Как я могу создать предупреждение в OMS, когда служба Linux остановлена?

AFAIK у нас есть следующие варианты для выполнения ваших требований.

Вариант I:

Если служба / deamon настроена по умолчанию, то информация о журнале службы будет записана в / var / log / messages.

Всякий раз, когда служба Linux останавливается, если информация регистрируется в файле / var / log / messages, следуйте приведенным ниже инструкциям, чтобы получить предупреждение:

1. Перейдите на портал Azure -> YOURLOGANALYTICSWORKSPACE -> Расширенные настройки -> Данные -> Системный журнал -> введите "daemon" -> нажмите "+" -> нажмите "Сохранить". Для получения дополнительной информации перейдите по этой https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-sources-syslog.

2. Перейдите на портал Azure -> YOURLOGANALYTICSWORKSPACE -> Журналы -> введите "Системный журнал" -> нажмите "Выполнить". Проверьте столбец "SyslogMessage" в выходных данных. В выходных данных также есть различные другие полезные столбцы, такие как SeverityLevel, ProcessName и ProcessID, которые вы можете использовать при разработке запроса на основе ваших потребностей.

3. Таким образом, запрос будет выглядеть примерно так, как показано ниже.

   Системный журнал | где (Facility == "демон") | где (SyslogMessage имеет "xxxxxxx", а SyslogMessage имеет "остановку") | суммировать AggregatedValue= any(SyslogMessage) по компьютеру, bin(TimeGenerated, 30 с)

4. Создайте и настройте настраиваемое оповещение журнала в плитке оповещений рабочей области Log Analytics с помощью вышеуказанного запроса. Установите пороговое значение, частоту, период детали при настройке оповещения. Предоставьте предполагаемую группу действий, чтобы получать уведомления о срабатывании оповещения.

Вариант II:

Если служба / deamon настроена индивидуально, то информация о журнале службы будет зарегистрирована в этом конкретном настраиваемом пути.

Всякий раз, когда служба Linux останавливается, если информация регистрируется в файле /xxxx/yyyy/zzzz.txt (или другими примерами являются /aaaa/bbbb/jenkins/jenkins.log, cccc/dddd/tomcat/catalina.out и т. Д.) затем выполните следующие шаги, чтобы получить предупреждение:

1. Перейти на портал Azure -> YOURLOGANALYTICSWORKSPACE -> Расширенные настройки -> Данные -> Пользовательские журналы -> нажмите "Добавить +" -> .... Для получения дополнительной информации перейдите по ссылке https://docs.microsoft.com/en-us. Ссылка https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-sources-custom-logs.

2. Перейдите на портал Azure -> YOURLOGANALYTICSWORKSPACE -> Журналы -> введите "CUSTOMLOGNAME_CL" -> нажмите "Выполнить". Проверьте что-то вроде столбца "RawData" в выводе.

3. Таким образом, запрос будет выглядеть примерно так, как показано ниже.

   CUSTOMLOGNAME_CL | где (RawData имеет "xxxxxxx", а RawData имеет "остановку") | Суммировать AggregatedValue= any(RawData) по компьютеру, bin(TimeGenerated, 30 с)

4. Создайте и настройте настраиваемое оповещение журнала в плитке оповещений рабочей области Log Analytics с помощью вышеуказанного запроса. Установите пороговое значение, частоту, период детали при настройке оповещения. Предоставьте предполагаемую группу действий, чтобы получать уведомления о срабатывании оповещения.

Вариант III:

Если данные журнала службы не могут быть собраны с помощью настраиваемых журналов, отправьте их напрямую в монитор Azure с помощью API сбора данных HTTP, который описан здесь -> https://docs.microsoft.com/en-us/azure/ Лазурный монитор / платформа / сборщик данных-api.

Пример использования модулей запусков в Azure Automation приведен в разделе Сбор данных журнала в Azure Monitor, где объясняется модуль запусков Azure Automation -> https://docs.microsoft.com/en-us/azure/azure-monitor/platform/runbook-datacollect.

Надеюсь это поможет!! Ура!!:)