Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln visar hur du skapar en ny enkel loggvarningsregel eller redigerar en befintlig enkel loggvarningsregel i Azure Monitor. För att lära dig mer om varningar, se översikten över varningar.
Aviseringsregler
Larmregler kombinerar resurserna som ska övervakas, övervakningsdata från resursen och de villkor som du vill utlösa larmet för. Du kan sedan definiera aktionsgrupper och alarmbehandlingsregler för att bestämma vad som händer när ett alarm utlöses.
Meddelanden som utlöses av dessa varningsregler innehåller en payload som använder den vanliga varningsschemat.
Förutsättningar
För att skapa eller redigera en varningsregel måste du ha följande behörigheter:
- Läsbehörighet för målresursen i varningsregeln.
- Skrivbehörighet för resursgruppen där varningsregeln skapas. Om du skapar aviseringsregeln från Azure Portal skapas aviseringsregeln som standard i samma resursgrupp där målresursen finns.
- Läsbehörighet på alla åtgärdsgrupper associerade med larmregeln, om tillämpligt.
Gå in i varningsregelguiden i Azure-portalen
Det finns flera sätt att skapa eller redigera en larminställning.
Skapa eller redigera en varningsregel från portalens startsida
- I Azure Portal väljer du Övervaka.
- På vänstra panelen väljer du Alerts.
- Välj + Skapa>aviseringsregel.
Skapa eller redigera en varningsregel från en specifik resurs
- I Azure-portalen, gå till resursen.
- På vänstra panelen väljer du Alerts.
- Välj + Skapa>aviseringsregel.
- Omfattningen av larmregeln är inställd på den resurs du valde. Fortsätt med att ställa in villkoren för varningsregeln.
Konfigurera de enkla aviseringsregelvillkoren för loggsökning
Välj fliken Condition.
Välj Anpassad loggsökning för fältet Signalnamn. Alternativt kan du välja Se alla signaler om du vill välja en annan signal för villkoret.
(Valfritt) Om du valde Se alla signaler i föregående steg, använd panelen Välj en signal för att söka efter signalnamnet eller filtrera signalerna. Filtrera efter:
- Signaltyp: Välj Loggsökning.
- Signal source: Tjänsten som skickar Anpassad loggsökning och Logg (sparad fråga)-signalerna. Välj signalnamnet och välj sedan Verkställ.
- Frågetyp: Välj Aggregerade loggar.
Så här skapar du en enkel loggavisering:
- Stäng loggfönstret.
- Välj Single event i kryssrutan för frågetyp.
- I fönstret Loggar skriver du en fråga som returnerar de logghändelser som du vill skapa en avisering. Observera att den enkla loggaviseringen baseras på en enkel KQL-fråga som baseras på KQL-transformeringsspråket.
Anmärkning
Enkla loggvarningsregler stöder inte print, datatable och let.
Välj Run för att köra varningen.
Förhandsgranskning-avsnittet visar dig frågeresultaten. När du är klar med redigeringen av frågan väljer du Fortsätt redigera avisering.
Fliken Condition öppnas och fylls i med din loggfråga. Som standard räknar regeln antalet resultat under de senaste fem minuterna. Om systemet upptäcker summerade frågeresultat uppdateras regeln automatiskt med den informationen.
Valfritt: I avsnittet När avisering ska utlösas kan du definiera antalet rader som ska matcha för att utlösa en avisering under en viss minut. Till exempel:
- Avisering för varje rad som matchar frågan
- När villkoret uppfylls minst en gång per minut – en rad matchar
- När villkoret uppfylls minst två gånger inom en minut - två rader stämmer överens
- När villkoret uppfylls minst tre gånger under minuten - tre rader matchar
- Anpassad definition av hur många rader som måste stämma överens för att ge en varning vid en viss minut
Visa olika utgångskolumner
I utmatningen är antalet rader som visas i e-postmeddelandet eller i larmkonsumtionen begränsat. De första fem kolumnerna i frågan visas i utmatningen. Därför, om du vill visa olika kolumner, ändra ordningen på kolumnerna i KQL-frågan som finns i loggfönstret.
Återstående steg
De återstående stegen är desamma som vid loggsökning.