根据活动日志发出警报
概述
活动日志警报使你可以收到有关在 Azure 活动日志中记录的事件和操作的通知。 当发生与警报规则中指定的条件匹配的新活动日志事件时,会触发警报。
活动日志警报规则是 Azure 资源,因此,可使用 Azure 资源管理器模板来创建。 此外,还可以在 Azure 门户中创建、更新或删除它们。 本文介绍活动日志警报背后的概念。 有关创建或使用活动日志警报规则的详细信息,请参阅创建和管理活动日志警报。
针对活动日志事件类别发出警报
可以创建活动日志警报规则,以接收以下活动日志事件类别之一的通知:
| 事件类别 | 类别说明 | 示例 |
|---|---|---|
| 管理 | 对订阅、资源组中的资源或特定的 Azure 资源执行了 ARM 操作(例如,创建、更新、删除或其他操作)。 | 删除了资源组中的虚拟机 |
| 服务运行状况 | 发生了可能影响位于特定区域的订阅中服务的服务事件(例如服务中断或维护事件)。 | 影响中国北部订阅中的 VM 的服务中断。 |
| 资源运行状况 | 特定资源的运行状况为已降级,或者资源不可用。 | 订阅中的 VM 转换为已降级或不可用状态。 |
| 自动缩放 | 发生了 Azure 自动缩放操作,导致出现成功或失败结果 | 订阅中虚拟机规模集上的自动缩放操作失败。 |
| 建议 | 提供了适用于你的订阅的新 Azure 顾问建议 | 收到了适用于你的订阅的高影响性建议。 |
| 安全性 | Microsoft Defender for Cloud 检测到事件 | 在订阅中检测到执行了可疑的双扩展名文件 |
| 策略 | Azure Policy 执行了操作 | 订阅中发生“策略拒绝”事件。 |
注意
无法针对活动日志的“警报”类别中的事件创建警报规则。
配置活动日志警报规则
可以基于活动日志事件的 JSON 对象中的任何顶层属性配置活动日志警报规则。 有关详细信息,请参阅活动日志中的类别。
为活动日志警报规则创建条件的另一种简单方法是通过 Azure 门户中的活动日志浏览或筛选事件。 在“Azure Monitor - 活动日志”中,可以筛选并找到所需事件,然后使用“新建警报规则”按钮创建警报规则以针对类似事件发出通知。
注意
活动日志警报规则只监视在其中创建该警报规则的订阅中的事件。
活动日志事件有几个常用属性可用于定义活动日志警报规则条件:
- 类别:管理、服务运行状况、资源运行状况、自动缩放、安全性、策略和建议。
- 范围:为其定义活动日志警报的单个资源或资源集。 可以在各个级别定义活动日志警报的范围:
- 资源级别:例如,针对特定虚拟机
- 资源组级别:例如,特定资源组中的所有虚拟机
- 订阅级别:例如,某个订阅中的所有虚拟机(或)某个订阅中的所有资源
- 资源组:默认情况下,警报规则保存在“范围”中定义的目标所在的同一资源组中。 用户也可以定义应存储警报规则的资源组。
- 资源类型:资源管理器为警报规则的目标定义的命名空间。
- 操作名称:用于 Azure 基于角色的访问控制的 Azure 资源提供程序操作名称。 未在 Azure 资源管理器中注册的操作不能在活动日志警报规则中使用。
- 级别:事件的严重性级别(信息、警告、错误或严重)。
- 状态:事件的状态,通常为“已启动”、“失败”或“成功”。
- 事件发起者:也称为“调用方”。执行操作的用户(或应用程序)的电子邮件地址或 Azure Active Directory 标识符。
除了这些注释属性之外,不同的活动日志事件还具有特定于类别的属性,可用于为每种类别的事件配置警报规则。 例如,创建服务运行状况警报规则时,可以对事件中出现的受影响区域或服务配置条件。
使用操作组
活动日志警报在触发后,会使用操作组触发操作或发送通知。 操作组是一组可重用的通知接收方,例如电子邮件地址、Webhook URL 或短信电话号码。 可以从多个警报规则中引用接收方,以集中和分组通知通道。 在定义活动日志警报规则时,有两个选项。 方法:
- 在活动日志警报规则中使用现有操作组。
- 创建新的操作组。
若要了解有关操作组的详细信息,请参阅在 Azure 门户中创建和管理操作组。
活动日志警报规则限制
可以对每个订阅最多创建 100 个活动的活动日志警报规则(包括所有活动日志事件类别的规则,例如资源运行状况或服务运行状况)。 此限制不能提高。 如果接近此限制,则可以遵循几个准则来优化活动日志警报规则的使用,以便可以使用相同数量的规则覆盖更多资源和事件:
- 可以将单个活动日志警报规则配置为覆盖单个资源、资源组或整个订阅的范围。 若要减少所使用的规则数量,请考虑将覆盖较窄范围的多个规则替换为覆盖较宽范围的单个规则。 例如,如果一个订阅中有多个 VM,并且你想要在其中一个重新启动时触发警报,则可以使用单个活动日志警报规则覆盖订阅中的所有 VM。 当订阅中的任何 VM 重新启动时,都会触发警报。
- 单个服务运行状况警报规则可以覆盖订阅使用的所有服务和 Azure 区域。 如果对每个订阅使用多个服务运行状况警报规则,则可以将它们替换为单个规则(或使用少量规则,如果你希望)。
- 单个资源运行状况警报规则可以覆盖订阅中的多个资源类型和资源。 如果对每个订阅使用多个资源运行状况警报规则,则可以将它们替换为覆盖多个资源类型的少量规则(甚至是单个规则)。
后续步骤
- 获取警报概述。
- 了解如何创建和修改活动日志警报。
- 查看活动日志警报 webhook 架构。
- 了解有关服务运行状况警报的详细信息。
- 了解有关资源运行状况警报的详细信息。