Eseménynapló-alapú riasztások használata alkalmazáson belüli események jelzéséhez
Az Azure Monitor használatával fontos információkat nyerhet a naplófájlokból. Az alkalmazások, operációs rendszerek, egyéb hardverek vagy Azure-szolgáltatások létrehozhatják ezeket a naplófájlokat.
Megoldástervezőként szeretné megvizsgálni, hogy a naplóadatok monitorozása hogyan képes észlelni a problémákat, mielőtt azok problémákká válhatnak az ügyfelek számára. Azt már tudja, hogy az Azure Monitor támogatja a naplózási adatok használatát.
Ebben a leckében megtudhatja, hogyan javíthatja a rendszer rugalmasságát a naplóadatok használata.
Az eseménynapló-alapú riasztások használati területe
Az eseménynapló-alapú riasztások a naplózási adatokat használják fel a szabálylogika értékeléséhez, és szükség esetén a riasztás indításához. Adatforrás lehet bármely Azure-erőforrás, köztük a kiszolgálók, az alkalmazáskiszolgálók és az alkalmazások eseménynaplói.
A naplóadatok természeténél fogva előzményadatok, így a használat az elemzésekre és a trendekre összpontosít.
Az ilyen típusú naplók segítségével felmérheti, hogy valamelyik kiszolgáló túllépte-e a processzorhasználatot egy adott küszöbértéknél az elmúlt 30 percben, vagy kiértékelheti a webalkalmazás-kiszolgálón az elmúlt órában kiadott válaszkódokat.
Az eseménynapló-alapú riasztások működése
A naplóriasztások kissé eltérő módon viselkednek, mint a többi riasztási mechanizmus. Az eseménynapló-alapú riasztás első része a napló keresési szabályának meghatározására szolgál. A szabály meghatározza a riasztás futtatásának gyakoriságát, a kiértékelendő időtartamot és a végrehajtandó lekérdezést.
Ha a naplókeresés pozitívnak minősül, létrehoz egy riasztási rekordot, és elindítja a kapcsolódó műveleteket.
A naplóbeli keresési szabályok összetétele
Minden eseménynapló-alapú riasztáshoz egy keresési szabály kapcsolódik. A szabályok összetétele a következő:
- Napló lekérdezés: A riasztási szabály minden aktiválásakor lefutó lekérdezés
- Időtartam: A lekérdezés időtartománya
- Gyakoriság: Milyen gyakran futtassa a lekérdezést?
- Küszöbérték: Triggerpont a létrehozandó riasztáshoz
A naplókeresési eredmények két típus egyike: rekordok száma vagy metrikamérés.
Rekordszám
A rekordok száma típusú naplóbeli kereséstípust akkor érdemes használnia, ha eseménnyel vagy eseményvezérelt adatokkal dolgozik. Ilyenek például a syslog- és webalkalmazás-válaszok.
Ez a naplóbeli kereséstípus egyetlen riasztást ad vissza, ha valamely keresési eredményben a rekordok száma eléri vagy túllépi a rekordszámok (küszöb) értékét. Például ha a keresési szabály küszöbe nagyobb vagy egyenlő öttel, akkor a lekérdezési értékek öt vagy több adatsort adnak vissza a riasztás kiváltódása előtt.
Metrikus egységek
A metrikus egységek eseménynaplói ugyanolyan alapfunkciókat biztosítanak, mint a metrikariasztási naplók.
Eltérően számos rekordkeresési naplótól, a metrikus egységek naplóihoz további feltételek beállítása is szükséges, az alábbiak szerint:
- Aggregátumfüggvény: Az eredményadatok alapján végzett számítás. Erre példa a darabszám vagy az átlag. A függvény eredményének neve AggregatedValue.
- Csoportmező: Egy mező, amellyel az eredmény csoportosítva lesz. Ez a feltétel az összesített értékkel együtt használatos. Például megadhatja, hogy számítógépek szerint szeretné csoportosítani az átlagot.
- Intervallum: Az az időintervallum, amellyel az adatok összesítve lesznek. Például ha 10 percet ad meg, akkor a riasztási értesítés minden 10 perces összesített blokkhoz jön létre.
- Küszöbérték: Egy összesített érték és a szabálysértések teljes száma által meghatározott pont.
Ezt a riasztástípust akkor érdemes használni, ha a kapott eredményekhez tűréshatárt kell hozzáadnia. A riasztástípus egyik felhasználási módja az adott trend vagy mintázat észlelésekor adott válasz. Ha például a incidensek száma öt, és a csoport bármely kiszolgálója meghaladja a 85 százalékos processzorhasználatot az adott időszakon belül ötször, riasztás aktiválódik.
Amint látható, a metrikus egységek nagymértékben csökkentik a létrejött riasztások számát. A küszöbparamétereket azonban érdemes körültekintően beállítani, nehogy kritikus fontosságú riasztások maradjanak el.
Az eseménynapló-alapú riasztások állapot nélküli jellege
A naplóriasztások használatának értékelésekor az egyik elsődleges szempont az, hogy állapot nélküliek (az állapotalapú naplóriasztások jelenleg előzetes verzióban érhetők el). Az állapot nélküli naplóriasztások a szabályfeltételek minden aktiválásakor új riasztásokat hoznak létre, függetlenül attól, hogy a riasztást korábban rögzítették-e.