Guida introduttiva: Creare avvisi con Azure Resource Graph e Log Analytics
Articolo
In questa guida introduttiva si apprenderà come usare Azure Log Analytics per creare avvisi nelle query di Azure Resource Graph. È possibile creare avvisi con query di Azure Resource Graph, area di lavoro Log Analytics e identità gestite. Le condizioni dell'avviso inviano notifiche a un intervallo specificato.
È possibile usare le query per configurare gli avvisi per le risorse di Azure distribuite. È possibile creare query usando le tabelle di Azure Resource Graph oppure combinare tabelle di Azure Resource Graph e dati di Log Analytics dai log di Monitoraggio di Azure.
Questo articolo include due esempi di avvisi:
Azure Resource Graph: usa la tabella di Azure Resource Graph Resources per creare una query che ottiene i dati per le risorse di Azure distribuite e crea un avviso.
Azure Resource Graph e Log Analytics: usa la tabella di Azure Resource Graph Resources e i dati di Log Analytics della tabella dei log Heartbeat di Monitoraggio di Azure. In questo esempio viene usata una macchina virtuale per illustrare come configurare la query e l'avviso.
Nota
L'integrazione degli avvisi di Azure Resource Graph con Log Analytics è disponibile in anteprima pubblica.
Prerequisiti
Se non si ha un account Azure, creare un account gratuito prima di iniziare.
Risorse distribuite in Azure, ad esempio macchine virtuali o account di archiviazione.
Per usare l'esempio per la query azure Resource Graph e Log Analytics, è necessaria almeno una macchina virtuale di Azure con l'agente di Monitoraggio di Azure.
Quale problema risolveremo?
Si vuole usare una query di Azure Resource Graph per ottenere informazioni sulle risorse di Azure. È possibile usare Azure Log Analytics per configurare avvisi che notificano quando vengono soddisfatte determinate condizioni.
Creare un'area di lavoro
Creare un'area di lavoro Log Analytics nella sottoscrizione monitorata.
Non è necessario creare una macchina virtuale per l'esempio che usa la tabella di Azure Resource Graph.
Nota
Questa sezione è facoltativa se si dispone di macchine virtuali esistenti o si sa come creare una macchina virtuale. Questo esempio usa una macchina virtuale per illustrare come creare una query usando una tabella di Azure Resource Graph e i dati di Log Analytics.
Per ottenere informazioni di log, quando si connette la macchina virtuale all'area di lavoro Log Analytics, l'agente di Monitoraggio di Azure viene installato nella macchina virtuale. Se non si ha una macchina virtuale, è possibile crearne una per questo esempio. Per evitare costi non necessari, eliminare la macchina virtuale al termine dell'esempio.
Le istruzioni seguenti sono le impostazioni di base per una macchina virtuale Linux. I passaggi dettagliati su come creare una macchina virtuale non rientrano nell'ambito di questo articolo.
In Azure creare una macchina virtuale Ubuntu Linux.
Seleziona Crea.
Usare Create a virtual machine .Use the Create a virtual machine. È possibile accettare la maggior parte delle impostazioni predefinite con le eccezioni seguenti:
Creare una macchina virtuale
Gruppo di risorse: demo-arg-alert-rg
nome macchina virtuale: digitare un nome di macchina virtuale
Opzioni di disponibilità: nessuna ridondanza dell'infrastruttura necessaria
Dimensioni: B1ms
account Amministrazione istrator: creare una coppia di chiavi o un nome utente e una password
Porte in ingresso pubbliche: nessuna
Dischi: accettare le impostazioni predefinite
Verificare che l'opzione Elimina con macchina virtuale sia selezionata.
Funzionalità di rete
Accettare le impostazioni predefinite.
Selezionare Elimina ip pubblico e scheda di interfaccia di rete quando viene eliminata la macchina virtuale.
Gestione
Accettare i valori predefiniti
Modificare il fuso orario di arrestoautomatico nel fuso orario.
