Använda loggsökningsaviseringar för att avisera om händelser i ditt program

  • 4 minuter

Du kan använda Azure Monitor för att samla in viktig information från loggfiler. Program, operativsystem, annan maskinvara eller Azure-tjänster kan skapa dessa loggfiler.

Som lösningsarkitekt vill du utforska hur övervakning av loggdata kan identifiera problem innan de blir problem för dina kunder. Du vet att Azure Monitor har stöd för användning av loggdata.

I den här lektionen förstår du hur användning av loggdata kan förbättra motståndskraften i systemet.

När du ska använda loggsökningsaviseringar

Loggsökningsaviseringar använder loggdata för att utvärdera regellogik och vid behov utlösa en avisering. Dessa data kan komma från alla Azure-resurser från serverloggar, programserverloggar eller programloggar.

Loggdata är till sin natur historiska, så användningen fokuserar på analys och trender.

Du kan använda dessa typer av loggar för att utvärdera om någon av dina servrar överskred sin CPU-användning med ett visst tröskelvärde under de senaste 30 minuterna. Eller så kan du utvärdera svarskoder som utfärdats på webbprogramservern under den senaste timmen.

Så här fungerar loggsökningsaviseringar

Loggsökningsaviseringar fungerar på ett något annorlunda sätt än andra aviseringsmekanismer. Den första delen av en loggsökningsavisering definierar loggsökningsregeln. Regeln definierar hur ofta den ska köras, vilket tidsperiod som utvärderas samt den fråga som ska köras.

När en loggsökning utvärderas som positiv skapar den en aviseringspost och utlöser eventuella associerade åtgärder.

Sammansättning för loggsökningsregler

Varje loggsökningsavisering har en associerad sökregel med följande sammansättning:

  • Loggfråga: Fråga som körs varje gång aviseringsregeln utlöses.
  • Tidsperiod: Tidsintervall för frågan.
  • Frekvens: Hur ofta frågan ska köras.
  • Tröskelvärde: Utlösarpunkt för en avisering som ska skapas.

Loggsökningsresultat är en av två typer: antal poster eller måttmätning.

Antal poster

Överväg att använda loggsökningstypen för antal poster när du arbetar med en händelse eller händelsedrivna data. Exempel är syslog- och webbappssvar.

Den här typen av loggsökning returnerar en enskild avisering när antalet poster i ett sökresultat uppnår eller överskrider värdet för antal poster (tröskelvärde). När tröskelvärdet för sökregeln till exempel är större än eller lika med fem måste frågeresultatet returnera fem eller fler rader med data innan aviseringen utlöses.

Måttmätning

Måttmätningsloggar har samma funktioner som måttaviseringsloggar.

Till skillnad från sökloggar för antal poster kräver måttmätningsloggar att ytterligare kriterier anges:

  • Mängdfunktion: Den beräkning som ska göras mot resultatdata. Det kan till exempel vara antal eller medelvärde. Resultatet av funktionen kallas AggregatedValue.
  • Gruppfält: Anger hur resultatet ska grupperas. Det här kriteriet används med det aggregerade värdet. Du kan till exempel välja att medelvärdet ska grupperas efter dator.
  • Intervall: Tidsintervallet med vilket data aggregeras. Om du till exempel anger 10 minuter skapas en aviseringspost för varje aggregerat block med 10 minuter.
  • Tröskelvärde: En punkt som definieras av ett aggregerat värde och det totala antalet överträdelser.

Du kan använda den här typen av avisering när du behöver lägga till en toleransnivå för de resultat som hittas. Ett användningssätt för den här typen av avisering är att svara om en viss trend eller ett visst mönster hittas. Om antalet överträdelser till exempel är fem och en server i gruppen överskrider 85 procent processoranvändning mer än fem gånger inom den angivna tidsperioden utlöses en avisering.

Måttmätningar minskar alltså avsevärt det antal aviseringar som skapas. Du måste dock vara noggrann när du anger tröskelvärdena för att undvika uteblivna kritiska aviseringar.

Tillståndslös typ av loggsökningsaviseringar

En av de viktigaste övervägandena när du utvärderar användningen av loggsökningsaviseringar är att de är tillståndslösa (tillståndskänsliga loggsökningsaviseringar är för närvarande i förhandsversion). En tillståndslös loggsökningsavisering genererar nya aviseringar varje gång regelvillkoren utlöses, oavsett om aviseringen har registrerats tidigare.