere selezionata la casella Risolvi automaticamente gli avvisi. Ciò renderà l'avviso con stato, il che significa che l'avviso verrà risolto quando la condizione non sarà più soddisfatta.
Fare clic su Crea regola di avviso per creare la regola di avviso.
Visualizzare l'avviso
Quando viene generato un avviso, invia tutte le notifiche nei relativi gruppi di azioni. È anche possibile visualizzare l'avviso nel portale di Azure.
Selezionare Avvisi dal menu della risorsa. Se sono presenti avvisi aperti per le risorse, vengono inclusi nella visualizzazione.
Fare clic su una gravità per visualizzare gli avvisi con tale gravità. Selezionare Risposta utente e deselezionare Chiuso per visualizzare solo gli avvisi aperti.
Fare clic sul nome di un avviso per visualizzarne i dettagli.
Passaggi successivi
Dopo aver appreso come creare un avviso di ricerca log per una risorsa di Azure, vedere le cartelle di lavoro per la creazione di visualizzazioni interattive dei dati di monitoraggio.