Alerty przeszukiwania dzienników służą do zgłaszania alertów dotyczących zdarzeń w aplikacji

  • 4 min

Usługi Azure Monitor możesz używać do przechwytywania ważnych informacji z plików dzienników. Aplikacje, systemy operacyjne, inny sprzęt lub usługi platformy Azure mogą tworzyć te pliki dziennika.

Jako architekt rozwiązań chcesz zapoznać się ze sposobami, w jaki monitorowanie danych dziennika może wykrywać problemy, zanim staną się problemami dla klientów. Wiesz, że usługa Azure Monitor obsługuje korzystanie z danych dzienników.

W tej lekcji dowiesz się, jak korzystanie z danych dziennika może zwiększyć odporność w systemie.

Kiedy należy używać alertów przeszukiwania dzienników

Alerty przeszukiwania dzienników używają danych dziennika do oceny logiki reguły i, w razie potrzeby, wyzwalania alertu. Te dane mogą pochodzić z dowolnego zasobu platformy Azure: dzienników serwera, dzienników serwera aplikacji lub dzienników aplikacji.

Z natury dane dziennika są historyczne, więc użycie koncentruje się na analizie i trendach.

Za pomocą tych typów dzienników można ocenić, czy którykolwiek z serwerów przekroczył wykorzystanie procesora PRZEZ określony próg w ciągu ostatnich 30 minut. Możesz też ocenić kody odpowiedzi wystawione na serwerze aplikacji internetowej w ciągu ostatniej godziny.

Jak działają alerty przeszukiwania dzienników

Alerty przeszukiwania dzienników zachowują się w nieco inny sposób niż inne mechanizmy alertów. Pierwsza część alertu przeszukiwania dzienników definiuje regułę przeszukiwania dzienników. Reguła ta definiuje, jak często powinna być uruchamiana, okres objęty oceną oraz zapytanie do uruchomienia.

Gdy wyszukiwanie dzienników jest oceniane jako pozytywne, tworzy rekord alertu i wyzwala wszelkie skojarzone akcje.

Kompozycja reguł przeszukiwania dzienników

Każdy alert przeszukiwania dzienników ma skojarzona reguła wyszukiwania z następującą kompozycją:

  • Zapytanie dziennika: zapytanie uruchamiane za każdym razem, gdy reguła alertu jest uruchamiana.
  • Okres: zakres czasu zapytania.
  • Częstotliwość: jak często powinno być uruchamiane zapytanie.
  • Próg: punkt wyzwalacza dla alertu do utworzenia.

Wyniki wyszukiwania dzienników są jednym z dwóch typów: liczba rekordów lub pomiar metryki.

Liczba rekordów

Rozważ użycie przeszukiwania dzienników powiązanego z liczbą rekordów, gdy pracujesz ze zdarzeniami lub danymi dotyczącymi zdarzeń. Przykłady to dziennik syslog i odpowiedzi aplikacji internetowej.

Ten typ przeszukiwania dzienników zwraca pojedynczy alert, gdy liczba rekordów w wynikach wyszukiwania osiągnie lub przekroczy wartość (próg) liczby rekordów. Na przykład jeśli próg dla reguły wyszukiwania jest większy lub równy pięć, wyniki zapytania muszą zwrócić pięć lub więcej wierszy danych przed wyzwoleniem alertu.

Pomiar metryki

Dzienniki pomiarów metryk oferują te same funkcje podstawowe co dzienniki alertów dotyczących metryk.

W przeciwieństwie do dzienników wyszukiwania liczby rekordów dzienniki pomiarów metryk wymagają dalszych kryteriów do ustawienia:

  • Funkcja agregacji: obliczenie, które ma zostać wykonane względem danych wynikowych. Przykładami są Liczba lub Średnia. Wynik funkcji nosi nazwę AggregatedValue.
  • Pole grupy: wskazuje sposób grupowania wyników. To kryterium jest używane z zagregowaną wartością. Można na przykład określić, że średnia ma zostać pogrupowana według komputera.
  • Interwał: przedział czasu, według którego dane są agregowane. Jeśli na przykład wybierzesz wartość 10 minut dla każdego zagregowanego bloku o długości 10 minut zostanie utworzony rekord alertu.
  • Próg: punkt zdefiniowany przez wartość zagregowaną i łączną liczbę naruszeń.

Rozważ użycie tego typu alertu, gdy trzeba dodać poziom tolerancji do znalezionych wyników. Jeden ze sposobów użycia tego typu alertu to reakcja na znalezienie określonego trendu lub wzorca. Jeśli na przykład liczba naruszeń wynosi pięć, a dowolny serwer w grupie przekracza 85 procent wykorzystania procesora CPU więcej niż pięć razy w danym okresie, alert zostanie wyzwolony.

Jak widać, pomiary metryk znacznie zmniejszają liczbę generowanych alertów. Zachowaj jednak rozwagę podczas ustawiania parametrów progów, aby uniknąć pominięcia alertów krytycznych.

Bezstanowy charakter alertów przeszukiwania dzienników

Jedną z głównych kwestii podczas oceniania korzystania z alertów przeszukiwania dzienników jest to, że są one bezstanowe (alerty wyszukiwania dzienników stanowych są obecnie w wersji zapoznawczej). Alert wyszukiwania dzienników bezstanowych generuje nowe alerty za każdym razem, gdy kryteria reguły są wyzwalane, niezależnie od tego, czy alert został wcześniej zarejestrowany.