我对 azure 日志分析警报有疑问,因为我不太明白在基于聚合值设置警报的上下文中时间范围是如何工作的。
我有以下代码:
Event | where Source == "EventLog" and EventID == 6008 | project TimeGenerated, Computer | summarize AggregatedValue = count(TimeGenerated) by Computer, bin_at(TimeGenerated,24h, datetime(now()))
For time window : 24/03/2019, 09:46:29 - 25/03/2019, 09:46:29
在上面的警报配置界面中,关于添加 bin_at(TimeGeneerated,24h, datetime(now())) 的见解,因此我添加了该函数,传递 24 小时时间段的参数。如果您已经添加了此内容,那么时间范围的意义是什么。
基本上我正在寻找的结果是在 24 小时内捕获此事件,并在事件计数超过 2 时发出警报。我不明白为什么除此之外还需要一个时间窗口,因为我只是想每五分钟运行一次代码,如果检测到此事件的实例超过两个,则会发出警报。
谁能帮忙解决这个问题吗?
最佳答案
据我所知,您可以使用如下所示的查询来完成捕获 24 小时内所需事件的要求。
Event
| where Source == "EventLog" and EventID == 6008
| where TimeGenerated > ago(24h)
| summarize AggregatedValue= any(EventID) by Computer, bin(TimeGenerated, 1s)
此示例查询中的“1s”是我们从 Log Analytics 工作区存储库聚合和获取输出的时间范围。欲了解更多信息,请参阅https://learn.microsoft.com/en-us/azure/kusto/query/summarizeoperator
要创建警报,您可能需要转到 Azure 门户 -> YOURLOGANALYTICSWORKSPACE -> 监视磁贴 -> 警报 -> 管理器警报规则 -> 新警报规则 -> 添加条件 -> 自定义日志搜索 -> 粘贴任意内容在“搜索查询”部分下的上述查询 -> 在“警报逻辑”部分的“阈值”参数下键入“2” -> 单击“完成” -> 在“操作组”部分下,选择现有操作组或创建一个操作组正如下面提到的文章中所述的新规则 -> 更新“警报详细信息” -> 单击“创建警报规则”。
https://learn.microsoft.com/en-us/azure/azure-monitor/platform/action-groups
希望这有帮助!干杯!! :)
关于Azure Log Analytics - 警报建议,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55335337/