Brug logsøgebeskeder til at advare om hændelser i dit program

  • 4 minutter

Du kan bruge Azure Monitor til at hente vigtige oplysninger fra logfiler. Programmer, operativsystemer, anden hardware eller Azure-tjenester kan oprette disse logfiler.

Som løsningsarkitekt vil du undersøge, hvordan overvågning af logdata kan registrere problemer, før de bliver problemer for dine kunder. Du ved, at Azure Monitor understøtter brugen af logdata.

I dette undermodul forstår du, hvordan brug af logdata kan forbedre robustheden i dit system.

Hvornår skal du bruge logsøgebeskeder?

Logsøgebeskeder bruger logdata til at vurdere regellogikken og udløser om nødvendigt en besked. Disse data kan komme fra alle Azure-ressourcer: serverlogge, programserverlogge eller programlogge.

Logdata er i sagens natur historiske, så brugen er fokuseret på analyser og tendenser.

Du kan bruge disse typer logge til at vurdere, om nogen af dine servere har overskredet deres CPU-udnyttelse med en given grænse inden for de sidste 30 minutter. Du kan også evaluere svarkoder, der er udstedt på webserveren, inden for den seneste time.

Sådan fungerer søgebeskeder i log

Logfør søgebeskeder fungerer lidt anderledes end andre beskedmekanismer. Den første del af en logsøgebesked definerer søgereglen for logfilen. Reglen definerer, hvor ofte den skal køres, den tidsperiode, der skal evalueres, og den forespørgsel, der skal køres.

Når en logsøgning evalueres som positiv, oprettes der en beskedpost, og eventuelle tilknyttede handlinger udløses.

Sammensætning af søgeregler for log

Hver søgebesked i logfilen har en tilknyttet søgeregel med følgende sammensætning:

  • logforespørgsel: Forespørgsel, der kører, hver gang beskedreglen udløses.
  • tidsperiode: Tidsinterval for forespørgslen.
  • Frekvens: Hvor ofte forespørgslen skal køre.
  • Threshold: Udløserpunkt for oprettelse af en besked.

Søgeresultaterne i logfilen er en af to typer: antal poster eller målepunktsmåling.

Antal poster

Overvej at bruge typen antal poster i logsøgning, når du arbejder med en hændelses- eller hændelsesdrevet data. Eksempler er syslog- og webapp-svar.

Denne type logsøgning returnerer en enkelt besked, når antallet af poster i et søgeresultat når eller overstiger værdien for antallet af poster (tærskel). Når grænsen for søgereglen f.eks. er større eller lig med fem, skal forespørgselsresultaterne returnere fem eller flere rækker med data, før beskeden udløses.

Målepunktsmåling

Logfiler med målepunkter tilbyder den samme grundlæggende funktionalitet som logfiler med vigtige beskeder.

I modsætning til søgelogge for antal poster kræver logfiler for målepunkter, at der angives yderligere kriterier:

  • aggregeringsfunktionen: Den beregning, der skal foretages i forhold til resultatdataene. Et eksempel er antal eller gennemsnit. Resultatet af funktionen kaldes AggregatedValue.
  • gruppefelt: Angiver, hvordan resultatet skal grupperes. Dette kriterium bruges sammen med den aggregerede værdi. Du kan f.eks. angive, at gennemsnittet skal grupperes efter computer.
  • interval: Det tidsinterval, som dataene aggregeres med. Hvis du f.eks. angiver 10 minutter, oprettes der en beskedpost for hver aggregerede blok på 10 minutter.
  • Grænseværdi: Et punkt, der defineres af en aggregeret værdi og det samlede antal overtrædelser.

Overvej at bruge denne type besked, når du har brug for at føje et toleranceniveau til de fundne resultater. En måde at bruge denne type besked på er at reagere, hvis der findes en bestemt tendens eller et bestemt mønster. Hvis antallet af brud f.eks. er fem, og en hvilken som helst server i din gruppe overskrider CPU-forbruget på 85 % mere end fem gange inden for den angivne tidsperiode, udløses en besked.

Som du kan se, reducerer målepunkterne i høj grad mængden af beskeder, der produceres. Alligevel skal du være omhyggelig med at overveje, når du angiver grænseparametrene for at undgå manglende vigtige beskeder.

Tilstandsløs karakter af logsøgebeskeder

En af de primære overvejelser, når du evaluerer brugen af logsøgebeskeder, er, at de er tilstandsløse (tilstandsafhængige logsøgebeskeder er i øjeblikket i prøveversion). En tilstandsløs logsøgebesked genererer nye beskeder, hver gang regelkriterierne udløses, uanset om beskeden tidligere blev registreret.