Monitoraggio, avanzate e tag
Nessuna modifica necessaria per questo esempio.
Selezionare Rivedi e crea e quindi Crea.
Se è stata selezionata l'opzione SSH per l'autenticazione, viene richiesto di generare una nuova coppia di chiavi. Scaricare la chiave privata e creare la macchina virtuale. Al termine della macchina virtuale, eliminare il file di chiave.
Selezionare Vai alla risorsa dopo la distribuzione della macchina virtuale.
Nota
Questa sezione è facoltativa se si sa come connettere una macchina virtuale a un'area di lavoro Log Analytics.
Configurare il monitoraggio per una macchina virtuale.
Passare alla macchina virtuale.
Selezionare Monitoring Insights Azure Monitor Overview (Panoramica di Monitoraggio>>di>Azure).
Selezionare Non monitorato.
Selezionare Abilita per Monitoraggio copertura della macchina virtuale.
Selezionare Abilita per l'onboarding di Insights di Monitoraggio di Azure.
Configurare la configurazione del monitoraggio
Abilitare Insights con: Agente di monitoraggio di Azure
Sottoscrizione: selezionare la propria sottoscrizione.
Creare una nuova regola di raccolta dati
Creare un nome.
Selezionare la propria sottoscrizione.
Selezionare l'area di lavoro Log Analytics demo-arg-alert-workspace.
Selezionare Crea, verificare che le impostazioni siano corrette e selezionare Configura per avviare la distribuzione.
Chiudere l'onboarding di Insights di Monitoraggio di Azure.
Dopo una corretta distribuzione, Insights>Overview>Monitored mostra che la copertura di monitoraggio della macchina virtuale è abilitata e un collegamento alla regola di raccolta dati.
Selezionare il collegamento alla regola di raccolta dati e verificare le impostazioni di configurazione :
Risorse: mostra la macchina virtuale, il gruppo di risorse e la sottoscrizione.
Origini dati:
Origine dati: contatori delle prestazioni
Destinazione: Log di Monitoraggio di Azure
È possibile selezionare il collegamento Contatori delle prestazioni per verificare i dettagli.
Passare all'area di lavoro Log Analytics demo-arg-alert-workspace. Selezionare Impostazioni> Agenti server> Linux e un computer Linux è connesso all'agente Linux di Monitoraggio di Azure.
Passare alla macchina virtuale e selezionare Impostazioni> Extensions + applications e verificare che il AzureMonitorLinuxAgentprovisioning sia riuscito.
Nell'area di lavoro Log Analytics creare una query di Azure Resource Graph per ottenere un conteggio delle risorse di Azure. Questo esempio usa la tabella di Azure Resource Graph Resources .
Selezionare Log dal lato sinistro della pagina dell'area di lavoro Log Analytics.
Chiudere la finestra Query se viene visualizzata.
Usare il codice seguente nella nuova query.
arg("").Resources
| count
I nomi delle tabelle in Log Analytics devono essere maiuscole e minuscole con la prima lettera di ogni parola maiuscola, ad esempio Resources o ResourceContainers. È anche possibile usare lettere minuscole come resources o resourcecontainers.
Selezionare Esegui.
I risultati visualizzano il numero di risorse nella sottoscrizione di Azure. Prendere nota di tale numero perché è necessario per la condizione della regola di avviso. Quando si esegue manualmente la query, il conteggio si basa sull'identità utente e un avviso attivato usa un'identità gestita. È possibile che il conteggio possa variare tra un'esecuzione manuale o un avviso attivato.
Rimuovere il conteggio dalla query.
arg("").Resources
Nell'area di lavoro Log Analytics creare una query di Azure Resource Graph per ottenere le informazioni sull'ultimo heartbeat dalla macchina virtuale. Questo esempio usa la tabella di Azure Resource Graph Resources e i dati di Log Analytics della tabella dei log Heartbeat di Monitoraggio di Azure.
Passare all'area di lavoro Log Analytics demo-arg-alert-workspace .
