Verwenden Sie Protokollsuchwarnungen, um bei Ereignissen in Ihrer Anwendung Alarmmeldungen auszulösen.

  • 4 Minuten

Sie können Azure Monitor zum Erfassen wichtiger Informationen aus Protokolldateien verwenden. Anwendungen, Betriebssysteme, andere Hardware oder Azure-Dienste können diese Protokolldateien erstellen.

Als Lösungsarchitekt möchten Sie die verschiedenen Vorgehensweisen zum Überwachen von Protokolldaten kennenlernen, um Probleme zu ermitteln, bevor sie Ihren Kunden zur Last fallen. Sie wissen, dass Azure Monitor die Verwendung von Protokolldaten unterstützt.

In dieser Lerneinheit erfahren Sie, wie Protokolldaten zur Verbesserung der Resilienz Ihres Systems verwendet werden können.

Wann man Warnungen zur Protokollsuche verwenden sollte

Warnungen zur Protokollsuche nutzen Protokolldaten, um die Regellogik auszuwerten und bei Bedarf eine Warnung auszulösen. Diese Daten können aus einer beliebigen Azure-Ressource stammen, z. B. aus Serverprotokollen, Anwendungsserverprotokollen oder Anwendungsprotokollen.

Protokolldaten sind von Natur aus historisch, daher konzentriert sich die Nutzung auf Analysen und Trends.

Sie können diese Protokolltypen verwenden, um zu ermitteln, ob die CPU-Auslastung auf einem Ihrer Server in den letzten 30 Minuten einen festgelegten Schwellenwert überschritten hat. Alternativ können Sie die Antwortcodes auswerten, die in der letzten Stunde von Ihrem Webanwendungsserver ausgegeben wurden.

Funktionsweise von Protokollsuchmeldungen

Warnungen zur Protokollsuche verhalten sich etwas anders als andere Warnungsmechanismen. Der erste Teil einer Warnung zur Protokollsuche definiert die Protokollsuchregel. Die Regel definiert die Häufigkeit der Ausführung, den Zeitraum der Auswertung und die auszuführende Abfrage.

Wenn eine Protokollsuche als positiv ausgewertet wird, erstellt sie einen Alarmdatensatz und löst die zugehörigen Aktionen aus.

Zusammensetzung von Protokollsuchregeln

Jede Warnung zur Protokollsuche verfügt über eine zugeordnete Suchregel mit der folgenden Zusammensetzung:

  • Protokollabfrage: Abfrage, die bei jeder Auslösung der Warnungsregel ausgeführt wird.
  • Zeitraum: Zeitraum für die Abfrage.
  • Häufigkeit: Häufigkeit der Ausführung der Abfrage.
  • Schwellenwert: Triggerpunkt, an dem eine Warnung erstellt werden soll.

Protokollsuchergebnisse weisen einen von zwei Typen auf: Anzahl von Datensätzen oder metrische Messung.

Anzahl von Datensätzen

Überlegen Sie, den Protokollsuchtyp "Anzahl der Einträge" zu verwenden, wenn Sie mit einem Ereignis oder mit ereignisgesteuerten Daten arbeiten. Beispiele hierfür sind Syslog- oder Web-App-Antworten.

Diese Art von Protokollsuche gibt eine einzelne Warnung zurück, wenn die Anzahl der Datensätze in einem Suchergebnis einen bestimmten Schwellenwert für die Anzahl an Datensätzen erreicht oder überschreitet. Wenn der Schwellenwert für die Suchregel beispielsweise größer als oder gleich fünf ist, müssen die Abfrageergebnisse fünf oder mehr Datenzeilen zurückgeben, damit die Warnung ausgelöst wird.

Metrische Maßeinheit

Messprotokolle bieten dieselben Grundfunktionen wie Metrikwarnungsprotokolle.

Im Gegensatz zu Protokollen vom Typ „Anzahl von Datensätzen“ erfordern Protokolle vom Typ „Metrische Maßeinheit“, dass weitere Kriterien festgelegt werden:

  • Aggregatfunktion: Die Berechnung, die für die Ergebnisdaten durchgeführt wird. Zum Beispiel „Anzahl“ oder „Durchschnitt“. Das Ergebnis der Funktion wird als AggregatedValue (aggregierter Wert) bezeichnet.
  • Gruppierungsfeld: Gibt an, wie das Ergebnis gruppiert werden sollte. Dieses Kriterium wird mit dem aggregierten Wert verwendet. Sie können beispielsweise festlegen, dass der Durchschnitt nach Computern gruppiert werden soll.
  • Intervall: Das Zeitintervall, nach dem die Daten aggregiert werden. Wenn Sie beispielsweise 10 Minuten festlegen, wird ein Warnungsdatensatz für jeden aggregierten Block von 10 Minuten erstellt.
  • Schwellenwert: Ein von einem aggregierten Wert und der Gesamtanzahl an Überschreitungen definierter Punkt.

Diese Art von Warnung sollten Sie verwenden, wenn Sie einen Toleranzgrad für die ermittelten Ergebnisse hinzufügen müssen. Ein Anwendungsfall für diesen Warnungstyp besteht darin, zu reagieren, wenn ein bestimmter Trend bzw. ein bestimmtes Muster ermittelt wird. Wenn die Anzahl an Verletzungen beispielsweise fünf ist und die CPU-Auslastung eines beliebigen Servers in Ihrer Gruppe mehr als fünfmal innerhalb des festgelegten Zeitraums 85 % überschreitet, wird eine Warnung ausgelöst.

Wie Sie sehen können, reduzieren metrische Maßeinheiten die Menge erzeugter Warnungen beträchtlich. Allerdings sollten Sie sich die Einstellung der Schwellenwertparameter sorgfältig überlegen, um keine kritischen Warnungen zu verpassen.

Protokollieren von Suchwarnungen und -status

Benachrichtigungen können statusbehaftet oder statusfrei sein. Zustandslose Warnungen werden jedes Mal ausgelöst, wenn die Bedingung erfüllt ist. Dies gilt auch, wenn sie bereits zuvor ausgelöst wurden. Zustandsbehaftete Warnungen werden ausgelöst, wenn die Bedingungen der Regel erfüllt sind. Sie werden nicht noch einmal ausgelöst und lösen keine weiteren Aktionen aus, bis die Bedingungen aufgelöst sind.