Use alertas de pesquisa de log para alertar sobre eventos em seu aplicativo

  • 4 minutos

Pode utilizar o Azure Monitor para capturar informações importantes dos ficheiros de registo. Aplicativos, sistemas operacionais, outro hardware ou serviços do Azure podem criar esses arquivos de log.

Como arquiteto de soluções, você deseja explorar maneiras pelas quais o monitoramento de dados de log pode detetar problemas antes que eles se tornem problemas para seus clientes. Sabe que o Azure Monitor suporta a utilização de dados de registo.

Nesta unidade, você entende como o uso de dados de log pode melhorar a resiliência em seu sistema.

Quando usar alertas de pesquisa de log

Os alertas de pesquisa de log usam dados de log para avaliar a lógica da regra e, se necessário, disparar um alerta. Estes dados podem ser provenientes de qualquer recurso do Azure: registos de servidor, registos de aplicações de servidor ou registos de aplicações.

Por sua natureza, os dados de log são históricos, portanto, o uso é focado em análises e tendências.

Você pode usar esses tipos de logs para avaliar se algum dos seus servidores excedeu a utilização da CPU em um determinado limite durante os últimos 30 minutos. Ou, você pode avaliar os códigos de resposta emitidos em seu servidor de aplicativos Web na última hora.

Como funcionam os alertas de pesquisa de registo

Os alertas de pesquisa de registo comportam-se de uma forma ligeiramente diferente de outros mecanismos de alerta. A primeira parte de um alerta de pesquisa de log define a regra de pesquisa de log. A regra define com que frequência deve ser executada, o período de tempo sob avaliação e a consulta a ser executada.

Quando uma pesquisa de log é avaliada como positiva, ela cria um registro de alerta e dispara todas as ações associadas.

Composição de regras de pesquisa de registos

Cada alerta de pesquisa de log tem uma regra de pesquisa associada com a seguinte composição:

  • Consulta de log: consulta que é executada sempre que a regra de alerta é acionada.
  • Período de tempo: Intervalo de tempo para a consulta.
  • Frequência: com que frequência a consulta deve ser executada.
  • Limite: ponto de gatilho para a criação de um alerta.

Os resultados da pesquisa de log são de dois tipos: número de registros ou medição métrica.

Número de registos

Considere utilizar o tipo número de registos de pesquisa de registos quando estiver a trabalhar com um evento ou dados condicionados por eventos. Exemplos são syslog e respostas de aplicativos Web.

Este tipo de pesquisa de registos devolve um único alerta quando o número de registos num resultado de pesquisa atinge ou excede o valor do número de registos (limiar). Por exemplo, quando o limiar da regra de pesquisa for maior ou igual a cinco, os resultados da consulta têm de devolver cinco ou mais linhas de dados antes que o alerta seja acionado.

Medição de métrica

Os registos de medição de métrica oferecem a mesma funcionalidade básica que os registos de alerta de métrica.

Ao contrário dos logs de pesquisa de número de registros, os logs de medição métrica exigem que outros critérios sejam definidos:

  • Função agregada: O cálculo a ser feito em relação aos dados do resultado. Um exemplo é a contagem ou média. O resultado da função é denominado AggregatedValue.
  • Campo Grupo: indica como o resultado deve ser agrupado. Este critério é utilizado com o valor agregado. Por exemplo, pode especificar que pretende a média agrupada por computador.
  • Intervalo: o intervalo de tempo pelo qual os dados são agregados. Por exemplo, se especificar 10 minutos, um registo de alerta será criado para cada bloco agregado de 10 minutos.
  • Limiar: um ponto definido por um valor agregado e pelo número total de infrações.

Pondere a utilização deste tipo de alerta quando precisar de adicionar um nível de tolerância aos resultados encontrados. Uma utilização deste tipo de alerta é responder se uma tendência ou um padrão específico foi encontrado. Por exemplo, se o número de violações for cinco e qualquer servidor do seu grupo exceder 85% de utilização da CPU mais de cinco vezes dentro de um determinado período de tempo, um alerta será acionado.

Como pode ver, as medições de métricas reduzem muito o volume de alertas gerados. No entanto, tenha atenção ao definir os parâmetros de limiar para evitar ignorar alertas críticos.

Natureza apátrida dos alertas de pesquisa de log

Uma das principais considerações ao avaliar o uso de alertas de pesquisa de log é que eles são sem monitoração de estado (alertas de pesquisa de log com monitoração de estado estão atualmente em visualização). Um alerta de pesquisa de log sem monitoração de estado gera novos alertas sempre que os critérios da regra são acionados, independentemente de o alerta ter sido registrado anteriormente.