Usar alertas de log para alertar sobre eventos em seu aplicativo
Você pode usar o Azure Monitor para capturar informações importantes dos arquivos de log. Aplicativos, sistemas operacionais, outro hardware ou serviços do Azure podem criar esses arquivos de log.
Como arquiteto de soluções, você deseja explorar as maneiras pelas quais o monitoramento dos dados de log pode detectar problemas antes que se tornem problemas para seus clientes. Você sabe que o Azure Monitor dá suporte ao uso de dados de log.
Nesta unidade, você entenderá como o uso dos dados de log pode melhorar a resiliência do sistema.
Quando usar alertas de log
Os alertas de log usam dados de logs para avaliar a lógica de regra e, se necessário, disparar um alerta. Esses dados pode ter como origem qualquer recurso do Azure: logs do servidor, logs do servidor de aplicativos ou logs de aplicativos.
Por natureza, os dados de log são históricos e, portanto, o uso é mais concentrado na análise e nas tendências.
Você pode usar esses tipos de logs para avaliar se algum dos servidores excedeu a utilização da CPU por um determinado limite durante os últimos 30 minutos ou avaliar os códigos de resposta emitidos no servidor de aplicativos Web na última hora.
Como funcionam os alertas de log
Os alertas de log se comportam de maneira ligeiramente diferente de outros mecanismos de alerta. A primeira parte de um alerta de log define a regra de pesquisa de logs. A regra define a frequência com que ela deve ser executada, o período em avaliação e a consulta a executar.
Quando uma pesquisa de log é avaliada como positiva, ela cria um registro de alerta e dispara as ações associadas.
Composição das regras de pesquisa de logs
Cada alerta de log tem uma regra de pesquisa associada. A composição dessas regras é a seguinte:
- Consulta de registro: a consulta executada toda vez que a regra de alerta é acionada
- Período: intervalo de tempo para a consulta
- Frequência: com que frequência a consulta deve ser executada
- Limite: ponto de disparo para que um alerta seja criado
Os resultados da pesquisa de logs são de dois tipos: número de registros ou medição métrica.
Número de registros
Considere usar o tipo de número de registros da pesquisa de logs ao trabalhar com um evento ou dados controlados por eventos. Os exemplos são as respostas do syslog e do aplicativo Web.
Esse tipo de pesquisa de logs retorna um único alerta quando o número de registros em um resultado da pesquisa atinge ou excede o valor do número de registros (limite). Por exemplo, quando o limite da regra de pesquisa é superior ou igual a cinco, os resultados da consulta precisam retornar cinco ou mais linhas de dados antes que o alerta seja disparado.
Medida de métrica
Os logs de medida de métrica oferecem a mesma funcionalidade básica que os logs de alerta de métrica.
Ao contrário dos logs de pesquisa de número de registros, os logs de medida de métrica exigem a definição de critérios adicionais:
- Função de agregação: define o cálculo que será feito nos dados do resultado. Como exemplo, a contagem ou média. O resultado da função é chamado de AggregatedValue.
- Campo Grupo: um campo pelo qual o resultado será agrupado. Esse critério é usado com o valor agregado. Por exemplo, você pode especificar que deseja obter a média agrupada por computador.
- Intervalo: o intervalo de tempo pelo qual os dados são agregados. Por exemplo, se você especificar 10 minutos, um registro de alerta será criado para cada bloco agregado de 10 minutos.
- Limite: um ponto definido por um valor agregado e pelo número total de violações.
Considere usar esse tipo de alerta quando precisar adicionar um nível de tolerância aos resultados encontrados. Um uso desse tipo de alerta é responder se uma tendência ou um padrão específico foi encontrado. Por exemplo, se o número de violações for cinco e qualquer servidor em seu grupo exceder 85% de utilização da CPU mais de cinco vezes ao invés de um determinado tempo, um alerta será disparado.
Como você pode ver, as medidas de métrica reduzem muito o volume de alertas produzidos. Mesmo assim, tenha muita atenção ao definir os parâmetros de limite para evitar a perda de alertas críticos.
Natureza sem estado dos alertas de log
Uma das principais considerações ao avaliar o uso de alertas de log é que eles são sem estado (os alertas de log com estado estão atualmente em versão prévia). Um alerta de log sem estado gerará novos alertas sempre que os critérios de regra forem disparados, independentemente de o alerta ter sido gravado anteriormente.