Я работаю над настройкой оповещения Azure Log Analytics (с использованием KQL) для сбора событий остановки и запуска IIS (из таблицы Events) в моей рабочей области OMS, и если запрос оповещения обнаруживает, что нет Журнал событий запуска IIS, созданный из роли PaaS для определенного журнала событий остановки IIS - пользователь должен получить уведомление с помощью предупреждения, чтобы он мог восстановить IIS.
Проблема: Скажем Я настраиваю свое оповещение на период времени и частоту 15 минут. Если предупреждение сработало в 10:30, это означает, что оно будет сканировать журналы IIS с 10:15:01 до 10:29:59. Теперь предположим, что событие остановки IIS было зарегистрировано около 10:28, тогда соответствующий журнал запуска IIS (если есть) будет зарегистрирован через пару минут около 10:31 или 10:32 утра - и, следовательно, он будет go вне периода мониторинга оповещения. Это создаст сценарий ложноположительного отказа. (IIS был запущен снова, но мое предупреждение не попало в журнал событий запуска). И, таким образом, это может привести к некоторым ненужным операциям IIS Start / Reset для моих ролей PaaS.
Прикрепление типичного быстрого наброска, чтобы объяснить его образно.
Пожалуйста, дайте мне знать, есть ли какой-либо возможный подход для этого. Любые предложения приветствуются. Заранее спасибо!