Använd loggaviseringar för att varna om händelser i ditt program

  • 4 minuter

Du kan använda Azure Monitor för att samla in viktig information från loggfiler. Program, operativsystem, annan maskinvara eller Azure-tjänster kan skapa dessa loggfiler.

Som lösningsarkitekt vill du utforska hur övervakning av loggdata kan identifiera problem innan de blir problem för dina kunder. Du vet att Azure Monitor har stöd för användning av loggdata.

I den här lektionen får du lära dig hur användning av loggdata kan förbättra motståndskraften i systemet.

När loggaviseringar bör användas

Loggaviseringar använder loggdata för att utvärdera regellogiken och vid behov utlösa en avisering. Dessa data kan komma från alla Azure-resurser från serverloggar, programserverloggar eller programloggar.

Loggdata är till sin natur historiska, så användningen fokuserar på analys och trender.

Du kan använda dessa typer av loggar för att utvärdera om någon av dina servrar har överskridit sin CPU-användning med ett visst tröskelvärde under de senaste 30 minuterna, eller så kan du utvärdera svarskoder som utfärdats på webbprogramservern under den senaste timmen.

Så funderar loggaviseringar

Loggaviseringar fungerar på ett något annat sätt än andra aviseringsmekanismer. Den första delen av en loggavisering definierar loggsökningsregeln. Regeln definierar hur ofta den ska köras, vilket tidsperiod som utvärderas samt den fråga som ska köras.

När en loggsökning utvärderas som positiv skapar den en aviseringspost och utlöser eventuella associerade åtgärder.

Sammansättning för loggsökningsregler

Varje loggavisering har en associerad sökregel. Sammansättningen av dessa regler är följande:

  • Loggfråga: Fråga som körs varje gång aviseringsregeln utlöses
  • Tidsperiod: Tidsintervall för frågan
  • Frekvens: Hur ofta frågan ska köras
  • Tröskelvärde: Utlösarpunkt för en avisering som ska skapas

Loggsökningsresultat är en av två typer: antal poster eller måttmätning.

Antal poster

Överväg att använda loggsökningstypen för antal poster när du arbetar med en händelse eller händelsedrivna data. Exempel är syslog- och webbappssvar.

Den här typen av loggsökning returnerar en enskild avisering när antalet poster i ett sökresultat uppnår eller överskrider värdet för antal poster (tröskelvärde). När tröskelvärdet för sökregeln till exempel är större än eller lika med fem måste frågeresultatet returnera fem eller fler rader med data innan aviseringen utlöses.

Måttmätning

Måttmätningsloggar har samma funktioner som måttaviseringsloggar.

Till skillnad från sökloggar för antal poster kräver måttmätningsloggar att ytterligare kriterier uppfylls:

  • Mängdfunktion: Den beräkning som ska göras mot resultatdata. Det kan till exempel vara antal eller medelvärde. Resultatet av funktionen kallas AggregatedValue.
  • Gruppfält: Ett fält som resultatet ska grupperas efter. Det här kriteriet används med det aggregerade värdet. Du kan till exempel välja att medelvärdet ska grupperas efter dator.
  • Intervall: Tidsintervallet med vilket data aggregeras. Om du till exempel anger 10 minuter skapas en aviseringspost för varje aggregerat block med 10 minuter.
  • Tröskelvärde: En punkt som definieras av ett aggregerat värde och det totala antalet överträdelser.

Du kan använda den här typen av avisering när du behöver lägga till en toleransnivå för de resultat som hittas. Ett användningssätt för den här typen av avisering är att svara om en viss trend eller ett visst mönster hittas. Om antalet överträdelser till exempel är fem och en server i gruppen överskrider 85 procent processoranvändning mer än fem gånger inom den angivna tidsperioden utlöses en avisering.

Måttmätningar minskar alltså avsevärt det antal aviseringar som skapas. Du måste dock vara noggrann när du anger tröskelvärdena för att undvika uteblivna kritiska aviseringar.

Loggaviseringars tillståndslösa egenskap

En av de viktigaste övervägandena när du utvärderar användningen av loggaviseringar är att de är tillståndslösa (tillståndskänsliga loggaviseringar är för närvarande i förhandsversion). En tillståndslös loggavisering genererar nya aviseringar varje gång regelvillkoren utlöses, oavsett om aviseringen har registrerats tidigare.