azure - 如何在警报监视时间段之外的 Azure Log Analytics 中获取相应 IIS 停止日志的 IIS 启动日志

Question

我正在配置 Azure Log Analytics 警报(使用 KQL)以捕获 OMS 工作区中的 IIS 停止和启动事件(来自 Events 表)，并且如果警报查询发现对于特定的 IIS 停止事件日志，没有从 PaaS 角色生成相应的 IIS 启动事件日志 - 用户应该收到警报通知，以便他可以恢复 IIS。

问题:假设我将警报设置为运行时间段和频率为 15 分钟。如果警报在上午 10:30 触发，则意味着它将从上午 10:15:01 到上午 10:29:59 扫描 IIS 日志。现在，假设 IIS 停止事件在上午 10:28 左右登录，那么相应的 IIS 启动日志(如果有)将在几分钟后在上午 10:31 或 10:32 左右登录 - 因此它将消失超出警报的监控时间段。这将产生误报故障场景。 (IIS 重新启动，但我的警报未捕获启动事件日志)。因此，它可能会导致对我的 PaaS 角色进行一些不必要的 IIS 启动/重置操作。

附上有代表性的速写来形象地解释一下。

请告诉我是否有任何可能的方法来实现这一目标。欢迎任何建议。提前致谢!

Answer 1

当前实现如下。

在这里我们可以看到 10:30 生成的虚假警报。

您可以看到下面的方法，我们每 5 分钟选择最近 10 分钟的数据(重叠)。

对于以下情况，您可以生成警报

看看是否对您有帮助。