Ajouter une règle d'alerte Log Analytics

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Définissez une règle d’alerte Log Analytics lorsque vous rencontrez des données de journal qui doivent générer une alerte. La règle d'alerte génère une alerte pour une mesure spécifiée avec un seuil que vous spécifiez et définit les propriétés de l'alerte générée.

    Avant de commencer

    Rôle requis : evt_mgmt_operator ou evt_mgmt_admin

    Procédure

    1. Ouvrez la Visionneuse de journaux à l'aide de l'une des méthodes suivantes :
      • Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services et sélectionnez l’icône Visionneuse de journaux (icône Visionneuse de journaux).
      • Lorsque vous affichez les entrées de journal d'une alerte dans l'onglet Journaux environnants, sélectionnez Visionneuse de journaux.
    2. Définissez et exécutez une recherche.
      Pour plus d'informations, consultez Définir, enregistrer et partager une recherche de données de journal.
    3. Lorsqu'une recherche renvoie des données de journal qui doivent générer une alerte, cliquez sur Enregistrer ou Enregistrer sous pour enregistrer la recherche.
      Remarque :
      Si vous utilisez Analyse de l'intégrité des journaux , Version 20.0.11 - July 2021, et l’application Analyse de l'intégrité des journaux Application Viewer, Version 20.0.4 - July 2021, disponible dans le ServiceNow Store , vous n'avez pas à effectuer cette étape.
    4. Accédez au formulaire pour créer une règle d'alerte en sélectionnant le bouton Définir l'alerte en haut à droite de l'onglet Visionneuse de journaux.
    5. Indiquez le nom et la description de la règle d'alerte sur le formulaire.
      Le nom apparaît sur la carte des anomalies pour les alertes générées.
    6. Déterminez si la règle génère des alertes lorsque les conditions de seuil sont remplies dans les données du journal en définissant le champ État.
      Pour activer la règle, sélectionnez Activé.
    7. Si vous avez installé l’applicationAnalyse de l'intégrité des journaux,Version 20.0.11 - July 2021 définissez la méthodeValeur de gravité de l'alerte générée par cette règle d'alerte.
      • Faible : surveillance requise, même si la ressource est toujours fonctionnelle.
      • Moyenne : une perte partielle et non critique de fonctionnalité ou une dégradation des performances s'est produite.
      • Élevée : la fonctionnalité majeure est gravement altérée ou les performances se sont dégradées.
      • Critique : une action immédiate est requise. La ressource n'est pas fonctionnelle ou des problèmes critiques sont imminents.
    8. Si vous avez installé l'application Analyse de l'intégrité des journaux, version 20.0.11 - juillet 2021, et l'application Analyse de l'intégrité des journaux Viewer, version 20.0.4 - juillet 2021, renseignez les détails de la requête.
      Tableau 1. Détails de la requête
      Champ Description
      Votre requête Requête à rechercher dans les données du journal.

      Par défaut, il s'agit de la requête qui a été définie sur la visionneuse de journaux. Vous pouvez modifier la requête en y ajoutant des besoins de recherche.

      Pour rechercher toutes les requêtes, spécifiez un astérisque (*).
      Filtres actifs Filtres définis pour la requête sur la visionneuse de journal. Vous pouvez supprimer les filtres.
      Composant Composant auquel cette règle d'alerte s'applique.

      Par défaut, il s'agit du composant qui a été défini sur la visionneuse de journaux. Vous pouvez choisir un autre composant en sélectionnant l'icône de recherche ( icône de recherche.) dans la ligne Composant, puis en sélectionnant le composant requis dans la liste.
    9. Renseignez les champs associés au seuil qui déclencheront la règle d'alerte.
      Tableau 2. Seuil
      Champ Description
      Opérateur Opérateur de comparaison mathématique qui qualifie la façon dont le nombre d'accès déclenche une alerte de ce type. Ce champ est automatiquement défini sur Supérieur à.
      Nombre d'accès Nombre d'entrées de journal correspondantes qui servent de déclencheur pour une alerte de ce type.
      Période Période au cours de laquelle le nombre d'accès est mesuré. La période est mesurée en unités spécifiées par la valeur Unité de temps.
      Unité de temps Unités de la période. Ce champ est automatiquement défini en minutes.
      Persistance Période au cours de laquelle le nombre d'accès par unité de temps spécifié doit persister afin de déclencher une alerte de ce type. Ce champ est automatiquement défini sur 1 minute.
    10. Sélectionnez Enregistrer.