Azure Monitor アラートルール 条件の設定について解説
アラートルールの条件の設定が結構難しい。
VMの死活監視を例に解説します。
特に「評価の頻度」「集計の粒度」と数字が出てくるところがややこしいので、そこを解説します。
Azure MonitorでVMを監視する基本的な考え方
・VMで正しく設定をすると、VMは起動している限り、LogAnalyticsに1分に一度heartbeatlogを送信します。
・Azure Monitorでは、定期的にheartbeatlogの有無をLogAnalyticsに確認して、heartbeatlogが検出されなければ、異常と判断して、アラートを発出します。
評価の頻度
どれくらいの間隔で、AzureMonitorがheartbeatlogの有無をLogAnalyticsに確認するか
例えば5分と設定した場合、5分に一度、heartbeatlogの有無をLogAnalyticsに確認します。
集計の粒度
評価の頻度に基づいて、AzureMonitorがheartbeatlogの有無をLogAnalyticsに確認する際、どれだけ過去の時間のログを確認するか
例)「Loganalyticsのheartbeatログ(1分間に1度記録されている)
たとえば「集計の粒度=5分」に設定していて、16時48分00秒に評価の頻度に基づいて、AzureMonitorがheartbeatlogの有無をLogAnalyticsに確認した場合、以下の赤枠(LogAnlyticsのログ表示結果)のうちの16時43分00秒~16時48分00秒(集計の粒度=5分)において、heartbeatlogの有無を確認します。
「評価の頻度」と「集計の粒度」の関係
評価の頻度によって、評価のタイミングが決まり、その評価のタイミングから集計の粒度の時間分だけ遡って、loganalyticsのログが確認されます。
そのため、基本的には、「評価の頻度」と「集計の粒度」は同じ時間に合わせるのがよいと思います。
たとえば、「評価の頻度5分」、「集計の粒度10分」としたとしても(一応設定はできる)が、これが有用であるケースが思い浮かばない。。。(重複してログを確認することになるだけな気がする。。。)
補足
今回は時間に関するパラメータに焦点を当てて「評価の頻度」「集計の粒度」について説明しました。
しかし実際の設定は
「〇分間隔(評価の頻度)で、過去▲分間(集計の粒度)のログをチェックして、ログの状態が■の場合に、アラートを発出する」と設定します。
今回の説明は、■部分は、「heartbeatlogの有無」とざっくりにしましたが、実際には、「heartbeatlogが2つ以下だった場合」などログの状態についても細かな設定が可能になります。
詳細設定オプション(違反数、評価期間)
これはよりアラート設定がややこしくなるので、なるべく手を出さない方がよいと思います。
一応簡単に触れておきます。
本ページで説明した例ですと単純に
「5分間隔(評価の頻度)で、heartbeatlogの有無を確認して、過去5分間(集計の粒度)にheartbeatlogがなければアラートを発出する」という単純なことしか実現できません。
ただ、例えば要件で「5分間隔(評価の頻度)で、heartbeatlogの有無を確認して、過去5分間(集計の粒度)にheartbeatlogがなければ違反1とする。20分間の間に違反3になったらアラートを発出する」というようなものがあったとします。
この場合、「違反数、評価期間」を設定すれば実現できます。
上記例ですと
違反数=3
評価期間=20分
という設定になります。
ただ、こんなややこしい要件があるのか?と疑問があるので、基本的には、「違反数、評価期間」は使わなくてよいと思います。