Selezionare Log dal lato sinistro della pagina dell'area di lavoro Log Analytics.
Chiudere la finestra Query se viene visualizzata.
Usare il codice seguente nella nuova query.
arg("").Resources
| where type == 'microsoft.compute/virtualmachines'
| project ResourceId = id, name, PowerState = tostring(properties.extended.instanceView.powerState.code)
| join (Heartbeat
| where TimeGenerated > ago(15m)
| summarize lastHeartBeat = max(TimeGenerated) by ResourceId)
on ResourceId
| project lastHeartBeat, PowerState, name, ResourceId
I nomi delle tabelle in Log Analytics devono essere maiuscole e minuscole con la prima lettera di ogni parola maiuscola, ad esempio Resources o ResourceContainers. È anche possibile usare lettere minuscole come resources o resourcecontainers.
È possibile usare altri intervalli di tempo per .TimeGenerated Ad esempio, anziché minuti come 15m l'uso di ore come 12h, , 24h48h.
Selezionare Esegui.
La query deve restituire l'ultimo heartbeat, lo stato di alimentazione, il nome e l'ID risorsa della macchina virtuale. Se non viene visualizzato alcun risultato , continuare con i passaggi successivi.
Nell'area di lavoro Log Analytics selezionare Nuova regola di avviso. La query dall'area di lavoro Log Analytics viene copiata nella regola di avviso. Creare una regola di avviso include diverse schede che devono essere aggiornate per creare l'avviso.
Ambito
Verificare che l'ambito sia impostato sull'area di lavoro Log Analytics denominata demo-arg-alert-workspace.
Se è necessario modificare l'ambito, seguire questa procedura.
Passare alla scheda Ambito e selezionare Seleziona ambito.
Nella parte inferiore della schermata Risorse selezionate eliminare l'ambito corrente.
Espandere demo-arg-alert-rg dall'elenco delle risorse e selezionare demo-arg-alert-workspace.
Selezionare Applica.
Selezionare Avanti: Condizione.
Condizione
Il modulo include diversi campi da completare.
Nome segnale: ricerca log personalizzata
Query di ricerca: visualizza il codice della query.
Misura
Misura: righe di tabella
Tipo di aggregazione: Count
Granularità aggregazione: 5 minuti
Logica avvisi
Operatore: maggiore di
Valore soglia: usare un numero minore del numero restituito dal conteggio delle risorse.
Ad esempio, se il numero di risorse è 50, usare 45. Questo valore attiva l'avviso quando valuta le risorse perché il numero di risorse è maggiore del valore soglia.
Frequenza di valutazione: 5 minuti
Al termine, selezionare Avanti: Azioni.
Azioni
Selezionare Crea gruppo di azioni.
Sottoscrizione: selezionare una sottoscrizione di Azure.
Gruppo di risorse: demo-arg-alert-rg
Area: Globale
Nome gruppo di azioni: demo-arg-alert-action-group
Nome visualizzato: azione demo (limite di 12 caratteri)
Selezionare Avanti: Notifiche.
Tipo di notifica: selezionare Messaggio di posta elettronica/SMS/Push/Voce.
Nome: email-alert
Selezionare la casella di controllo Posta elettronica e digitare l'indirizzo di posta elettronica.
Selezionare OK.
Selezionare Rivedi e crea, verificare che il riepilogo sia corretto e selezionare Crea. Si torna alla scheda Azioni della pagina Crea una regola di avviso. Il nome del gruppo di azioni mostra il gruppo di azioni creato.
Selezionare Avanti: Dettagli.
Dettagli
Usare le informazioni seguenti nella scheda Dettagli .
Sottoscrizione: selezionare la sottoscrizione di Azure
Gruppo di risorse: demo-arg-alert-rg
Gravità: accettare il valore predefinito 3 - Informativo
Nome regola di avviso: demo-arg-alert-rule
Descrizione della regola di avviso: Avviso di posta elettronica per il numero di risorse di Azure
Identità: selezionare Identità gestita assegnata dal sistema
Selezionare Rivedi e crea, verificare che il riepilogo sia corretto e selezionare Crea. Si torna alla pagina Log dell'area di lavoro Log Analytics.
