Lokihakuilmoitusten käyttö sovelluksessasi tapahtuvien tapahtumien hälyttämiseen

  • 4 minuuttia

Azure Monitorin avulla voit tallentaa tärkeitä tietoja lokitiedostoista. Sovellukset, käyttöjärjestelmät, muut laitteet tai Azure-palvelut voivat luoda näitä lokitiedostoja.

Ratkaisuarkkitehtina haluat tutkia tapoja, joilla lokitietojen valvonta voi havaita ongelmia, ennen kuin niistä tulee ongelmia asiakkaillesi. Tiedät, että Azure Monitor tukee lokitietojen käyttöä.

Tässä osiossa ymmärrät, miten lokitietojen käyttö voi parantaa järjestelmän häiriönsietoisuutta.

Milloin lokihakuilmoituksia kannattaa käyttää

Lokihakuilmoitukset käyttävät lokitietoja säännön logiikan arviointiin ja tarvittaessa ilmoituksen käynnistämiseen. Nämä tiedot voivat olla peräisin mistä tahansa Azure-resurssista: palvelinlokeista, sovelluspalvelimen lokeista tai sovelluslokeista.

Lokitiedot ovat luonnostaan historiallisia, joten käyttö keskittyy analytiikkaan ja trendeihin.

Tämäntyyppisten lokien avulla voit arvioida, ylittikö jokin palvelimista suorittimen käyttö jonkin kynnysarvon perusteella viimeisten 30 minuutin aikana. Voit myös arvioida verkkosovelluspalvelimessasi annettuja vastauskoodeja viimeisen tunnin aikana.

Hakuilmoitusten toiminta

Lokihakuilmoitukset toimivat hieman eri tavalla kuin muut hälytysmekanismit. Lokin hakuilmoituksen ensimmäinen osa määrittää lokin hakusäännön. Sääntö määrittää, kuinka usein se suoritetaan, arvioinnissa käytettävä aika ja suoritettava kysely.

Kun lokihaku arvioidaan positiiviseksi, se luo hälytystietueen ja käynnistää kaikki siihen liittyvät toiminnot.

Lokin hakusääntöjen koostumus

Jokaisella lokihakuilmoituksilla on siihen liittyvä hakusääntö, joka sisältää seuraavan koostumuksen:

  • Log query -: Kysely, joka suoritetaan aina, kun ilmoitussääntö käynnistyy.
  • ajanjakso: Kyselyn aika-alue.
  • Taajuus-: Kuinka usein kyselyn tulisi suorittaa.
  • Threshold-: Käynnistinpiste, jotta hälytys luodaan.

Lokihakutulokset ovat toinen kahdesta tyypistä: tietueiden määrä tai mittarin.

Tietueiden määrä

Harkitse lokihaun tietuetyyppiä, kun käsittelet tapahtumapohjaisia tietoja. Esimerkkejä ovat syslog- ja verkkosovellusvastaukset.

Tämäntyyppinen lokihaku palauttaa yksittäisen ilmoituksen, kun hakutuloksen tietueiden määrä saavuttaa tai ylittää tietueiden määrän (raja-arvo). Jos esimerkiksi hakusäännön raja-arvo on suurempi tai yhtä suuri kuin viisi, kyselyn tulosten on palautettava viisi tai useampia tietorivejä ennen ilmoituksen käynnistymistä.

Mittausarvon mittaus

Mittausarvon mittauslokit tarjoavat saman perustoiminnon kuin mittarihälytyslokit.

Toisin kuin tietueiden määrä -hakulokeissa, mittareiden mittauslokit edellyttävät lisäkriteerien määrittämistä:

  • Koostefunktio: Tulostietojen perusteella suoritettava laskutoimitus. Esimerkki on määrä tai keskiarvo. Funktion tulos on nimeltään AggregatedValue.
  • Ryhmä-kentän: Ilmaisee, miten tulos ryhmiteltään. Tätä kriteeriä käytetään koostearvon kanssa. Voit esimerkiksi määrittää, että haluat keskiarvon ryhmiteltynä tietokoneen mukaan.
  • Interval-: Tietojen koostamisen aikaväli. Jos esimerkiksi määrität 10 minuuttia, jokaiselle 10 minuutin koostelohkolle luodaan ilmoitustietue.
  • Threshold: Koostetun arvon määrittämä piste ja tietomurtojen kokonaismäärä.

Harkitse tämäntyyppisen ilmoituksen käyttämistä, kun sinun on lisättävä löytyneiden tulosten toleranssitaso. Tämän tyyppistä hälytystä voidaan käyttää esimerkiksi reagoimiseen, jos tietty trendi tai kuvio löytyy. Jos esimerkiksi rikkomusten määrä on viisi ja minkä tahansa ryhmäsi palvelimen suoritinkäyttöaste yli 85 prosenttia yli viisi kertaa kyseisenä ajanjaksona, hälytys käynnistyy.

Kuten näet, mittausarvojen mittaaminen vähentää huomattavasti tuotettujen hälytysten määrää. Harkitse kuitenkin tarkkaan, milloin määrität raja-arvoparametreja, jotta vältät puuttuvat tärkeät hälytykset.

Hakuilmoitusten tilaton luonne

Kun arvioit lokihakuilmoitusten käyttöä, tärkeimpiä huomioon otettavia seikkoja on se, että ne eivät ole tilattomia (tilallisten lokien hakuilmoitukset ovat tällä hetkellä esikatseluvaiheessa). Tilaton hakuilmoitus luo uusia hälytyksiä aina, kun säännön ehdot käynnistyvät riippumatta siitä, onko hälytys tallennettu aiemmin.