Ajouter une règle d'alerte Log Analytics

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Définissez une règle d’alerte d’analyse de journal lorsque vous rencontrez des données de journal qui doivent générer une alerte. La règle d'alerte génère une alerte pour une mesure spécifiée avec un seuil que vous spécifiez et définit les propriétés de l'alerte générée.

    Avant de commencer

    Rôle requis : evt_mgmt_operator ou evt_mgmt_admin

    Important :
    À partir de la version Vancouver, l’espace de travail de l’opérateur est obsolète et remplacé par Espace de travail pour l'exploitation des services. Pour en savoir plus sur la nouvelle procédure, reportez-vous à la rubrique correspondante dans la Espace de travail pour l'exploitation des services documentation pour ITOM : Ajouter une règle d'alerte Log Analytics.

    Procédure

    1. Ouvrez l'onglet Visionneuse de journaux à l'aide de l'une des méthodes suivantes :
      • Dans Agent Workspace, sélectionnez l'icône Visionneuse de journaux ( icône Visionneuse de journaux).
      • Lorsque vous affichez les entrées de journal d'une alerte dans l'onglet Journaux environnants, sélectionnez Visionneuse de journaux.
      • Accédez à la Analyse de l'intégrité des journaux > Visionneuse de journaux.
    2. Lorsqu'une recherche renvoie des données de journal qui doivent générer une alerte, cliquez sur Enregistrer ou Enregistrer sous pour enregistrer la recherche.
      Remarque :
      Si vous utilisez Analyse de l'intégrité des journaux l’application, Version 20.0.11 - Juillet 2021, et le Analyse de l'intégrité des journaux Application Viewer, version 20.0.4 - juillet 2021, disponible depuis le ServiceNow Store , vous n'avez pas à effectuer cette étape.
    3. Accédez au formulaire pour créer une règle d'alerte en sélectionnant le bouton Définir l'alerte en haut à droite de l'onglet Visionneuse de journal.
    4. Indiquez le nom et la description de la règle d'alerte sur le formulaire.
      Le nom apparaît sur la carte des anomalies pour les alertes générées.
    5. Déterminez si la règle génère des alertes lorsque les conditions de seuil sont remplies dans les données du journal en définissant le champ État.
    6. Si vous avez installé l'application Analyse de l'intégrité des journaux, Version 20.0.11 - July 2021, définissez la Valeur de gravité de l'alerte générée par cette règle d'alerte.
      • Faible : surveillance requise, même si la ressource est toujours fonctionnelle.
      • Moyenne : une perte partielle et non critique de fonctionnalité ou une dégradation des performances s'est produite.
      • Élevée : la fonctionnalité majeure est gravement altérée ou les performances se sont dégradées.
      • Critique : une action immédiate est requise. La ressource n'est pas fonctionnelle ou des problèmes critiques sont imminents.
    7. Renseignez les champs associés au seuil qui déclencheront la règle d'alerte.
      Tableau 1. Seuil
      Champ Description
      Opérateur Opérateur de comparaison mathématique qui qualifie la façon dont le nombre d'accès déclenche une alerte de ce type. Ce champ est automatiquement défini sur « supérieur à » (>).
      Nombre d'accès Nombre d'entrées de journal correspondantes qui servent de déclencheur pour une alerte de ce type.
      Période Période au cours de laquelle le nombre d'accès est mesuré. La période est mesurée en unités spécifiées par la valeur Unité de temps.
      Unité de temps Unités de la période. Ce champ est automatiquement défini en minutes.
      Persistance Période au cours de laquelle le nombre d'accès par unité de temps spécifié doit persister afin de déclencher une alerte de ce type. Ce champ est automatiquement défini sur 1 minute.
    8. Si vous avez installé l'application Analyse de l'intégrité des journaux, version 20.0.11 - juillet 2021, et l'application Analyse de l'intégrité des journaux Viewer, version 20.0.4 - juillet 2021, renseignez les détails de la requête.
      Tableau 2. Détails de la requête
      Champ Description
      Votre requête Requête à rechercher dans les données du journal.

      Par défaut, il s'agit de la requête qui a été définie sur la visionneuse de journaux. Vous pouvez modifier la requête en y ajoutant des besoins de recherche.

      Pour rechercher toutes les requêtes, spécifiez un astérisque (*).
      Filtres actifs Filtres définis pour la requête sur la visionneuse de journal. Vous pouvez supprimer les filtres.
      Composant Composant auquel cette règle d'alerte s'applique.

      Par défaut, il s'agit du composant qui a été défini sur la visionneuse de journaux. Vous pouvez choisir un autre composant en sélectionnant l'icône de recherche ( icône de recherche.) dans la ligne Composant, puis en sélectionnant le composant requis dans la liste.
    9. Cliquez sur Enregistrer.