Usare gli avvisi del log per segnalare gli eventi nell'applicazione

Completato

È possibile usare Monitoraggio di Azure per acquisire informazioni importanti dai file di log. Questi file di log possono essere creati da applicazioni, sistemi operativi, altri componenti hardware o servizi di Azure.

I progettisti di soluzioni mirano a esplorare i modi in cui il monitoraggio dei dati dei log può rilevare i problemi prima che i clienti ne risentano. È noto che Monitoraggio di Azure supporta l'uso dei dati dei log.

In questa unità si comprenderà come l'uso dei dati dei log può migliorare la resilienza nel sistema.

Quando usare gli avvisi dei log

Gli avvisi dei log usano i dati dei log per valutare la logica della regola e, se necessario, attivare un avviso. Questi dati possono avere origine da qualsiasi risorsa di Azure, ad esempio i log del server, i log del server applicazioni o i log delle applicazioni.

Per natura, i dati dei log sono cronologici, quindi vengono usati per le analisi e le tendenze.

È possibile usare questi tipi di log per valutare se uno dei server ha superato una determinata soglia di utilizzo della CPU negli ultimi 30 minuti oppure è possibile valutare i codici di risposta generati nel server applicazioni Web nell'ultima ora.

Come funzionano gli avvisi di log

Gli avvisi di log si comportano in modo leggermente diverso rispetto ad altri meccanismi di avviso. La prima parte di un avviso di log definisce la regola di ricerca log. La regola definisce la frequenza con cui deve essere eseguita, il periodo di tempo soggetto a valutazione e la query da eseguire.

Quando una ricerca log restituisce un risultato positivo, crea un record di avviso e attiva le eventuali azioni associate.

Composizione delle regole di ricerca log

A ogni avviso di log è associata una regola di ricerca. La composizione di queste regole è la seguente:

  • Query di log: query eseguita ogni volta che viene attivata la regola di avviso
  • Periodo di tempo: intervallo di tempo per la query
  • Frequenza: la frequenza con cui deve essere eseguita la query
  • Soglia: punto di attivazione per la creazione di un avviso

I risultati della ricerca log sono di due tipi: numero di record o misure delle metriche.

Numero di record

È consigliabile usare il tipo di ricerca log basato su numero di record quando si lavora con un evento o con dati basati su eventi, Alcuni esempi sono syslog e le risposte di app Web.

Questo tipo di ricerca log restituisce un singolo avviso quando il numero di record in un risultato della ricerca raggiunge o supera il valore del numero di record (soglia). Se ad esempio la soglia per la regola di ricerca è maggiore o uguale a cinque, i risultati della query devono restituire cinque o più righe di dati prima che l'avviso venga attivato.

Misure delle metriche

I log di misurazione delle metriche offrono le stesse funzionalità di base dei log degli avvisi delle metriche.

A differenza dei log di ricerca basati su numero di record, quelli basati su misure delle metriche richiedono l'impostazione di criteri aggiuntivi:

  • Funzione di aggregazione: il calcolo che verrà eseguito sui dati dei risultati, ad esempio il conteggio o la media. Il risultato della funzione è definito AggregatedValue.
  • Campo gruppo: il campo in base al quale verrà raggruppato il risultato. Questo criterio viene usato insieme al valore aggregato. È ad esempio possibile specificare che si vuole raggruppare la media per computer.
  • Intervallo: l'intervallo di tempo in base al quale vengono aggregati i dati. Se ad esempio si specifica 10 minuti, viene creato un record di avviso per ogni blocco aggregato di 10 minuti.
  • Soglia: un punto definito da un valore aggregato e dal numero totale di violazioni.

È consigliabile usare questo tipo di avviso quando è necessario aggiungere un livello di tolleranza ai risultati trovati. Questo tipo di avviso viene usato, ad esempio, per rispondere se viene trovato un determinato modello o tendenza. Se ad esempio il numero di violazioni è cinque e un server del gruppo supera l'85% di utilizzo della CPU per più di cinque volte entro il periodo di tempo specificato, viene generato un avviso.

Come si può osservare, le misure delle metriche riducono notevolmente il volume degli avvisi generati. È tuttavia importante prestare attenzione quando si impostano i parametri soglia, per assicurarsi che vengano generati determinati avvisi critici.

Natura senza stato degli avvisi dei log

Una delle considerazioni principali quando si valuta l'uso degli avvisi di log è che sono senza stato (gli avvisi di log con stato sono attualmente in anteprima). Un avviso di log senza stato genera nuovi avvisi ogni volta che vengono attivati i criteri di una regola, indipendentemente dal fatto che l'avviso sia stato registrato in precedenza.