Guida introduttiva: Creare avvisi con Azure Resource Graph e Log Analytics
Articolo
In questa guida introduttiva si apprenderà come usare Azure Log Analytics per creare avvisi nelle query di Azure Resource Graph. È possibile creare avvisi con query di Azure Resource Graph, area di lavoro Log Analytics e identità gestite. Le condizioni dell'avviso inviano notifiche a un intervallo specificato.
È possibile usare le query per configurare gli avvisi per le risorse di Azure distribuite. È possibile creare query usando le tabelle di Azure Resource Graph oppure combinare tabelle di Azure Resource Graph e dati di Log Analytics dai log di Monitoraggio di Azure.
Negli esempi di questo articolo creare risorse nello stesso gruppo di risorse e usare la stessa area, ad esempio Stati Uniti occidentali 3. Gli esempi in questo articolo eseguono query e creano avvisi per le risorse di Azure in un singolo tenant di Azure. I cluster di Esplora dati di Azure non rientrano nell'ambito di questo articolo.
Questo articolo include due esempi di avvisi:
Azure Resource Graph: usa la tabella di Azure Resource Graph Resources per creare una query che ottiene i dati per le risorse di Azure distribuite e crea un avviso.
Azure Resource Graph e Log Analytics: usa la tabella di Azure Resource Graph Resources e i dati di Log Analytics della tabella Heartbeat dei log di Monitoraggio di Azure. In questo esempio viene usata una macchina virtuale per illustrare come configurare la query e l'avviso.
Nota
L'integrazione degli avvisi di Azure Resource Graph con Log Analytics è disponibile in anteprima pubblica.
Prerequisiti
Se non si ha un account Azure, creare un account gratuito prima di iniziare.
Risorse distribuite in Azure, ad esempio macchine virtuali o account di archiviazione.
Per usare l'esempio per la query Azure Resource Graph e Log Analytics, è necessaria almeno una macchina virtuale di Azure con l'agente di Monitoraggio di Azure.
Creare un'area di lavoro
Creare un'area di lavoro Log Analytics nella sottoscrizione monitorata.
Non è necessario creare una macchina virtuale per l'esempio che usa la tabella di Azure Resource Graph.
Nota
Questa sezione è facoltativa se si dispone di macchine virtuali esistenti o si sa come creare una macchina virtuale. Questo esempio usa una macchina virtuale per illustrare come creare una query usando una tabella di Azure Resource Graph e i dati di Log Analytics.
Per ottenere informazioni di log, quando si connette la macchina virtuale all'area di lavoro Log Analytics, l'agente di Monitoraggio di Azure viene installato nella macchina virtuale. Se non si ha una macchina virtuale, è possibile crearne una per questo esempio. Per evitare costi non necessari, eliminare la macchina virtuale al termine dell'esempio.
Le istruzioni seguenti sono le impostazioni di base per una macchina virtuale Linux. I passaggi dettagliati su come creare una macchina virtuale non rientrano nell'ambito di questo articolo. L'organizzazione potrebbe richiedere impostazioni di sicurezza o di rete diverse per le macchine virtuali.
Da Creare una macchina virtuale è possibile accettare le impostazioni predefinite con le eccezioni seguenti:
Nozioni di base
Gruppo di risorse: demo-arg-alert-rg
nome macchina virtuale: immettere un nome di macchina virtuale come demovm01.
Opzioni di disponibilità: nessuna ridondanza dell'infrastruttura necessaria
Dimensioni: Standard_B1s
Account amministratore: è necessario creare credenziali, ma per questo esempio non è necessario eseguire l'accesso:
Tipo di autenticazione: chiave pubblica SSH
Nome utente: creare un nome utente
Origine chiave pubblica SSH: generare una nuova coppia di chiavi
Nome coppia di chiavi: accettare il nome predefinito
Porte in ingresso pubbliche: Nessuna
Dischi
Verificare che l'opzione Elimina con macchina virtuale sia selezionata.
Networking
IP pubblico: Nessuno
Selezionare Elimina scheda di interfaccia di rete quando viene eliminata la macchina virtuale.
Gestione
Selezionare Abilita arresto automatico.
Selezionare un'ora di arresto nel fuso orario.
Aggiungere l'indirizzo di posta elettronica se si desidera una notifica di arresto.
