Verwenden von Protokollwarnungen zum Auslösen von Warnungen bei Ereignissen in Ihrer Anwendung

  • 4 Minuten

Sie können Azure Monitor zum Erfassen wichtiger Informationen aus Protokolldateien verwenden. Anwendungen, Betriebssysteme, andere Hardware oder Azure-Dienste können diese Protokolldateien erstellen.

Als Lösungsarchitekt möchten Sie die verschiedenen Vorgehensweisen zum Überwachen von Protokolldaten kennenlernen, um Probleme zu ermitteln, bevor sie Ihren Kunden zur Last fallen. Sie wissen, dass Azure Monitor die Verwendung von Protokolldaten unterstützt.

In dieser Lerneinheit erfahren Sie, wie Protokolldaten zur Verbesserung der Resilienz Ihres Systems verwendet werden können.

Wann Protokollwarnungen verwendet werden

Protokollwarnungen nutzen Protokolldaten, um die Regellogik auszuwerten und bei Bedarf eine Warnung auszulösen. Diese Daten können aus einer beliebigen Azure-Ressource stammen, z. B. aus Serverprotokollen, Anwendungsserverprotokollen oder Anwendungsprotokollen.

Protokolldaten sind von Natur aus historisch, daher konzentriert sich die Nutzung auf Analysen und Trends.

Anhand dieser Arten von Protokollen können Sie bewerten, ob einer Ihrer Server seine CPU-Auslastung während der letzten 30 Minuten um einen bestimmten Schwellenwert überschritten hat, oder Sie können Antwortcodes auswerten, die in der letzten Stunde auf Ihrem Webanwendungsserver ausgegeben wurden.

Funktionsweise von Protokollwarnungen

Protokollwarnungen verhalten sich etwas anders als andere Warnungsmechanismen. Der erste Teil einer Protokollwarnung definiert die Protokollsuchregel. Die Regel definiert die Häufigkeit der Ausführung, den Zeitraum der Auswertung und die auszuführende Abfrage.

Wenn eine Protokollsuche als positiv ausgewertet wird, erstellt sie einen Warnungsdatensatz erstellt und löst die zugehörigen Aktionen aus.

Zusammensetzung von Protokollsuchregeln

Jeder Protokollwarnung ist eine Suchregel zugeordnet. Diese Regeln setzen sich wie folgt zusammen:

  • Protokollabfrage: Abfrage, die bei jeder Auslösung der Warnungsregel ausgeführt wird
  • Zeitraum: Zeitraum für die Abfrage
  • Häufigkeit: Wie oft die Abfrage ausgeführt werden soll
  • Schwellenwert: Triggerpunkt, an dem eine Warnung erstellt werden soll

Protokollsuchergebnisse weisen einen von zwei Typen auf: Anzahl von Datensätzen oder metrische Messung.

Anzahl von Datensätzen

Diesen Protokollsuchtyp sollten Sie verwenden, wenn Sie mit einem Ereignis oder mit ereignisgesteuerten Daten arbeiten. Beispiele hierfür sind Syslog- oder Web-App-Antworten.

Diese Art von Protokollsuche gibt eine einzelne Warnung zurück, wenn die Anzahl der Datensätze in einem Suchergebnis einen bestimmten Schwellenwert für die Anzahl an Datensätzen erreicht oder überschreitet. Wenn der Schwellenwert für die Suchregel beispielsweise größer als oder gleich fünf ist, müssen die Abfrageergebnisse fünf oder mehr Datenzeilen zurückgeben, damit die Warnung ausgelöst wird.

Metrische Maßeinheit

Protokolle vom Typ „Metrische Maßeinheit“ bieten dieselben grundlegenden Funktionen wie Metrikwarnungsprotokolle.

Im Gegensatz zu Protokollen vom Typ „Anzahl von Datensätzen“ erfordern Protokolle vom Typ „Metrische Maßeinheit“, dass zusätzliche Kriterien festgelegt werden:

  • Aggregatfunktion: Die Berechnung, die für die Ergebnisdaten durchgeführt wird. Zum Beispiel „Anzahl“ oder „Durchschnitt“. Das Ergebnis der Funktion wird als AggregatedValue (aggregierter Wert) bezeichnet.
  • Gruppierungsfeld: Ein Feld, nach dem das Ergebnis gruppiert wird. Dieses Kriterium wird mit dem aggregierten Wert verwendet. Sie können beispielsweise festlegen, dass der Durchschnitt nach Computern gruppiert werden soll.
  • Intervall: Das Zeitintervall, nach dem die Daten aggregiert werden. Wenn Sie beispielsweise 10 Minuten festlegen, wird ein Warnungsdatensatz für jeden aggregierten Block von 10 Minuten erstellt.
  • Schwellenwert: Ein von einem aggregierten Wert und der Gesamtanzahl an Überschreitungen definierter Punkt.

Diese Art von Warnung sollten Sie verwenden, wenn Sie einen Toleranzgrad für die ermittelten Ergebnisse hinzufügen müssen. Ein Anwendungsfall für diesen Warnungstyp besteht darin, zu reagieren, wenn ein bestimmter Trend bzw. ein bestimmtes Muster ermittelt wird. Wenn die Anzahl an Verletzungen beispielsweise fünf ist und die CPU-Auslastung eines beliebigen Servers in Ihrer Gruppe mehr als fünfmal innerhalb des festgelegten Zeitraums 85 % überschreitet, wird eine Warnung ausgelöst.

Wie Sie sehen können, reduzieren metrische Maßeinheiten die Menge erzeugter Warnungen beträchtlich. Allerdings sollten Sie sich die Einstellung der Schwellenwertparameter sorgfältig überlegen, um keine kritischen Warnungen zu verpassen.

Zustandslosigkeit von Protokollwarnungen

Einer der wichtigsten Faktoren beim Auswerten der Verwendung von Protokollwarnungen besteht darin, dass sie zustandslos sind (zustandsbehaftete Protokollwarnungen befinden sich derzeit in der Vorschauphase). Eine zustandslose Protokollwarnung erzeugt bei jeder Auslösung der Regelkriterien neue Warnungen – unabhängig davon, ob die Warnung zuvor aufgezeichnet wurde.