AFAIK, у нас есть следующие варианты выполнения ваших требований.
Опция I :
Если служба / демон настроена по умолчанию, то информация журнала службы будетвойти в /var/log/messages.
Когда служба Linux останавливается, если информация регистрируется в файле / var / log / messages, следуйте приведенным ниже инструкциям, чтобы получить предупреждение:
Перейти на портал Azure -> YOURLOGANALYTICSWORKSPACE -> Расширенные настройки -> Данные -> Системный журнал -> введите «daemon» -> нажмите «+» -> нажмите «Сохранить».Для получения дополнительной информации см. Ссылку https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-sources-syslog.
Перейти на портал Azure -> YOURLOGANALYTICSWORKSPACE -> Журналы -> введите «Syslog» -> нажмите «Выполнить».Проверьте столбец «SyslogMessage» в выходных данных.В выходных данных также есть различные другие полезные столбцы, такие как SeverityLevel, ProcessName и ProcessID, которые вы можете использовать при разработке запроса на основе ваших потребностей.
Таким образом, запрос будет выглядеть примерно так, как показано ниже.
Системный журнал |где (Facility == "демон") |где (SyslogMessage имеет «xxxxxxx», а SyslogMessage имеет «остановку») |суммировать AggregatedValue = any (SyslogMessage) по компьютеру, bin (TimeGenerated, 30 с)
Создать и настроить настраиваемое оповещение журнала в плитке оповещений рабочей области Log Analytics с помощью вышеуказанного запроса.Установите пороговое значение, частоту, период детали при настройке оповещения.Предоставьте предполагаемую группу действий, чтобы получать уведомления о срабатывании оповещения.
Вариант II :
Если служба / демон настроена специально, тогда службаинформация журнала будет регистрироваться в этом конкретном пользовательском пути.
Всякий раз, когда служба Linux останавливается, если информация регистрируется в файле /xxxx/yyyy/zzzz.txt (или другими примерами являются / aaaa / bbbb / jenkins/jenkins.log, cccc / dddd / tomcat / catalina.out и т. д.) и следуйте приведенным ниже инструкциям, чтобы получать оповещения:
Перейти на портал Azure -> YOURLOGANALYTICSWORKSPACE -> Расширенные настройки ->Данные -> Пользовательские журналы -> нажмите «Добавить +» -> .... Для получения дополнительной информации перейдите по этой ссылке https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-sources-custom-logs.
Перейти на портал Azure ->YOURLOGANALYTICSWORKSPACE -> Журналы -> введите "CUSTOMLOGNAME_CL" -> нажмите "Выполнить".Проверьте что-то вроде столбца «RawData» в выводе.
Таким образом, запрос будет выглядеть примерно так, как показано ниже.
CUSTOMLOGNAME_CL |где (RawData имеет «xxxxxxx», а RawData имеет «остановку») |суммировать AggregatedValue = any (RawData) по компьютеру, bin (TimeGenerated, 30 с)
Создать и настроить настраиваемое оповещение журнала в плитке оповещений рабочей области Log Analytics с помощью вышеуказанного запроса.Установите пороговое значение, частоту, период детали при настройке оповещения.Предоставьте предполагаемую группу действий, чтобы получать уведомления о срабатывании оповещения.
Вариант III :
В случае, если данные вашего журнала обслуживания не могут быть собраныс настраиваемыми журналами, а затем отправляйте данные непосредственно в монитор Azure с помощью API-интерфейса HTTP Data Collector, который описан здесь -> https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-collector-api.
Пример использования модулей Runbook в Azure Automation представлен в разделе Сбор данных журнала в Azure Monitor с помощьюRunbook автоматизации Azure объясняется здесь -> https://docs.microsoft.com/en-us/azure/azure-monitor/platform/runbook-datacollect.
Надеюсь, это поможет !!Ура !!:)