Usare gli avvisi per la ricerca log per segnalare gli eventi nell'applicazione

  • 4 minuti

È possibile usare Monitoraggio di Azure per acquisire informazioni importanti dai file di log. Questi file di log possono essere creati da applicazioni, sistemi operativi, altri componenti hardware o servizi di Azure.

I progettisti di soluzioni mirano a esplorare i modi in cui il monitoraggio dei dati dei log può rilevare i problemi prima che i clienti ne risentano. È noto che Monitoraggio di Azure supporta l'uso dei dati dei log.

In questa unità si apprende l'uso dei dati di log per migliorare la resilienza nel sistema.

Quando usare gli avvisi per la ricerca log

Gli avvisi per la ricerca log usano i dati dei log per valutare la logica della regola e, se necessario, attivare un avviso. Questi dati possono avere origine da qualsiasi risorsa di Azure, ad esempio i log del server, i log del server applicazioni o i log delle applicazioni.

Per natura, i dati dei log sono cronologici, quindi vengono usati per le analisi e le tendenze.

Questi tipi di log possono essere usati per valutare se uno dei server ha superato l'utilizzo della CPU in base a una determinata soglia negli ultimi 30 minuti. In alternativa, è possibile valutare i codici di risposta emessi sul server dell'applicazione Web nell'ultima ora.

Come funzionalo gli avvisi per la ricerca log

Gli avvisi per la ricerca log funzionano in modo leggermente diverso rispetto ad altri meccanismi di avviso. La prima parte di un avviso per la ricerca log definisce la regola per la ricerca log. La regola definisce la frequenza con cui deve essere eseguita, il periodo di tempo soggetto a valutazione e la query da eseguire.

Quando una ricerca log restituisce un risultato positivo, crea un record di avviso e attiva le eventuali azioni associate.

Composizione delle regole di ricerca log

Ogni avviso per la ricerca log ha una regola di ricerca associata con la composizione seguente:

  • Query di log: query eseguita ogni volta che viene attivata la regola di avviso.
  • Periodo di tempo: intervallo di tempo per la query.
  • Frequenza: la frequenza con cui deve essere eseguita la query.
  • Soglia: punto di attivazione per un avviso da creare.

I risultati della ricerca log sono di due tipi: numero di record o misure delle metriche.

Numero di record

È consigliabile usare il tipo di ricerca log basato su numero di record quando si lavora con un evento o con dati basati su eventi, Alcuni esempi sono syslog e le risposte di app Web.

Questo tipo di ricerca log restituisce un singolo avviso quando il numero di record in un risultato della ricerca raggiunge o supera il valore del numero di record (soglia). Se ad esempio la soglia per la regola di ricerca è maggiore o uguale a cinque, i risultati della query devono restituire cinque o più righe di dati prima che l'avviso venga attivato.

Misure delle metriche

I log di misurazione delle metriche offrono le stesse funzionalità di base dei log degli avvisi delle metriche.

A differenza dei log di ricerca basati su numero di record, quelli basati su misure delle metriche richiedono l'impostazione di criteri aggiuntivi:

  • Funzione di aggregazione: Il calcolo che verrà eseguito sui dati dei risultati. ad esempio il conteggio o la media. Il risultato della funzione è definito AggregatedValue.
  • Campo gruppo: Indica come deve essere raggruppato il risultato. Questo criterio viene usato insieme al valore aggregato. È ad esempio possibile specificare che si vuole raggruppare la media per computer.
  • Intervallo: l'intervallo di tempo in base al quale vengono aggregati i dati. Se ad esempio si specifica 10 minuti, viene creato un record di avviso per ogni blocco aggregato di 10 minuti.
  • Soglia: un punto definito da un valore aggregato e dal numero totale di violazioni.

È consigliabile usare questo tipo di avviso quando è necessario aggiungere un livello di tolleranza ai risultati trovati. Questo tipo di avviso viene usato, ad esempio, per rispondere se viene trovato un determinato modello o tendenza. Se ad esempio il numero di violazioni è cinque e un server del gruppo supera l'85% di utilizzo della CPU per più di cinque volte entro il periodo di tempo specificato, viene generato un avviso.

Come si può osservare, le misure delle metriche riducono notevolmente il volume degli avvisi generati. È tuttavia importante prestare attenzione quando si impostano i parametri soglia, per assicurarsi che vengano generati determinati avvisi critici.

Natura senza stato degli avvisi per la ricerca log

Una delle considerazioni principali quando si valuta l'uso degli avvisi per la ricerca log è che sono senza stato (gli avvisi per la ricerca log con stato sono attualmente in anteprima). Un avviso per la ricerca log senza stato genera nuovi avvisi ogni volta che vengono attivati i criteri di una regola, indipendentemente dal fatto che l'avviso sia stato registrato in precedenza.