本文介绍如何在 Azure Monitor 中创建新的简单日志警报规则或编辑现有的简单日志警报规则。 若要详细了解警报,请参阅警报概述。
警报规则将要监视的资源、来自资源的监视数据以及要触发警报的条件组合在一起。 然后,可以定义操作组和警报处理规则以确定触发警报时会发生的情况。
由这些警报规则触发的警报会包含一个使用通用警报架构的负载。
若要创建或编辑警报规则,你必须具有以下权限:
- 对警报规则的目标资源具有读取权限。
- 对创建的警报规则所在的资源组的写入权限。 如果从 Azure 门户中创建预警规则,则默认在目标资源所在的同一资源组中创建预警规则。
- 对关联到警报规则的任何操作组具有读取权限(如果适用)。
可通过多种方式创建或编辑警报规则。
- 在 Azure 门户中,选择“监视” 。
- 在左侧窗格中,选择“警报”。
- 选择+ 创建>警报规则。
- 在 Azure 门户中,转到资源页面。
- 在左侧窗格中,选择“警报”。
- 选择+ 创建>警报规则。
- 警报规则的范围设置为所选资源。 继续设置警报规则的条件。
选择“条件”选项卡。
选择“信号名称”字段的自定义日志搜索。 或者,如果要为条件选择其他信号,请选择“ 查看所有信号 ”。
(可选)如果在上一步中选择了“查看所有信号”,请使用“选择信号”窗格搜索信号名称或筛选信号列表。 筛选方式:
- 信号类型:选择“日志搜索”。
- 信号源:发送“自定义日志搜索”和“日志(已保存的查询)”信号的服务。 选择信号名称,然后选择“应用”。
若要创建简单的日志警报,请执行以下作:
- 关闭“日志”窗格。
- 在查询类型单选按钮中选择“单个事件”。
- 在“ 日志 ”窗格中,编写一个查询,该查询返回要创建警报的日志事件。 请注意,简单日志警报依据基于转换 KQL 语言的简单 KQL 查询。
备注
简单日志警报规则查询不支持 print、datatable 和 let。
选择“运行”以运行警报。
“预览”部分显示查询结果。 完成查询编辑后,选择“继续编辑警报”。
打开“条件”选项卡,其中填入了您的日志查询。 默认情况下,该规则将计算过去 5 分钟内的结果数。 如果系统检测到汇总的查询结果,将使用该信息自动更新规则。
可选:在 “何时触发警报 ”部分中,可以定义应匹配的行数,以便在一定分钟内触发警报。 例如:
- 针对每个与查询匹配的行发出警报
- 当条件在一分钟中至少满足一次时 - 一行匹配
- 1 分钟内至少满足条件两次时,表示两行匹配
- 当条件在一分钟中至少满足三次时 - 三行匹配
- 自定义定义需要匹配多少行才能在特定分钟内发出警报
在输出中,电子邮件或警报消耗中显示的行数受到限制。 查询的前五列显示在输出中。 因此,如果要显示不同的列,请更改日志窗格中 KQL 查询中的列的顺序。
其余步骤与日志搜索相同。