Freigeben über

Erstellen einer einfachen Protokollsuche-Warnung

In diesem Artikel erfahren Sie, wie Sie eine neue einfache Protokollbenachrichtigungsregel erstellen oder eine vorhandene einfache Protokollbenachrichtigungsregel in Azure Monitor bearbeiten. Weitere Informationen zu Warnungen finden Sie in der Übersicht zu Warnungen.

Warnregeln

Warnungsregeln kombinieren die zu überwachenden Ressourcen, die Überwachungsdaten aus der Ressource und die Bedingungen, die sie auslösen sollen. Anschließend können Sie Aktionsgruppen und Warnungsverarbeitungsregeln definieren, um zu bestimmen, was geschieht, wenn eine Warnung ausgelöst wird.

Warnungen, die von diesen Warnungsregeln ausgelöst werden, enthalten eine Nutzlast, die das allgemeine Warnungsschema verwendet.

Voraussetzungen

Zum Erstellen oder Bearbeiten einer Warnungsregel müssen Sie die folgenden Berechtigungen haben:

  • Leseberechtigung für die Zielressource der Warnungsregel.
  • Schreibberechtigung für die Ressourcengruppe, in der die Warnungsregel erstellt wird. Wenn Sie die Warnungsregel über das Azure-Portal erstellen, wird die Warnungsregel standardmäßig in derselben Ressourcengruppe erstellt, in der sich die Zielressource befindet.
  • Leseberechtigung für jede Aktionsgruppe, die der Warnungsregel zugeordnet ist, falls zutreffend.

Zugreifen auf den Warnungsregel-Assistenten im Azure-Portal

Es gibt mehrere Möglichkeiten, eine Warnungsregel zu erstellen oder zu bearbeiten.

Erstellen oder Bearbeiten einer Warnungsregel auf der Portal-Homepage

  1. Wählen Sie im Azure-Portal die Option Überwachen aus.
  2. Wählen Sie im linken Bereich Warnungen aus.
  3. Wählen Sie + Erstellen>Warnungsregel aus.

Screenshot: Schritte zum Erstellen einer Warnungsregel auf der Startseite des Portals

Erstellen oder Bearbeiten einer Warnungsregel aus einer bestimmten Ressource

  1. Navigieren Sie im Azure-Portal zu der Ressource.
  2. Wählen Sie im linken Bereich Warnungen aus.
  3. Wählen Sie + Erstellen>Warnungsregel aus.
  4. Der Bereich der Warnungsregel wird auf die Ressource festgelegt, die Sie ausgewählt haben. Fahren Sie mit dem Festlegen der Bedingungen für die Warnungsregel fort.

Screenshot: Schritte zum Erstellen einer Warnungsregel über eine ausgewählte Ressource

Konfigurieren der Bedingungen für einfache Protokollsuche-Benachrichtigungsregel

  1. Wählen Sie die Registerkarte Bedingung aus.

  2. Wählen Sie " Benutzerdefinierte Protokollsuche" für das Feld " Signalname " aus. Wählen Sie alternativ "Alle Signale anzeigen " aus, wenn Sie ein anderes Signal für die Bedingung auswählen möchten.

  3. (Optional) Wenn Sie im vorherigen Schritt Alle Signale anzeigen ausgewählt haben, verwenden Sie den Bereich Signal auswählen, um nach dem Signalnamen zu suchen oder die Liste der Signale zu filtern. Filtern nach:

    • Signaltyp: Wählen Sie Protokollsuche aus.
    • Signalquelle: Der Dienst, der die Signale für Benutzerdefinierte Protokollsuche und Protokoll (gespeicherte Abfrage) sendet. Wählen Sie den Signalnamen und anschließend Anwenden aus.
    • Abfragetyp: Wählen Sie aggregierte Protokolle aus.

  4. So erstellen Sie eine einfache Protokollwarnung:

    • Schließen Sie den Protokollbereich.
    • Wählen Sie Einzelnes Ereignis im Optionsfeld für den Abfragetyp aus.
    • Schreiben Sie im Protokollbereich eine Abfrage, die die Protokollereignisse zurückgibt, um eine Warnung zu erstellen. Beachten Sie, dass die einfache Protokollwarnung auf einer einfachen KQL-Abfrage basiert, die auf der Transformations-KQL-Sprache basiert.

    Hinweis

    Einfache Protokollbenachrichtigungsregelabfragen unterstützen nicht "print", "datatable" und "let".

  5. Wählen Sie Ausführen aus, um die Warnung auszuführen.

  6. Im Abschnitt Vorschau werden die Abfrageergebnisse gezeigt. Wenn Sie die Bearbeitung Ihrer Abfrage abgeschlossen haben, wählen Sie Warnungsbearbeitung fortsetzen aus.

  7. Die Registerkarte Bedingung wird geöffnet und mit Ihrer Protokollabfrage aufgefüllt. Standardmäßig zählt die Regel die Anzahl der Ergebnisse in den letzten fünf Minuten. Wenn das System zusammengefasste Abfrageergebnisse erkennt, wird die Regel automatisch aktualisiert.

  8. Optional: Im Abschnitt When to trigger the alert können Sie die Anzahl der Zeilen definieren, die übereinstimmen müssen, um eine Warnung für eine bestimmte Minute auszulösen. Beispiel:

    • Warnung pro Zeile, die der Abfrage entspricht
    • Wenn die Bedingung mindestens einmal in der Minute erfüllt ist – eine Zeile entspricht
    • Wenn die Bedingung mindestens zweimal in der Minute erfüllt ist – zwei Zeilen stimmen überein
    • Wenn die Bedingung mindestens dreimal in der Minute erfüllt ist – drei Zeilen stimmen überein
    • Benutzerdefinierte Definition, wie viele Zeilen übereinstimmen müssen, um eine Warnung in einer bestimmten Minute zu erhalten

Verschiedene Ausgabespalten anzeigen

In der Ausgabe ist die Anzahl der Zeilen, die in der E-Mail oder im Warnungsverbrauch angezeigt werden, eingeschränkt. Die ersten fünf Spalten der Abfrage werden in der Ausgabe angezeigt. Wenn Sie daher unterschiedliche Spalten anzeigen möchten, ändern Sie die Reihenfolge der Spalten in der KQL-Abfrage, die sich im Protokollbereich befindet.

Verbleibende Schritte

Die verbleibenden Schritte sind identisch mit der Protokollsuche.