Si riceve una notifica tramite posta elettronica per confermare l'aggiunta al gruppo di azioni.
Assegnare il ruolo
Assegnare il lettore di Log Analytics all'identità gestita assegnata dal sistema in modo che disponga delle autorizzazioni attivano avvisi che inviano notifiche tramite posta elettronica.
Selezionare Monitoraggio>avvisi nell'area di lavoro Log Analytics.
Selezionare OK se viene richiesto che le modifiche non salvate verranno rimosse.
ID oggetto: mostra il GUID per l'applicazione aziendale (entità servizio) in Microsoft Entra ID.
Autorizzazione: selezionare assegnazioni di ruolo di Azure
Verificare che la sottoscrizione corretta sia selezionata.
Selezionare Aggiungi assegnazione di ruolo
Ambito: Sottoscrizione
Sottoscrizione: nome della sottoscrizione di Azure
Ruolo: Lettore di Log Analytics
Seleziona Salva.
La visualizzazione del lettore di Log Analytics nella pagina assegnazioni di ruolo di Azure richiede alcuni minuti. Selezionare Aggiorna per aggiornare la pagina.
Usare il pulsante Indietro del browser per tornare all'identità e quindi selezionare Panoramica per tornare alla regola di avviso. Selezionare il collegamento al gruppo di risorse denominato demo-arg-alert-rg.
Nell'area di lavoro Log Analytics selezionare Nuova regola di avviso. La query dall'area di lavoro Log Analytics viene copiata nella regola di avviso. La regola di creazione di un avviso include diverse schede da aggiornare.
Ambito
Verificare che l'ambito sia impostato sull'area di lavoro Log Analytics.
Se è necessario modificare l'ambito, seguire questa procedura.
Passare alla scheda Ambito e selezionare Seleziona ambito.
Nella parte inferiore della schermata Risorse selezionate eliminare l'ambito corrente.
Espandere demo-arg-alert-rg dall'elenco delle risorse e selezionare demo-arg-alert-workspace.
Selezionare Applica.
Selezionare Avanti: Condizione.
Condizione
Il modulo include diversi campi da completare.
Nome segnale: ricerca log personalizzata
Query di ricerca: visualizza il codice della query.
Misura
Misura: righe di tabella
Tipo di aggregazione: Count
Granularità aggregazione: 5 minuti
Logica avvisi
Operatore: minore di
Valore soglia: 2
Frequenza di valutazione: 5 minuti
Al termine, selezionare Avanti: Azioni.
Azioni
Selezionare Crea gruppo di azioni.
Sottoscrizione: selezionare una sottoscrizione di Azure.
Gruppo di risorse: demo-arg-alert-rg
Area: Globale
Nome gruppo di azioni: demo-arg-la-alert-action-group
Nome visualizzato: demo-argla (il limite è di 12 caratteri)
Selezionare Avanti: Notifiche.
Tipo di notifica: selezionare Messaggio di posta elettronica/SMS/Push/Voce
Nome: email-alert-arg-la
Selezionare la casella di controllo Email (Posta elettronica ) e digitare l'indirizzo di posta elettronica
Scegliere OK.
Selezionare Rivedi e crea, verificare che il riepilogo sia corretto e selezionare Crea. Si torna alla scheda Azioni della pagina Crea una regola di avviso. Il nome del gruppo di azioni mostra il gruppo di azioni creato.
Selezionare Avanti: Dettagli.
Dettagli
Usare le informazioni seguenti nella scheda Dettagli .
Sottoscrizione: selezionare la sottoscrizione di Azure
Gruppo di risorse: demo-arg-alert-rg
Gravità: accettare il valore predefinito 2 - Avviso
Nome regola di avviso: demo-arg-la-alert-rule
Descrizione della regola di avviso: avviso di posta elettronica per query ARG-LA della macchina virtuale di Azure
Identità: selezionare Identità gestita assegnata dal sistema
Selezionare Rivedi e crea, verificare che il riepilogo sia corretto e selezionare Crea. Si torna alla pagina Log dell'area di lavoro Log Analytics.
