[Q]
Log Analytics のアラートが通知されたため、対象のリソースについて確認しましたが問題は発生していませんでした。誤報なのでしょうか?
[A]
ネットワークの状況によりログのデータ収集に若干の遅延が発生することがあるため、アラートルールの条件で評価するタイミングのルックバック期間を短く (例:5分) に設定されている場合は、誤発報の可能性が高くなります。
下記参考情報にありますように、データ収集の遅延は様々な要因によるもののため、ルックバック期間を 10 分以上 (例: 15分) に設定することで対策いただく必要があります。また、Azure のアクティビティログ、リソースログ、メトリックといったデータでは、さらに追加の時間がかかりますのでご留意ください。
同ページに記載されているインジェスト時間のチェック方法により、どのくらい遅延しているか確認できる場合もあります。是非ご参照ください。
適切なルックバック期間を設定してもアラートが誤発報するようでしたら、対象のアラートルール名と通知内容などの詳細情報とあわせて、サポートまでお問い合わせください。
[参考情報]
Azure メトリック、リソース ログ、アクティビティ ログ
https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/data-ingestion-time#azure-metrics-resource-logs-activity-log
<抜粋>
Azure データがデータ収集エンドポイントで処理のために使用可能になるまでには追加の時間がかかります。
- Azure プラットフォームのメトリックは、1 分未満でメトリック データベースで使用可能になりますが、データ収集エンドポイントにエクスポートできるようになるまでには、さらに 3 分かかります。
- 通常、リソース ログには、Azure サービスに応じて、さらに 30 秒から 90 秒かかります。 一部の Azure サービス (具体的には、Azure SQL Database と Azure Virtual Network) では、現在 5 分間隔でそのログが報告されます。 この時間をさらに向上させるための取り組みが進行中です。 ご利用の環境におけるこの待機時間を調べる方法については、次のクエリを参照してください。
- アクティビティ ログ データは、推奨されるサブスクリプションレベルの診断設定を使用して Azure Monitor ログに送信する場合、30 秒後に取り込まれます。 従来の統合を使用している場合は、10 分から 15 分かかる場合があります。
インジェスト時間のチェック
https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/data-ingestion-time#check-ingestion-time
Heartbeat の収集が遅延していることを確認するとき
※ 対象の仮想マシンを指定して、インジェスト時間を確認できるサンプルクエリが掲載されています。(クエリ内の "Computer Name" で指定します。)
[更新日]
Update:202303
Update:202403