Verwenden von Benachrichtigungen der Protokollsuche zum Auslösen von Warnungen bei Ereignissen in Ihrer Anwendung

  • 4 Minuten

Sie können Azure Monitor zum Erfassen wichtiger Informationen aus Protokolldateien verwenden. Anwendungen, Betriebssysteme, andere Hardware oder Azure-Dienste können diese Protokolldateien erstellen.

Als Lösungsarchitekt möchten Sie die verschiedenen Vorgehensweisen zum Überwachen von Protokolldaten kennenlernen, um Probleme zu ermitteln, bevor sie Ihren Kunden zur Last fallen. Sie wissen, dass Azure Monitor die Verwendung von Protokolldaten unterstützt.

In dieser Lerneinheit erfahren Sie, wie Protokolldaten zur Verbesserung der Resilienz Ihres Systems verwendet werden können.

Gründe für die Verwendung von Warnungen zur Protokollsuche

Warnungen zur Protokollsuche nutzen Protokolldaten, um die Regellogik auszuwerten und bei Bedarf eine Warnung auszulösen. Diese Daten können aus einer beliebigen Azure-Ressource stammen, z. B. aus Serverprotokollen, Anwendungsserverprotokollen oder Anwendungsprotokollen.

Protokolldaten sind von Natur aus historisch, daher konzentriert sich die Nutzung auf Analysen und Trends.

Sie können diese Protokolltypen verwenden, um zu ermitteln, ob die CPU-Auslastung auf einem Ihrer Server in den letzten 30 Minuten einen festgelegten Schwellenwert überschritten hat. Alternativ können Sie die Antwortcodes auswerten, die in der letzten Stunde von Ihrem Webanwendungsserver ausgegeben wurden.

Funktionsweise von Warnungen zur Protokollsuche

Warnungen zur Protokollsuche verhalten sich etwas anders als andere Warnungsmechanismen. Der erste Teil einer Warnung zur Protokollsuche definiert die Protokollsuchregel. Die Regel definiert die Häufigkeit der Ausführung, den Zeitraum der Auswertung und die auszuführende Abfrage.

Wenn eine Protokollsuche als positiv ausgewertet wird, erstellt sie einen Warnungsdatensatz erstellt und löst die zugehörigen Aktionen aus.

Zusammensetzung von Protokollsuchregeln

Jede Warnung zur Protokollsuche verfügt über eine zugeordnete Suchregel mit der folgenden Zusammensetzung:

  • Protokollabfrage: Abfrage, die bei jeder Auslösung der Warnungsregel ausgeführt wird.
  • Zeitraum: Zeitraum für die Abfrage.
  • Häufigkeit: Häufigkeit der Ausführung der Abfrage.
  • Schwellenwert: Triggerpunkt, an dem eine Warnung erstellt werden soll.

Protokollsuchergebnisse weisen einen von zwei Typen auf: Anzahl von Datensätzen oder metrische Messung.

Anzahl von Datensätzen

Diesen Protokollsuchtyp sollten Sie verwenden, wenn Sie mit einem Ereignis oder mit ereignisgesteuerten Daten arbeiten. Beispiele hierfür sind Syslog- oder Web-App-Antworten.

Diese Art von Protokollsuche gibt eine einzelne Warnung zurück, wenn die Anzahl der Datensätze in einem Suchergebnis einen bestimmten Schwellenwert für die Anzahl an Datensätzen erreicht oder überschreitet. Wenn der Schwellenwert für die Suchregel beispielsweise größer als oder gleich fünf ist, müssen die Abfrageergebnisse fünf oder mehr Datenzeilen zurückgeben, damit die Warnung ausgelöst wird.

Metrische Maßeinheit

Protokolle vom Typ „Metrische Maßeinheit“ bieten dieselben grundlegenden Funktionen wie Metrikwarnungsprotokolle.

Im Gegensatz zu Protokollen vom Typ „Anzahl von Datensätzen“ erfordern Protokolle vom Typ „Metrische Maßeinheit“, dass weitere Kriterien festgelegt werden:

  • Aggregatfunktion: Die Berechnung, die für die Ergebnisdaten durchgeführt wird. Zum Beispiel „Anzahl“ oder „Durchschnitt“. Das Ergebnis der Funktion wird als AggregatedValue (aggregierter Wert) bezeichnet.
  • Gruppierungsfeld: Gibt an, wie das Ergebnis gruppiert werden sollte. Dieses Kriterium wird mit dem aggregierten Wert verwendet. Sie können beispielsweise festlegen, dass der Durchschnitt nach Computern gruppiert werden soll.
  • Intervall: Das Zeitintervall, nach dem die Daten aggregiert werden. Wenn Sie beispielsweise 10 Minuten festlegen, wird ein Warnungsdatensatz für jeden aggregierten Block von 10 Minuten erstellt.
  • Schwellenwert: Ein von einem aggregierten Wert und der Gesamtanzahl an Überschreitungen definierter Punkt.

Diese Art von Warnung sollten Sie verwenden, wenn Sie einen Toleranzgrad für die ermittelten Ergebnisse hinzufügen müssen. Ein Anwendungsfall für diesen Warnungstyp besteht darin, zu reagieren, wenn ein bestimmter Trend bzw. ein bestimmtes Muster ermittelt wird. Wenn die Anzahl an Verletzungen beispielsweise fünf ist und die CPU-Auslastung eines beliebigen Servers in Ihrer Gruppe mehr als fünfmal innerhalb des festgelegten Zeitraums 85 % überschreitet, wird eine Warnung ausgelöst.

Wie Sie sehen können, reduzieren metrische Maßeinheiten die Menge erzeugter Warnungen beträchtlich. Allerdings sollten Sie sich die Einstellung der Schwellenwertparameter sorgfältig überlegen, um keine kritischen Warnungen zu verpassen.

Zustandslose Art von Warnungen zur Protokollsuche

Einer der wichtigsten Faktoren beim Auswerten der Verwendung von Warnungen zur Protokollsuche besteht darin, dass sie zustandslos sind (zustandsbehaftete Warnungen zur Protokollsuche befinden sich derzeit in der Vorschauphase). Eine zustandslose Warnung zur Protokollsuche erzeugt bei jeder Auslösung der Regelkriterien neue Warnungen – unabhängig davon, ob die Warnung zuvor aufgezeichnet wurde.