Use alertas de pesquisa de log para alertar sobre eventos em seu aplicativo

  • 4 minutos

Você pode usar o Azure Monitor para capturar informações importantes dos arquivos de log. Aplicativos, sistemas operacionais, outro hardware ou serviços do Azure podem criar esses arquivos de log.

Como arquiteto de soluções, você deseja explorar as maneiras pelas quais o monitoramento dos dados de log pode detectar problemas antes que se tornem problemas para seus clientes. Você sabe que o Azure Monitor dá suporte ao uso de dados de log.

Nessa unidade, você entenderá como o uso dos dados de log pode melhorar a resiliência do sistema.

Quando usar alertas de pesquisa de logs

Os alertas de pesquisa de logs usam dados de logs para avaliar a lógica de regra e, se necessário, disparar um alerta. Esses dados pode ter como origem qualquer recurso do Azure: logs do servidor, logs do servidor de aplicativos ou logs de aplicativos.

Por natureza, os dados de log são históricos e, portanto, o uso é mais concentrado na análise e nas tendências.

Use esses tipos de logs para avaliar se um de seus servidores excedeu a utilização da CPU por determinado limite durante os últimos 30 minutos. Ou você pode avaliar os códigos de resposta emitidos no servidor de aplicativos Web ao longo da última hora.

Como funcionam os alertas de pesquisa de logs

Os alertas de log se comportam de maneira ligeiramente diferente de outros mecanismos de alerta. A primeira parte de um alerta de log define a regra de pesquisa de logs. A regra define a frequência com que ela deve ser executada, o período em avaliação e a consulta a executar.

Quando uma pesquisa de log é avaliada como positiva, ela cria um registro de alerta e dispara as ações associadas.

Composição das regras de pesquisa de logs

Cada alerta de pesquisa de logs tem uma regra de pesquisa associada à seguinte composição:

  • Consulta de log: Consulta que é executada sempre que a regra de alerta é acionada.
  • Período: O intervalo de tempo da consulta.
  • Frequência: informa a frequência de execução da consulta.
  • Limite: Ponto de gatilho para que um alerta seja criado.

Os resultados da pesquisa de logs são de dois tipos: número de registros ou medição métrica.

Número de registros

Considere usar o tipo de número de registros da pesquisa de logs ao trabalhar com um evento ou dados controlados por eventos. Os exemplos são as respostas do syslog e do aplicativo Web.

Esse tipo de pesquisa de logs retorna um único alerta quando o número de registros em um resultado da pesquisa atinge ou excede o valor do número de registros (limite). Por exemplo, quando o limite da regra de pesquisa é superior ou igual a cinco, os resultados da consulta precisam retornar cinco ou mais linhas de dados antes que o alerta seja disparado.

Medida de métrica

Os logs de medida de métrica oferecem a mesma funcionalidade básica que os logs de alerta de métrica.

Ao contrário dos logs de pesquisa de número de registros, os logs de medida de métrica exigem a definição de critérios adicionais:

  • Função de agregação: O cálculo a ser feito em relação aos dados do resultado. Como exemplo, a contagem ou média. O resultado da função é chamado de AggregatedValue.
  • Campo Grupo: Indica como o resultado deve ser agrupado. Esse critério é usado com o valor agregado. Por exemplo, você pode especificar que deseja obter a média agrupada por computador.
  • Intervalo: o intervalo de tempo pelo qual os dados são agregados. Por exemplo, se você especificar 10 minutos, um registro de alerta será criado para cada bloco agregado de 10 minutos.
  • Limite: um ponto definido por um valor agregado e pelo número total de violações.

Considere usar esse tipo de alerta quando precisar adicionar um nível de tolerância aos resultados encontrados. Um uso desse tipo de alerta é responder se uma tendência ou um padrão específico foi encontrado. Por exemplo, se o número de violações for cinco e qualquer servidor em seu grupo exceder 85% de utilização da CPU mais de cinco vezes ao invés de um determinado tempo, um alerta será disparado.

Como você pode ver, as medidas de métrica reduzem muito o volume de alertas produzidos. Mesmo assim, tenha muita atenção ao definir os parâmetros de limite para evitar a perda de alertas críticos.

Natureza sem estado dos alertas de pesquisa de logs

Uma das principais considerações ao avaliar o uso de alertas de log é que eles são sem estado (os alertas de log com estado estão atualmente em versão prévia). Um alerta de logs sem estado irá gerar novos alertas sempre que os critérios de regra forem disparados, independentemente de o alerta ter sido registrado anteriormente.