Używanie alertów dzienników do ostrzegania o zdarzeniach w aplikacji

  • 4 min

Usługi Azure Monitor możesz używać do przechwytywania ważnych informacji z plików dzienników. Aplikacje, systemy operacyjne, inny sprzęt lub usługi platformy Azure mogą tworzyć te pliki dziennika.

Jako architekt rozwiązań chcesz zapoznać się ze sposobami, w jaki monitorowanie danych dziennika może wykrywać problemy, zanim staną się problemami dla klientów. Wiesz, że usługa Azure Monitor obsługuje korzystanie z danych dzienników.

W tej lekcji dowiesz się, jak korzystanie z danych dziennika może zwiększyć odporność w systemie.

Kiedy używać alertów dzienników

Alerty dzienników używają danych dzienników do oceniania logiki reguły i w razie potrzeby wyzwalania alertu. Te dane mogą pochodzić z dowolnego zasobu platformy Azure: dzienników serwera, dzienników serwera aplikacji lub dzienników aplikacji.

Z natury dane dziennika są historyczne, więc użycie koncentruje się na analizie i trendach.

Tych typów dzienników można użyć do oceny, czy którykolwiek z serwerów przekroczył wykorzystanie procesora PRZEZ dany próg w ciągu ostatnich 30 minut lub możesz ocenić kody odpowiedzi wystawione na serwerze aplikacji internetowej w ciągu ostatniej godziny.

Jak działają alerty dzienników

Alerty dzienników zachowują się nieco inaczej niż inne mechanizmy alertów. Pierwsza część alertu dziennika służy do definiowania reguły przeszukiwania dzienników. Reguła ta definiuje, jak często powinna być uruchamiana, okres objęty oceną oraz zapytanie do uruchomienia.

Gdy wyszukiwanie dzienników jest oceniane jako pozytywne, tworzy rekord alertu i wyzwala wszelkie skojarzone akcje.

Kompozycja reguł przeszukiwania dzienników

Każdy alert dziennika ma skojarzoną regułę przeszukiwania. Kompozycja tych reguł jest następująca:

  • Zapytanie dziennika: zapytanie uruchamiane za każdym razem, gdy reguła alertu jest uruchamiana
  • Okres: zakres czasu zapytania
  • Częstotliwość: jak często powinno być uruchamiane zapytanie
  • Próg: punkt wyzwalacza dla alertu do utworzenia

Wyniki wyszukiwania dzienników są jednym z dwóch typów: liczba rekordów lub pomiar metryki.

Liczba rekordów

Rozważ użycie przeszukiwania dzienników powiązanego z liczbą rekordów, gdy pracujesz ze zdarzeniami lub danymi dotyczącymi zdarzeń. Przykłady to dziennik syslog i odpowiedzi aplikacji internetowej.

Ten typ przeszukiwania dzienników zwraca pojedynczy alert, gdy liczba rekordów w wynikach wyszukiwania osiągnie lub przekroczy wartość (próg) liczby rekordów. Na przykład jeśli próg dla reguły wyszukiwania jest większy lub równy pięć, wyniki zapytania muszą zwrócić pięć lub więcej wierszy danych przed wyzwoleniem alertu.

Pomiar metryki

Dzienniki pomiarów metryk oferują te same funkcje podstawowe co dzienniki alertów dotyczących metryk.

W przeciwieństwie do dzienników wyszukiwania powiązanych z liczbami rekordów dzienniki pomiarów metryk wymagają ustawienia dodatkowych kryteriów:

  • Funkcja agregacji: obliczenie, które zostanie wykonane względem danych wynikowych. Przykładami są Liczba lub Średnia. Wynik funkcji nosi nazwę AggregatedValue.
  • Pole grupy: pole, według którego wynik zostanie zgrupowany. To kryterium jest używane z zagregowaną wartością. Można na przykład określić, że średnia ma zostać pogrupowana według komputera.
  • Interwał: przedział czasu, według którego dane są agregowane. Jeśli na przykład wybierzesz wartość 10 minut dla każdego zagregowanego bloku o długości 10 minut zostanie utworzony rekord alertu.
  • Próg: punkt zdefiniowany przez wartość zagregowaną i łączną liczbę naruszeń.

Rozważ użycie tego typu alertu, gdy trzeba dodać poziom tolerancji do znalezionych wyników. Jeden ze sposobów użycia tego typu alertu to reakcja na znalezienie określonego trendu lub wzorca. Jeśli na przykład liczba naruszeń wynosi pięć, a dowolny serwer w grupie przekracza 85 procent wykorzystania procesora CPU więcej niż pięć razy w danym okresie, alert zostanie wyzwolony.

Jak widać, pomiary metryk znacznie zmniejszają liczbę generowanych alertów. Zachowaj jednak rozwagę podczas ustawiania parametrów progów, aby uniknąć pominięcia alertów krytycznych.

Bezstanowy charakter alertów dziennika

Jedną z głównych kwestii podczas oceniania korzystania z alertów dzienników jest to, że są one bezstanowe (alerty dziennika stanowego są obecnie w wersji zapoznawczej). Alert dziennika bezstanowego generuje nowe alerty za każdym razem, gdy kryteria reguły są wyzwalane, niezależnie od tego, czy alert został wcześniej zarejestrowany.