Upozornění prohledávání protokolu slouží k upozorňování na události ve vaší aplikaci.
Azure Monitor lze použít k zachycení důležitých informací ze souborů protokolu. Tyto soubory protokolů můžou vytvářet aplikace, operační systémy, jiný hardware nebo služby Azure.
Jako architekt řešení chcete prozkoumat způsoby, jak může monitorování dat protokolu odhalit problémy dříve, než se stanou problémy pro vaše zákazníky. Víte, že Azure Monitor podporuje používání dat protokolu.
V této lekci pochopíte, jak může použití dat protokolu zlepšit odolnost systému.
Kdy použít upozornění prohledávání protokolu
Upozornění prohledávání protokolů používají data protokolu k vyhodnocení logiky pravidla a v případě potřeby aktivují upozornění. Tato data mohou pocházet od libovolného prostředku Azure: z protokolů serverů, protokolů aplikačních serverů nebo protokolů aplikací.
Podle své povahy jsou data protokolů historická, takže využití se zaměřuje na analýzy a trendy.
Pomocí těchto typů protokolů můžete vyhodnotit, jestli některý z vašich serverů překročil využití procesoru podle dané prahové hodnoty za posledních 30 minut. Nebo můžete vyhodnotit kódy odpovědí vydané na serveru webových aplikací za poslední hodinu.
Jak fungují upozornění prohledávání protokolu
Upozornění prohledávání protokolů se chovají trochu jinak než jiné mechanismy upozornění. První část upozornění prohledávání protokolu definuje pravidlo prohledávání protokolu. Toto pravidlo definuje, jak často se má spouštět, vyhodnocované časové období a dotaz, který se má provést.
Když se prohledávání protokolu vyhodnotí jako pozitivní, vytvoří záznam výstrahy a aktivuje všechny přidružené akce.
Složení pravidel prohledávání protokolu
Každé upozornění prohledávání protokolu má přidružené pravidlo vyhledávání s následujícím složením:
- Dotaz protokolu: Dotaz, který se spustí při každém spuštění pravidla upozornění.
- Časové období: Časový rozsah dotazu.
- Frekvence: Jak často se má dotaz spouštět.
- Prahová hodnota: Aktivační bod pro vytvoření výstrahy.
Výsledky hledání v protokolu jsou jedním ze dvou typů: počet záznamů nebo měření metriky.
Počet záznamů
O použití prohledávání protokolu typu počet záznamů uvažujte, pokud pracujete s událostmi nebo s daty řízenými událostmi. Příklady jsou syslog a odpovědi webové aplikace.
Tento typ prohledávání protokolu vrací jedno upozornění, pokud počet záznamů ve výsledcích hledání dosáhne nebo přesáhne hodnotu počtu záznamů (prahovou hodnotu). Pokud je například prahová hodnota pravidla prohledávání větší nebo rovna pěti, musí výsledky dotazu vrátit pět nebo více řádků dat, aby se upozornění aktivovalo.
Měření metriky
Upozornění na měření metriky nabízejí stejnou základní funkčnost jako upozornění na metriku.
Na rozdíl odprotokolůch
- Agregační funkce: Výpočet, který se má provést proti výsledným datům. Příkladem je počet nebo průměr. Výsledek této funkce se označuje jako agregovaná hodnota.
- Pole Skupina: Určuje, jak se má výsledek seskupit. Toto kritérium se používá s agregovanou hodnotou. Můžete například určit, že chcete průměr seskupit podle počítače.
- Interval: Časový interval, podle kterého se data agregují. Pokud například zadáte 10 minut, vytvoří se záznam upozornění pro každý agregovaný blok 10 minut.
- Prahová hodnota: Bod definovaný agregovanou hodnotou a celkovým počtem porušení zabezpečení.
O použití tohoto typu upozornění uvažujte, pokud potřebujete k nalezeným výsledkům přidat určitou úroveň tolerance. Pomocí tohoto typu upozornění můžete například reagovat na nalezení určitého trendu nebo vzoru. Pokud je například počet porušení pět a jakýkoli server ve vaší skupině překročí 85% využití procesoru více než pětkrát v daném časovém období, aktivuje se výstraha.
Jak vidíte, měření metrik výrazně snižuje objem generovaných upozornění. Nastavení parametrů prahové hodnoty přesto věnujte značnou pozornost, abyste nepropásli kritická upozornění.
Bezstavová povaha upozornění prohledávání protokolu
Jedním z hlavních aspektů při vyhodnocování použití upozornění prohledávání protokolu je, že jsou bezstavové (stavová upozornění prohledávání protokolů jsou aktuálně ve verzi Preview). Upozornění prohledávání bezstavového protokolu generuje nové výstrahy při každém spuštění kritérií pravidla bez ohledu na to, jestli byla výstraha dříve zaznamenána.