Si riceve una notifica tramite posta elettronica per confermare l'aggiunta al gruppo di azioni.
Assegnare il ruolo
Assegnare il lettore di Log Analytics all'identità gestita assegnata dal sistema in modo che disponga delle autorizzazioni attivano avvisi che inviano notifiche tramite posta elettronica.
Selezionare Monitoraggio>avvisi nell'area di lavoro Log Analytics.
Selezionare OK se viene richiesto che le modifiche non salvate verranno rimosse.
ID oggetto: mostra il GUID per l'applicazione aziendale (entità servizio) in Microsoft Entra ID.
Autorizzazione: selezionare assegnazioni di ruolo di Azure
Verificare che la sottoscrizione corretta sia selezionata.
Selezionare Aggiungi assegnazione di ruolo
Ambito: Sottoscrizione
Sottoscrizione: nome della sottoscrizione di Azure
Ruolo: Lettore di Log Analytics
Seleziona Salva.
La visualizzazione del lettore di Log Analytics nella pagina assegnazioni di ruolo di Azure richiede alcuni minuti. Selezionare Aggiorna per aggiornare la pagina.
Usare il pulsante Indietro del browser per tornare all'identità e selezionare Panoramica per tornare alla regola di avviso. Selezionare il collegamento al gruppo di risorse denominato demo-arg-alert-rg.
Dopo aver assegnato il ruolo alla regola di avviso, si inizia a ricevere messaggi di posta elettronica per i messaggi di avviso. La regola è stata creata per inviare avvisi ogni cinque minuti e sono necessari alcuni minuti per ottenere il primo avviso.
È anche possibile visualizzare gli avvisi nella portale di Azure.
Passare al gruppo di risorse demo-arg-alert-rg.
Selezionare demo-arg-alert-workspace nell'elenco di risorse.
Selezionare Monitoraggio>avvisi.
Viene visualizzato un elenco di avvisi.
Dopo aver assegnato il ruolo alla regola di avviso, si inizia a ricevere messaggi di posta elettronica per i messaggi di avviso. La regola è stata creata per inviare avvisi ogni cinque minuti e sono necessari alcuni minuti per ottenere il primo avviso.
È anche possibile visualizzare gli avvisi nella portale di Azure.
Passare al gruppo di risorse demo-arg-alert-rg.
Selezionare la macchina virtuale.
Selezionare Monitoraggio>avvisi.
Viene visualizzato un elenco di avvisi.
Nota
Potrebbero essere necessari 30 minuti prima che le informazioni di log diventino disponibili per la creazione di avvisi.
Come abbiamo risolto il problema?
È stata creata una query di Azure Resource Graph e un'area di lavoro Log Analytics per monitorare le risorse di Azure. È anche possibile configurare gli avvisi per notificare gli eventi e assegnare un ruolo all'identità gestita assegnata dal sistema. Dopo aver creato l'avviso, sono stati ricevuti avvisi di posta elettronica in base alle condizioni nella regola di avviso.
Pulire le risorse
Se si vuole mantenere la configurazione dell'avviso ma arrestare l'attivazione e l'invio di notifiche tramite posta elettronica, è possibile disabilitarla. Passare alla regola di avviso demo-arg-alert-rule o demo-arg-la-alert-rule e selezionare Disabilita.
Se non è necessario questo avviso o le risorse create in questo esempio, eliminare il gruppo di risorse seguendo questa procedura:
Passare al gruppo di risorse demo-arg-alert-rg.
Selezionare Elimina gruppo di risorse.
Digitare il nome del gruppo di risorse da confermare.
Selezionare Elimina.
Contenuto correlato
Per altre informazioni sul linguaggio di query o su come esplorare le risorse, vedere gli articoli seguenti.