アラートルールを作成する上で、評価間隔を決定する一つの基準としてサポートリクエストにて、キャッチした推奨事項等を含めつつ事例ベースで共有します。
アラートの評価間隔に関する制約事項
ログ検索アラート1について、1つのサブスクリプション毎に評価間隔1分のアラートルール上限数が100個となっています。
サポートリクエストにて、以下3点を伝えることで上限緩和の依頼は可能ですが、MSの過去事例より、これまでに承認された上限の緩和は、最大 150 個までとのことなので緩和されたとしても150個が上限と考えておく必要があります。
また、海外開発部署にてアラートのご利用状況を含め精査をし、承認を得た場合にのみ緩和するというフローの為リードタイムも考慮してください。
※数日~数週間かかると言われましたが、私の場合は2日で対応完了の連絡が来ました。
■MSへの連携事項
①アラートの構成状況
②現在有効なアラート数、今後想定されるアラート数
②上限緩和されなかった場合のビジネスインパクト
サブスクリプションごとに 5,000 個のアクティブなアラート ルール。 そのうち、1 分あたりのアクティブな警告ルールは 100 個です。
評価間隔の設定におけるMS推奨
クラウド サービス上ではインジェストの遅延が発生する場合があり、評価頻度 1分 に設定することで、遅延による影響を受けやすくなり、正確な監視が行えない場合があるため推奨されません。
インジェスト時間を考慮した適切な評価頻度の設定が推奨の設定方針です
以下表にまとめた、ログ データが収集されてから、そのデータが使用可能になるまで(=インジェスト)にかかる時間を考慮し、アラートルールの評価間隔を設定する必要があります。推奨の設定方針に則ると、評価間隔1分と設定可能なアラートルールはNo.1のみとなり、制約事項に関わるアラート数の削減にもつながります。
| No. | 収集方式 | データの種類 | 収集頻度 |
|---|---|---|---|
| 1 | エージェントにて収集 | Windowsイベント Syslog イベント パフォーマンスメトリック | 1分未満 |
| 2 | エージェントにて収集 | カスタムログ ※カスタムテーブルに収集する場合 | 数分追加 ※カスタム ログを処理するプロセスにより待機時間が数分増加する |
| 3 | 診断設定 | Azureメトリック | 3分 |
| 4 | 診断設定 | リソース ログ | 30 秒~90 秒 |
| 5 | 診断設定 | アクティビティ ログ | 3 分~20 分 |
まとめ
大量の監視設定が必要な場合、制約事項にひっかかる場合もあると思いますのでご参考まで!
-
特定のログデータが条件を満たしたときに検知するアラートです。 ↩