Monitoraggio, avanzate e tag
Nessuna modifica necessaria per questo esempio.
Selezionare Rivedi e crea e quindi Crea.
Viene richiesto di generare una nuova coppia di chiavi. Selezionare Download private key and create resource (Scarica chiave privata e crea risorsa). Al termine della macchina virtuale, eliminare il file di chiave privata dal computer.
Selezionare Vai alla risorsa dopo la distribuzione della macchina virtuale.
Nota
Questa sezione è facoltativa se si sa come connettere una macchina virtuale a un'area di lavoro Log Analytics e all'agente di Monitoraggio di Azure.
Configurare una regola di raccolta dati per il monitoraggio della macchina virtuale.
Nel campo Ricerca di Azure immettere le regole di raccolta dati e selezionare regole di raccolta dati.
Selezionare Crea:
Nome regola: immettere un nome come demo-data-collection-rule.
Sottoscrizione: selezionare la propria sottoscrizione.
Gruppo di risorse: selezionare demo-arg-alert-rg.
Area: Stati Uniti occidentali 3.
Tipo di piattaforma: selezionare Tutto.
Selezionare Avanti: Risorse:
Selezionare Aggiungi risorse.
Sottoscrizione: selezionare la propria sottoscrizione.
Ambito: selezionare il gruppo di risorse e il nome della macchina virtuale.
Selezionare Applica.
Selezionare Avanti: Raccogliere e recapitare:
Seleziona Aggiungi origine dati.
Tipo di origine dati: selezionare Contatori delle prestazioni.
Selezionare Avanti: Destinazione e Aggiungi destinazione:
Tipo di destinazione: Log di Monitoraggio di Azure.
Sottoscrizione: selezionare la propria sottoscrizione.
Account o spazio dei nomi: selezionare l'area di lavoro Log Analytics, demo-arg-alert-workspace.
Seleziona Aggiungi origine dati.
Selezionare Rivedi + crea, quindi Crea.
Selezionare Vai alla risorsa al termine della distribuzione.
Verificare che il monitoraggio sia configurato per la macchina virtuale:
Passare alla regola di raccolta dati ed esaminare la Configurazione:
Origini dati: mostra i contatori delle prestazioni dell'origine dati e i log di Monitoraggio di Azure di destinazione.
Risorse: mostra la macchina virtuale, il gruppo di risorse e la sottoscrizione.
Passare all'area di lavoro Log Analytics demo-arg-alert-workspace. Selezionare Impostazioni>Agenti>Server Linux e il computer Linux è connesso all'agente Linux di Monitoraggio di Azure. La visualizzazione dell'agente può richiedere alcuni minuti.
Passare alla macchina virtuale e selezionare Impostazioni>Estensioni e applicazioni e verificare che AzureMonitorLinuxAgent mostri il provisioning riuscito.
Nell'area di lavoro Log Analytics creare una query di Azure Resource Graph per ottenere un conteggio delle risorse di Azure. Questo esempio usa la tabella Resources di Azure Resource Graph.
Selezionare Log dal lato sinistro della pagina dell'area di lavoro Log Analytics. Chiudere la finestra Query se visualizzata.
Usare il codice seguente nella nuova query:
arg("").Resources
| count
I nomi delle tabelle in Log Analytics devono essere maiuscole e minuscole con la prima lettera di ogni parola maiuscola, ad esempio Resources o ResourceContainers. È anche possibile usare lettere minuscole come resources o resourcecontainers.
Selezionare Esegui.
I risultati visualizzano il numero di risorse nella sottoscrizione di Azure. Prendere nota di tale numero perché è necessario per la condizione della regola di avviso. Quando si esegue manualmente la query, il conteggio si basa sull'identità utente e un avviso attivato usa un'identità gestita. È possibile che il conteggio possa variare tra un'esecuzione manuale o un avviso attivato.
Rimuovere il conteggio dalla query.
arg("").Resources
Nell'area di lavoro Log Analytics creare una query di Azure Resource Graph per ottenere le informazioni sull'ultimo heartbeat dalla macchina virtuale. Questo esempio usa la tabella Resources di Azure Resource Graph e i dati di Log Analytics della tabella Heartbeat dei log di Monitoraggio di Azure.
Passare all'area di lavoro Log Analytics demo-arg-alert-workspace.
