次の方法で共有

単純なログ検索アラートを作成する - プレビュー

この記事では、新しい単純なログ アラート ルールを作成する方法、または Azure Monitor で既存の単純なログ アラート ルールを編集する方法について説明します。 アラートの詳細については、アラートの概要に関するページを参照してください。

アラート ルール

アラート ルールは、監視対象のリソース、リソースからの監視データ、アラートをトリガーする条件を組み合わせたものです。 次に、アクション グループアラート処理規則を定義して、アラートがトリガーされたときに何が起こるかを決定できます。

これらのアラート ルールによってトリガーされるアラートには、共通アラート スキーマを使用するペイロードが含まれています。

前提条件

アラート ルールを作成または編集するには、次のアクセス許可が必要です。

  • アラート ルールのターゲット リソースに対する読み取り権限。
  • アラートルールが作成されるリソースグループに対する書き込み権限。 Azure portal からアラート ルールを作成する場合は、そのアラート ルールが同じリソース グループ (ターゲット リソースが存在している) に既定で作成されます。
  • アラート ルールに関連付けられているアクション グループに対する読み取り権限 (該当する場合)。

Azure portal でアラート ルール ウィザードにアクセスする

アラート ルールを作成または編集するには、複数の方法があります。

ポータルのホーム ページから警告ルールを作成または編集する

  1. Azure Portal で、[モニター] を選択します。
  2. 左側のペインで、[アラート] を選びます。
  3. [+ 作成]>[アラート ルール] を選択します。

ポータルのホーム ページからアラート ルールを作成する手順を示すスクリーンショット。

特定のリソースから警告ルールを作成または編集する

  1. Azure portal でリソースに移動します。
  2. 左側のペインで、[アラート] を選びます。
  3. [+ 作成]>[アラート ルール] を選択します。
  4. アラート ルールの範囲は、選択したリソースに設定されます。 アラート ルールの条件の設定を続けます。

選んだリソースからアラート ルールを作成する手順を示すスクリーンショット。

単純なログ検索アラート ルールの条件を構成する

  1. [条件] タブを選択します。

  2. [シグナル名] フィールドの [カスタム ログ検索] を選択します。 または、条件に別 のシグナルを 選択する場合は、[すべてのシグナルを表示] を選択します。

  3. (省略可能) 前のステップで [すべてのシグナルを表示] を選んだ場合は、[シグナルの選択] ペインを使ってシグナル名を検索するか、シグナルの一覧をフィルター処理します。 フィルター条件:

    • [シグナルの種類]: [ログ検索] を選択します。
    • [シグナル ソース]: カスタム ログ検索ログ (保存されたクエリ) シグナルを送信するサービス。 シグナル名を選んでから、[適用] を選びます。
    • クエリの種類: 集計ログを選択します

  4. 単純なログ アラートを作成するには:

    • [ログ] ウィンドウを閉じます。
    • [クエリの種類] ラジオ ボタンで [ 単一イベント ] を選択します。
    • [ ログ ] ウィンドウで、アラートを作成するログ イベントを返すクエリを作成します。 単純なログ アラートは、変換 KQL 言語に基づく単純な KQL クエリに基づいていることに注意してください。

    単純なログ アラート ルール クエリでは、印刷、データテーブル、および let はサポートされていません。

  5. [実行] を選択して、アラートを実行します。

  6. [プレビュー] セクションにクエリ結果が表示されます。 クエリの編集を終えたら、[アラートの編集を続行する] を選びます。

  7. [条件] タブが開き、ログ クエリが表示されます。 既定では、ルールによって過去 5 分間の結果の数がカウントされます。 要約されたクエリ結果がシステムで検出された場合、ルールは自動的にその情報で更新されます。

  8. 省略可能: [ アラートをトリガーするタイミング ] セクションで、特定の分のアラートをトリガーするために一致する必要がある行の数を定義できます。 例えば次が挙げられます。

    • クエリに一致するすべての行ごとのアラート
    • 条件が1分間に少なくとも1回満たされた場合、1つの行が一致する
    • 条件が 1 分間に少なくとも 2 回満たされた場合 - 2 行が一致する
    • 条件が 1 分間に少なくとも 3 回満たされた場合 - 3 行が一致する
    • 特定の分にアラートを生成するために一致する必要がある行数のカスタム定義

異なる出力列を表示する

出力では、電子メールまたはアラートの消費量に表示される行の数が制限されます。 クエリの最初の 5 列が出力に表示されます。 そのため、異なる列を表示する場合は、ログ ペインにある KQL クエリの列の順序を変更します。

残りの手順

残りの手順はログ検索と同じです。