Azure Log Analytics - советы по оповещениям

AFAIK вы можете использовать запрос, похожий на показанный ниже, чтобы выполнить ваше требование захвата необходимого события в течение 24 часов.

Event 
| where Source == "EventLog" and EventID == 6008 
| where TimeGenerated > ago(24h)
| summarize AggregatedValue= any(EventID) by Computer, bin(TimeGenerated, 1s)

«Единицы» в этом примере запроса - это временные рамки, за которые мы собираем и получаем выходные данные из репозитория рабочей области Log Analytics. Для получения дополнительной информации см. https://docs.microsoft.com/en-us/azure/kusto/query/summarizeoperator

А чтобы создать оповещение, вам, возможно, придется перейти на портал Azure -> YOURLOGANALYTICSWORKSPACE -> Плитка мониторинга -> Оповещения -> Правила оповещения менеджера -> Новое правило оповещения -> Добавить условие -> Пользовательский поиск в журнале -> Вставить любое из вышеперечисленных запросы в разделе «Поисковый запрос» -> Введите «2» в параметре «Пороговое значение» в разделе «Логика предупреждений» -> Нажмите «Готово» -> В разделе «Группы действий» выберите существующую группу действий или создайте новую как объяснено в указанной ниже статье -> Обновите «Сведения об оповещении» -> Нажмите «Создать правило оповещения».

https://docs.microsoft.com/en-us/azure/azure-monitor/platform/action-groups

Надеюсь это поможет!! Ваше здоровье!! :)

Чтобы ответить на ваш вопрос в части комментариев, да, предупреждение настаивает на добавлении функции bin, и именно поэтому я предоставил соответствующий запрос вместе с функцией bin, указав «1», и попытался объяснить это в моем предыдущем ответе.

Если вы поместите «1s» в функцию bin, вы получите вывод из Log Analytics, агрегировав значение любого EventID за промежуток времени в 1 секунду. Таким образом, вывод будет выглядеть примерно так, как показано ниже, где aaaaaaa рассматривается как имя виртуальной машины, а x рассматривается как конкретное время.

Если вы укажете «24 часа» вместо «1 с» в функции bin, вы получите вывод из Log Analytics путем агрегирования значения любого EventID за период времени 24 часа. Таким образом, вывод будет выглядеть примерно так, как показано ниже, где aaaaaaa рассматривается как имя виртуальной машины, а x рассматривается как конкретное время.

Таким образом, в этом случае мы не должны использовать функцию «24 часа» в функции bin вместе с агрегацией «any», потому что, если мы будем использовать ее, мы увидим только одно появление вывода за 24 часа, и это не поможет вам узнать счетчик событий с использованием предоставленного выше запроса, имеющего значение «any» для агрегирования. Вместо этого вы можете использовать агрегацию «count» вместо «any», если хотите, чтобы в функции bin было «24 часа». Тогда этот запрос будет выглядеть примерно так, как показано ниже.

Event 
| where Source == "EventLog" and EventID == 6008 
| where TimeGenerated > ago(24h)
| summarize AggregatedValue= count(EventID) by Computer, bin(TimeGenerated, 24h)

Результат этого запроса будет выглядеть примерно так, как показано ниже, где aaaaaaa рассматривается как имя виртуальной машины, x рассматривается как конкретное время, y и z рассматриваются как некоторые числа.

Еще одно замечание: все вышеупомянутые запросы и выходы находятся в контексте настройки предупреждения на основе агрегированного значения, то есть настройки предупреждения при выборе «метрического измерения» в логике предупреждения на основе раздела. Другими словами, столбец агрегированного значения ожидается в запросе предупреждения, если вы выберете «измерение метрики» в логике предупреждения на основе раздела. Но когда вы говорите «вы получаете количество событий», это означает, что если я не ошибаюсь, возможно, вы выбираете «количество результатов» в логике предупреждений на основе раздела, для чего не требуется какой-либо столбец агрегации в запросе.

Надеюсь, это проясняет !! Ваше здоровье!!