使用記錄搜尋警示來警示應用程式中的事件

  • 4 分鐘

您可以使用 Azure 監視器來擷取記錄檔中的重要資訊。 應用程式、作業系統、其他硬體或 Azure 服務可以建立這些記錄檔。

身為解決方案架構師,您希望探索監視記錄資料可以在問題成為客戶的問題之前偵測到它們的方式。 您知道 Azure 監視器支援使用記錄資料。

在此單元中,您將了解如何使用記錄資料來改善系統中的復原能力。

使用記錄搜尋警示的時機

記錄搜尋警示使用記錄資料來評定規則邏輯,並在必要時觸發警示。 此資料可以來自任何 Azure 資源:伺服器記錄、應用程式伺服器記錄或應用程式記錄。

記錄資料在本質上是歷史資料,因此在使用上著重於分析和趨勢。

您可以使用這些類型的記錄來評定在過去 30 分鐘內,是否有任何伺服器超過指定閾值的 CPU 使用率。 或者,您可以評估在過去一小時內 Web 應用程式伺服器上所發出的回應碼。

記錄搜尋警示的運作方式

記錄搜尋警示的運作方式與其他警示機制稍有不同。 記錄搜尋警示的第一個部分會定義記錄搜尋規則。 此規則會定義應該執行的頻率、進行評估的時段,以及要執行的查詢。

當記錄搜尋評估為正面時,它會建立警示記錄,並觸發任何相關聯的動作。

記錄搜尋規則的組成

每個記錄搜尋警示都有一個具有下列組合的相關聯搜尋規則:

  • 記錄查詢:每次引發警示規則都會執行的查詢。
  • 時間週期:查詢的時間範圍。
  • 頻率:應執行查詢的頻率。
  • 閾值:建立警示的觸發點。

記錄搜尋結果是下列兩種類型之一: 記錄數目公制度量單位

記錄數目

當您處理事件或事件驅動的資料時,請考慮使用記錄數目類型的記錄搜尋。 範例包括 syslog 與 Web 應用程式回應。

當搜尋結果中的記錄數目達到或超過記錄數目的值 (閾值) 時,此類型的記錄搜尋就會傳回單一警示。 例如,當搜尋規則的閾值大於或等於五時,查詢結果必須傳回五列以上的資料,警示才會觸發。

公制度量單位

計量測量記錄提供與計量警示記錄相同的基本功能。

與記錄數目的搜尋記錄不同,公制度量單位記錄需要進一步設定準則:

  • 彙總函式:針對結果資料進行的計算。 範例包括計數或平均值。 函式的結果稱為 AggregatedValue
  • 群組欄位:指出應該如何將結果分組。 此準則可與彙總值搭配使用。 例如,您可以指定希望平均值依電腦分組。
  • 間隔:用來彙總資料的時間間隔。 例如,如果您指定 10 分鐘,則系統會針對每 10 分鐘的彙總區塊,建立警示記錄。
  • 閾值:由彙總的值和違反次數總計所定義的點。

當您需要在找到的結果中加上容錯層級時,請考慮使用這種類型的警示。 此類型的警示用途之一,就是在找到特定趨勢或模式時回應。 例如,如果違反次數為五,而群組中的任何伺服器在指定時間週期內超過 85% 的 CPU 使用率多於五次,則會引發警示。

如您所見,公制度量單位會大幅減少已產生的警示數量。 設定閾值參數時仍必須謹慎考慮,以避免遺漏重要警示。

記錄搜尋警示的無狀態本質

評估記錄搜尋警示用法時的其中一個主要考慮是,這些警示均是無狀態 (具狀態記錄搜尋警示目前處於預覽狀態)。 不論先前是否已記錄警示,無狀態記錄搜尋警示都會在每次觸發規則準則時產生新的警示。