根据活动日志发出警报

概述

活动日志警报使你可以收到有关在 Azure 活动日志中记录的事件和操作的通知。 当发生与警报规则中指定的条件匹配的新活动日志事件时,会触发警报。

活动日志警报规则是 Azure 资源,因此,可使用 Azure 资源管理器模板来创建。 此外,还可以在 Azure 门户中创建、更新或删除它们。 本文介绍活动日志警报背后的概念。 有关创建或使用活动日志警报规则的详细信息,请参阅创建和管理活动日志警报

针对活动日志事件类别发出警报

可以创建活动日志警报规则,以接收以下活动日志事件类别之一的通知:

事件类别 类别说明 示例
管理 对订阅、资源组中的资源或特定的 Azure 资源执行了 ARM 操作(例如,创建、更新、删除或其他操作)。 删除了资源组中的虚拟机
服务运行状况 发生了可能影响位于特定区域的订阅中服务的服务事件(例如服务中断或维护事件)。 影响中国北部订阅中的 VM 的服务中断。
资源运行状况 特定资源的运行状况为已降级,或者资源不可用。 订阅中的 VM 转换为已降级或不可用状态。
自动缩放 发生了 Azure 自动缩放操作,导致出现成功或失败结果 订阅中虚拟机规模集上的自动缩放操作失败。
建议 提供了适用于你的订阅的新 Azure 顾问建议 收到了适用于你的订阅的高影响性建议。
安全性 Microsoft Defender for Cloud 检测到事件 在订阅中检测到执行了可疑的双扩展名文件
策略 Azure Policy 执行了操作 订阅中发生“策略拒绝”事件。

注意

无法针对活动日志的“警报”类别中的事件创建警报规则。

配置活动日志警报规则

可以基于活动日志事件的 JSON 对象中的任何顶层属性配置活动日志警报规则。 有关详细信息,请参阅活动日志中的类别

为活动日志警报规则创建条件的另一种简单方法是通过 Azure 门户中的活动日志浏览或筛选事件。 在“Azure Monitor - 活动日志”中,可以筛选并找到所需事件,然后使用“新建警报规则”按钮创建警报规则以针对类似事件发出通知。

注意

活动日志警报规则只监视在其中创建该警报规则的订阅中的事件。

活动日志事件有几个常用属性可用于定义活动日志警报规则条件:

  • 类别:管理、服务运行状况、资源运行状况、自动缩放、安全性、策略和建议。
  • 范围:为其定义活动日志警报的单个资源或资源集。 可以在各个级别定义活动日志警报的范围:
    • 资源级别:例如,针对特定虚拟机
    • 资源组级别:例如,特定资源组中的所有虚拟机
    • 订阅级别:例如,某个订阅中的所有虚拟机(或)某个订阅中的所有资源
  • 资源组:默认情况下,警报规则保存在“范围”中定义的目标所在的同一资源组中。 用户也可以定义应存储警报规则的资源组。
  • 资源类型:资源管理器为警报规则的目标定义的命名空间。
  • 操作名称:用于 Azure 基于角色的访问控制的 Azure 资源提供程序操作名称。 未在 Azure 资源管理器中注册的操作不能在活动日志警报规则中使用。
  • 级别:事件的严重性级别(信息、警告、错误或严重)。
  • 状态:事件的状态,通常为“已启动”、“失败”或“成功”。
  • 事件发起者:也称为“调用方”。执行操作的用户(或应用程序)的电子邮件地址或 Azure Active Directory 标识符。

除了这些注释属性之外,不同的活动日志事件还具有特定于类别的属性,可用于为每种类别的事件配置警报规则。 例如,创建服务运行状况警报规则时,可以对事件中出现的受影响区域或服务配置条件。

使用操作组

活动日志警报在触发后,会使用操作组触发操作或发送通知。 操作组是一组可重用的通知接收方,例如电子邮件地址、Webhook URL 或短信电话号码。 可以从多个警报规则中引用接收方,以集中和分组通知通道。 在定义活动日志警报规则时,有两个选项。 方法:

  • 在活动日志警报规则中使用现有操作组。
  • 创建新的操作组。

若要了解有关操作组的详细信息,请参阅在 Azure 门户中创建和管理操作组

活动日志警报规则限制

可以对每个订阅最多创建 100 个活动的活动日志警报规则(包括所有活动日志事件类别的规则,例如资源运行状况或服务运行状况)。 此限制不能提高。 如果接近此限制,则可以遵循几个准则来优化活动日志警报规则的使用,以便可以使用相同数量的规则覆盖更多资源和事件:

  • 可以将单个活动日志警报规则配置为覆盖单个资源、资源组或整个订阅的范围。 若要减少所使用的规则数量,请考虑将覆盖较窄范围的多个规则替换为覆盖较宽范围的单个规则。 例如,如果一个订阅中有多个 VM,并且你想要在其中一个重新启动时触发警报,则可以使用单个活动日志警报规则覆盖订阅中的所有 VM。 当订阅中的任何 VM 重新启动时,都会触发警报。
  • 单个服务运行状况警报规则可以覆盖订阅使用的所有服务和 Azure 区域。 如果对每个订阅使用多个服务运行状况警报规则,则可以将它们替换为单个规则(或使用少量规则,如果你希望)。
  • 单个资源运行状况警报规则可以覆盖订阅中的多个资源类型和资源。 如果对每个订阅使用多个资源运行状况警报规则,则可以将它们替换为覆盖多个资源类型的少量规则(甚至是单个规则)。

后续步骤