Selezionare Log dal lato sinistro della pagina dell'area di lavoro Log Analytics. Chiudere la finestra Query se visualizzata.
Usare il codice seguente nella nuova query:
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
I nomi delle tabelle in Log Analytics devono essere maiuscole e minuscole con la prima lettera di ogni parola maiuscola, ad esempio Resources o ResourceContainers. È anche possibile usare lettere minuscole come resources o resourcecontainers.
È possibile usare altri intervalli di tempo per TimeGenerated. Ad esempio, anziché minuti come 15m usare ore come 12h, 24h, 48h.
Selezionare Esegui.
La query deve restituire l'ultimo heartbeat, lo stato di alimentazione, il nome e l'ID risorsa della macchina virtuale. Se non viene visualizzato alcun risultato, continuare con i passaggi successivi. Le nuove configurazioni possono richiedere 30 minuti perché i dati di monitoraggio diventino disponibili per la query e gli avvisi.
Nell'area di lavoro Log Analytics selezionare Nuova regola di avviso. La query dall'area di lavoro Log Analytics viene copiata nella regola di avviso. Creare una regola di avviso include diverse schede che devono essere aggiornate per creare l'avviso.
Ambito
Verificare che l'ambito predefinito sia l'area di lavoro Log Analytics denominata demo-arg-alert-workspace.
Solo se l'ambito non è impostato sul valore predefinito, seguire questa procedura:
Passare alla scheda Ambito e selezionare Seleziona ambito.
Nella parte inferiore della schermata Risorse selezionate rimuovere l'ambito corrente.
Selezionare l'opzione Seleziona ambito.
Espandere demo-arg-alert-rg dall'elenco delle risorse e selezionare demo-arg-alert-workspace.
Selezionare Applica.
Selezionare Avanti: Condizione.
Condizione
Il modulo include diversi campi da completare:
Nome del segnale: ricerca log personalizzata
Query di ricerca: visualizza il codice della query
Se l'ambito è stato modificato, è necessario aggiungere la query dalla sezione Crea query.
Misura
Misura: righe di tabella
Tipo di aggregazione: Conteggio
Granularità aggregazione: 5 minuti
Logica avvisi
Operatore: maggiore di
Valore soglia: usare un numero minore che il numero restituito dal numero delle risorse.
Ad esempio, se il numero di risorse è 50, usare 45. Questo valore attiva l'avviso quando valuta le risorse perché il numero di risorse è maggiore del valore soglia.
Frequenza della valutazione: 5 minuti
Al termine, selezionare Avanti: Azioni.
Azioni
Selezionare Crea gruppo di azioni:
Sottoscrizione: selezionare una sottoscrizione di Azure.
Gruppo di risorse: demo-arg-alert-rg
Area: globale consente al servizio gruppi di azioni di selezionare la posizione.
Nome gruppo di azioni: demo-arg-alert-action-group
Nome visualizzato: azione demo (il limite è di 12 caratteri)
Selezionare Avanti: Notifiche:
Tipo di notifica: selezionare Messaggio di posta elettronica/SMS/Push/Voce.
Nome: email-alert
Selezionare la casella di controllo posta elettronica e digitare l'indirizzo di posta elettronica.
Selezionare OK.
Selezionare Rivedi e crea, verificare che il riepilogo sia corretto e selezionare Crea. Si torna alla scheda Azioni della pagina Crea una regola di avviso. Il nome del gruppo di azioni mostra il gruppo di azioni creato. Si riceve una notifica tramite posta elettronica per confermare l'aggiunta al gruppo di azioni.
Selezionare Avanti: Dettagli.
Dettagli
Usare le informazioni seguenti nella scheda Dettagli:
Sottoscrizione: selezionare una sottoscrizione di Azure.
Gruppo di risorse: demo-arg-alert-rg
Gravità: accettare il valore predefinito 3 - Informativo.
Nome della regola di avviso: demo-arg-alert-rule
Descrizione della regola di avviso: avviso di posta elettronica per il numero di risorse di Azure
Area: Stati Uniti occidentali 3
Identity: Selezionare l'identità gestita assegnata dal sistema.
Selezionare Rivedi e crea, verificare che il riepilogo sia corretto e selezionare Crea. Si torna alla pagina Log dell'area di lavoro Log Analytics.
