Azure监视器自定义日志搜索查询-了解时间段和频率

更新 :

实际问题与我描述的不同。解决问题后,我将提供并更新/编辑此票据。在此线程中可以找到更多详细信息- https://techcommunity.microsoft.com/t5/Azure-Log-Analytics/Reliably-trigger-alerts-for-Log-Analytics-log-entries/m-p/319315/highlight/false#M1224

原始问题 :

我们使用 Azure Monitor 基于登录创建警报 Log Analytics . 为此,我们选择日志分析帐户作为“资源”,然后选择“自定义日志搜索”信号名称作为“条件”。警报逻辑-“结果数大于0”。

样本查询:

search *
| where ResourceProvider == "MICROSOFT.DATAFACTORY" and status_s == "Failed"

为了 Period 和 Frequency 让集合 15 分钟。看起来很简单,但是…

问题 :上述设置不起作用(它起作用 有时 ,因为警报有时只会被触发,所以很多警报都会被忽略,这是完全不可接受的行为。

如果我们设置 Period = Frequency = 5 我们基本上错过了每一个事件。 Period = Frequency = 15 分钟的效果更好,但仍有许多事件丢失。 Period = Frequency = 30 效果更好,但所有这些看起来都很奇怪。

重要提示 -日志收集自 Data Factory V2 进入之内 测井分析 . 我怀疑警报未命中是由于日志被发送到 测井分析 有一些延迟(最多几分钟)。所以什么时候 天蓝监视器 计算最后一个警报查询 十五 分钟( Period=15 )可能大多数重新发送的日志条目仍不在 测井分析 . 在中执行下一个查询评估时 十五 分钟 它会错过那些因prev延迟而陷入困境的日志。 十五 分钟间隔 . 这个假设正确吗?如果是这样的话,这是非常奇怪的-我们应该如何配置 时期 和 频率 价值观?如果我设置 Period > Frequency (例如) Period = 30 和 Frequency = 5, 这意味着“每5分钟评估一次表达式,从当前时间开始计算最后30分钟的数据”),然后我们会收到多个重复的警报,因为 时期 大于 频率 所以日志搜索查询很有可能返回相同的日志条目 5 分钟-这是非常不受欢迎的行为。