Eseménynapló-alapú riasztások használata alkalmazáson belüli események jelzéséhez

  • 4 perc

Az Azure Monitor használatával fontos információkat nyerhet a naplófájlokból. Az alkalmazások, operációs rendszerek, egyéb hardverek vagy Azure-szolgáltatások létrehozhatják ezeket a naplófájlokat.

Megoldástervezőként szeretné megvizsgálni, hogy a naplóadatok monitorozása hogyan képes észlelni a problémákat, mielőtt azok problémákká válhatnak az ügyfelek számára. Azt már tudja, hogy az Azure Monitor támogatja a naplózási adatok használatát.

Ebben a leckében megtudhatja, hogyan javíthatja a rendszer rugalmasságát a naplóadatok használata.

Az eseménynapló-alapú riasztások használati területe

Az eseménynapló-alapú riasztások a naplózási adatokat használják fel a szabálylogika értékeléséhez, és szükség esetén a riasztás indításához. Adatforrás lehet bármely Azure-erőforrás, köztük a kiszolgálók, az alkalmazáskiszolgálók és az alkalmazások eseménynaplói.

A naplóadatok természeténél fogva előzményadatok, így a használat az elemzésekre és a trendekre összpontosít.

Az ilyen típusú naplók segítségével felmérheti, hogy valamelyik kiszolgáló túllépte-e a processzorhasználatot egy adott küszöbértéknél az elmúlt 30 percben, vagy kiértékelheti a webalkalmazás-kiszolgálón az elmúlt órában kiadott válaszkódokat.

Az eseménynapló-alapú riasztások működése

A naplóriasztások kissé eltérő módon viselkednek, mint a többi riasztási mechanizmus. Az eseménynapló-alapú riasztás első része a napló keresési szabályának meghatározására szolgál. A szabály meghatározza a riasztás futtatásának gyakoriságát, a kiértékelendő időtartamot és a végrehajtandó lekérdezést.

Ha a naplókeresés pozitívnak minősül, létrehoz egy riasztási rekordot, és elindítja a kapcsolódó műveleteket.

A naplóbeli keresési szabályok összetétele

Minden eseménynapló-alapú riasztáshoz egy keresési szabály kapcsolódik. A szabályok összetétele a következő:

  • Napló lekérdezés: A riasztási szabály minden aktiválásakor lefutó lekérdezés
  • Időtartam: A lekérdezés időtartománya
  • Gyakoriság: Milyen gyakran futtassa a lekérdezést?
  • Küszöbérték: Triggerpont a létrehozandó riasztáshoz

A naplókeresési eredmények két típus egyike: rekordok száma vagy metrikamérés.

Rekordszám

A rekordok száma típusú naplóbeli kereséstípust akkor érdemes használnia, ha eseménnyel vagy eseményvezérelt adatokkal dolgozik. Ilyenek például a syslog- és webalkalmazás-válaszok.

Ez a naplóbeli kereséstípus egyetlen riasztást ad vissza, ha valamely keresési eredményben a rekordok száma eléri vagy túllépi a rekordszámok (küszöb) értékét. Például ha a keresési szabály küszöbe nagyobb vagy egyenlő öttel, akkor a lekérdezési értékek öt vagy több adatsort adnak vissza a riasztás kiváltódása előtt.

Metrikus egységek

A metrikus egységek eseménynaplói ugyanolyan alapfunkciókat biztosítanak, mint a metrikariasztási naplók.

Eltérően számos rekordkeresési naplótól, a metrikus egységek naplóihoz további feltételek beállítása is szükséges, az alábbiak szerint:

  • Aggregátumfüggvény: Az eredményadatok alapján végzett számítás. Erre példa a darabszám vagy az átlag. A függvény eredményének neve AggregatedValue.
  • Csoportmező: Egy mező, amellyel az eredmény csoportosítva lesz. Ez a feltétel az összesített értékkel együtt használatos. Például megadhatja, hogy számítógépek szerint szeretné csoportosítani az átlagot.
  • Intervallum: Az az időintervallum, amellyel az adatok összesítve lesznek. Például ha 10 percet ad meg, akkor a riasztási értesítés minden 10 perces összesített blokkhoz jön létre.
  • Küszöbérték: Egy összesített érték és a szabálysértések teljes száma által meghatározott pont.

Ezt a riasztástípust akkor érdemes használni, ha a kapott eredményekhez tűréshatárt kell hozzáadnia. A riasztástípus egyik felhasználási módja az adott trend vagy mintázat észlelésekor adott válasz. Ha például a incidensek száma öt, és a csoport bármely kiszolgálója meghaladja a 85 százalékos processzorhasználatot az adott időszakon belül ötször, riasztás aktiválódik.

Amint látható, a metrikus egységek nagymértékben csökkentik a létrejött riasztások számát. A küszöbparamétereket azonban érdemes körültekintően beállítani, nehogy kritikus fontosságú riasztások maradjanak el.

Az eseménynapló-alapú riasztások állapot nélküli jellege

A naplóriasztások használatának értékelésekor az egyik elsődleges szempont az, hogy állapot nélküliek (az állapotalapú naplóriasztások jelenleg előzetes verzióban érhetők el). Az állapot nélküli naplóriasztások a szabályfeltételek minden aktiválásakor új riasztásokat hoznak létre, függetlenül attól, hogy a riasztást korábban rögzítették-e.