Assegnare il ruolo
Assegnare il lettore di Log Analytics all'identità gestita assegnata dal sistema in modo che disponga delle autorizzazioni per lanciare gli avvisi che inviano notifiche via e-mail.
Selezionare Monitoraggio>avvisi nell'area di lavoro Log Analytics. Selezionare OK se viene richiesto che le modifiche non salvate verranno rimosse.
ID oggetto: mostra il GUID per l'applicazione aziendale (entità servizio) in Microsoft Entra ID.
Autorizzazione: selezionare assegnazioni di ruolo di Azure:
Verificare che la sottoscrizione sia selezionata.
Selezionare Aggiungi assegnazione di ruolo:
Ambito: sottoscrizione
Abbonamento: selezionare il nome dell’abbonamento di Azure.
Ruolo: lettore di Log Analytics
Seleziona Salva.
La visualizzazione del lettore di Log Analytics nella pagina assegnazioni di ruolo di Azure richiede alcuni minuti. Selezionare Aggiorna per aggiornare la pagina.
Usare il pulsante Indietro del browser per tornare all'identità e quindi selezionare Panoramica per tornare alla regola di avviso. Selezionare il collegamento al gruppo di risorse denominato demo-arg-alert-rg.
Anche se non rientra nell'ambito di questo articolo, per un cluster di Esplora dati di Azure aggiungere il ruolo Lettore all'identità gestita assegnata dal sistema. Per altre informazioni, alla fine di questo articolo selezionare il collegamento Assegnazioni di ruolo per i cluster di Esplora dati di Azure.
Nell'area di lavoro Log Analytics selezionare Nuova regola di avviso. La query dall'area di lavoro Log Analytics viene copiata nella regola di avviso. La regola di creazione di un avviso include diverse schede da aggiornare.
Ambito
Verificare che l'ambito predefinito sia l'area di lavoro Log Analytics denominata demo-arg-alert-workspace.
Solo se l'ambito non è impostato sul valore predefinito, seguire questa procedura:
Passare alla scheda Ambito e selezionare Seleziona ambito.
Nella parte inferiore della schermata Risorse selezionate eliminare l'ambito corrente.
Espandere demo-arg-alert-rg dall'elenco delle risorse e selezionare demo-arg-alert-workspace.
Selezionare Applica.
Selezionare Avanti: Condizione.
Condizione
Il modulo include diversi campi da completare:
Nome del segnale: ricerca log personalizzata
Query di ricerca: visualizza il codice della query
Se l'ambito è stato modificato, è necessario aggiungere la query dalla sezione Crea query.
Misura
Misura: righe di tabella
Tipo di aggregazione: Conteggio
Granularità aggregazione: 5 minuti
Logica avvisi
Operatore: minore di
Valore soglia: 2
Frequenza della valutazione: 5 minuti
Al termine, selezionare Avanti: Azioni.
Azioni
Selezionare Crea gruppo di azioni:
Sottoscrizione: selezionare una sottoscrizione di Azure.
Gruppo di risorse: demo-arg-alert-rg
Area: globale consente al servizio gruppi di azioni di selezionare la posizione.
Nome gruppo di azioni: demo-arg-la-alert-action-group
Nome visualizzato: demo-argla (il limite è di 12 caratteri)
Selezionare Avanti: Notifiche:
Tipo di notifica: selezionare Messaggio di posta elettronica/SMS/Push/Voce
Nome: email-alert-arg-la
Selezionare la casella di controllo posta elettronica e digitare l'indirizzo di posta elettronica
Scegliere OK.
Selezionare Rivedi e crea, verificare che il riepilogo sia corretto e selezionare Crea. Si torna alla scheda Azioni della pagina Crea una regola di avviso. Il nome del gruppo di azioni mostra il gruppo di azioni creato. Si riceve una notifica tramite posta elettronica per confermare l'aggiunta al gruppo di azioni.
Selezionare Avanti: Dettagli.
Dettagli
Usare le informazioni seguenti nella scheda Dettagli:
Sottoscrizione: selezionare una sottoscrizione di Azure.
Gruppo di risorse: demo-arg-alert-rg
Gravità: selezionare 2 - Avviso.
Nome regola di avviso: demo-arg-la-alert-rule
Descrizione della regola di avviso: avviso di posta elettronica per query ARG-LA della macchina virtuale di Azure
Area: Stati Uniti occidentali 3
Identità: Selezionare l'identità gestita assegnata dal sistema
Selezionare Rivedi e crea, verificare che il riepilogo sia corretto e selezionare Crea. Si torna alla pagina Log dell'area di lavoro Log Analytics.
Assegnare il ruolo
Assegnare il lettore di Log Analytics all'identità gestita assegnata dal sistema in modo che disponga delle autorizzazioni per lanciare gli avvisi che inviano notifiche via e-mail.
Selezionare Monitoraggio>avvisi nell'area di lavoro Log Analytics. Selezionare OK se viene richiesto che le modifiche non salvate verranno rimosse.
ID oggetto: mostra il GUID per l'applicazione aziendale (entità servizio) in Microsoft Entra ID.
Autorizzazione: selezionare assegnazioni di ruolo di Azure
Verificare che la sottoscrizione sia selezionata
Selezionare Aggiungi assegnazione di ruolo:
Ambito: sottoscrizione
Abbonamento: selezionare il nome dell’abbonamento di Azure
Ruolo: lettore di Log Analytics
Seleziona Salva.
La visualizzazione del lettore di Log Analytics nella pagina assegnazioni di ruolo di Azure richiede alcuni minuti. Selezionare Aggiorna per aggiornare la pagina.
Usare il pulsante Indietro del browser per tornare all'identità e quindi selezionare Panoramica per tornare alla regola di avviso. Selezionare il collegamento al gruppo di risorse denominato demo-arg-alert-rg.
Anche se non rientra nell'ambito di questo articolo, per un cluster di Esplora dati di Azure aggiungere il ruolo Lettore all'identità gestita assegnata dal sistema. Per altre informazioni, alla fine di questo articolo selezionare il collegamento Assegnazioni di ruolo per i cluster di Esplora dati di Azure.
Dopo aver assegnato il ruolo alla regola di avviso, si inizia a ricevere messaggi di posta elettronica per i messaggi di avviso. La regola è stata creata per inviare avvisi ogni cinque minuti e sono necessari alcuni minuti per ottenere il primo avviso.
È anche possibile visualizzare gli avvisi nel portale di Azure:
Passare al gruppo di risorse demo-arg-alert-rg.
Selezionare demo-arg-alert-workspace nell'elenco di risorse.
Selezionare Monitoraggio>Avvisi.
Viene visualizzato un elenco di avvisi.
Dopo aver assegnato il ruolo alla regola di avviso, si inizia a ricevere messaggi di posta elettronica per i messaggi di avviso. La regola è stata creata per inviare avvisi ogni cinque minuti e sono necessari alcuni minuti per ottenere il primo avviso.
È anche possibile visualizzare gli avvisi nel portale di Azure:
Passare al gruppo di risorse demo-arg-alert-rg.
Selezionare la macchina virtuale.
Selezionare Monitoraggio>Avvisi.
Viene visualizzato un elenco di avvisi.
Per una nuova configurazione, potrebbero essere necessari 30 minuti prima che le informazioni di log diventino disponibili e creino avvisi. Durante tale periodo, è possibile notare che la regola di avviso della macchina virtuale visualizza gli avvisi negli avvisi di monitoraggio dell'area di lavoro. Quando le informazioni di log della macchina virtuale diventano disponibili, gli avvisi vengono visualizzati negli avvisi di monitoraggio della macchina virtuale.
Pulire le risorse
Se si vuole mantenere la configurazione dell'avviso ma arrestare l'attivazione e l'invio di notifiche tramite posta elettronica, è possibile disabilitarla. Passare alla regola di avviso demo-arg-alert-rule o demo-arg-la-alert-rule e selezionare Disabilita.
Se non è necessario questo avviso o le risorse create in questo esempio, eliminare il gruppo di risorse seguendo questa procedura:
Passare al gruppo di risorse demo-arg-alert-rg.
Selezionare Elimina gruppo di risorse.
Digitare il nome del gruppo di risorse da confermare.
Selezionare Elimina.
Se è stata creata una macchina virtuale, eliminare la chiave privata scaricata nel computer durante la distribuzione. Il nome file ha un'estensione .pem.
Contenuto correlato
Per altre informazioni sul linguaggio di query o su come esplorare le risorse, vedere gli articoli seguenti.
