Utiliser des alertes de recherche dans les journaux pour alerter sur des événements de votre application

  • 4 minutes

Vous pouvez utiliser Azure Monitor pour capturer des informations importantes provenant des fichiers journaux. Les applications, les systèmes d'exploitation, d'autres matériels ou les services Azure peuvent créer ces fichiers journaux.

En tant qu’architecte de solutions, vous souhaitez découvrir comment la supervision des données de journalisation peut permettre de détecter les problèmes avant qu’ils n’affectent vos clients. Vous savez qu’Azure Monitor prend en charge l’utilisation des données de journalisation.

Cette leçon vous aide à comprendre comment l’utilisation de données de journal peut améliorer la résilience de votre système.

Dans quel cas utiliser les alertes de recherche dans les journaux

Les alertes de recherche dans les journaux utilisent les données de journal pour évaluer la logique de la règle et, si nécessaire, déclencher une alerte. Ces données peut provenir de n’importe quelle ressource Azure, qu’il s’agisse de journaux du serveur, de journaux du serveur d’applications ou de journaux des applications.

Par nature, les données de journal sont historiques. Leur utilisation est donc axée sur l’analytique et les tendances.

Vous pouvez utiliser ces types de journaux pour déterminer si l’un de vos serveurs a dépassé un seuil spécifique d’utilisation du processeur au cours des 30 dernières minutes. Vous pouvez également évaluer les codes de réponse émis sur votre serveur d’applications web au cours de la dernière heure.

Comment fonctionnent les alertes de recherche dans les journaux

Les alertes de recherche dans les journaux se comportent d'une manière légèrement différente des autres mécanismes d'alerte. La première partie de cette alerte définit la règle de recherche dans les journaux. La règle définit la fréquence de son exécution, la période à évaluer et la requête à exécuter.

Lorsqu'une recherche dans le journal est jugée positive, elle crée un enregistrement d'alerte et déclenche les actions associées.

Composition des règles de recherche dans les journaux

Chaque alerte de recherche dans les journaux comporte une règle de recherche associée avec la composition suivante :

  • Requête de journal : requête qui s’exécute chaque fois que la règle d’alerte se déclenche.
  • Période : intervalle de temps pour la requête.
  • Fréquence : fréquence d’exécution de la requête.
  • Seuil : point de déclenchement pour la création d’une alerte.

Les résultats de la recherche dans les journaux sont de deux types : nombre d’enregistrements ou mesure de métriques.

Nombre d’enregistrements

Utilisez ce type de recherche dans les journaux pour un événement ou pour des données basées sur un événement. Les réponses provenant de syslog ou d’applications web en sont des exemples.

Ce type de recherche dans les journaux retourne une seule alerte quand le nombre d’enregistrements d’un résultat de la recherche atteint ou dépasse le nombre d’enregistrements (seuil). Par exemple, quand le seuil de la règle de recherche est supérieur ou égal à cinq, les résultats de la requête doivent retourner au moins cinq lignes de données pour que l’alerte se déclenche.

Mesure de métriques

Les journaux de mesure de métriques offrent les mêmes fonctionnalités de base que les journaux d’alertes de métriques.

Contrairement aux journaux de recherche basés sur le nombre d’enregistrements, les journaux de mesure de métriques nécessitent la définition de critères supplémentaires :

  • Fonction d’agrégation : définit le calcul qui doit être effectué sur les données de résultat. Par exemple, le nombre ou la moyenne. Le résultat de la fonction se nomme AggregatedValue.
  • Champ de groupe : indique comment le résultat doit être regroupé. Ce critère est utilisé avec la valeur agrégée. Par exemple, vous pouvez spécifier une moyenne regroupée par ordinateur.
  • Intervalle : intervalle de temps pendant lequel les données sont agrégées. Par exemple, si vous spécifiez 10 minutes, un enregistrement d’alerte est créé pour chaque bloc agrégé de 10 minutes.
  • Seuil : point défini par une valeur agrégée et le nombre total de violations.

Utilisez ce type d’alerte quand vous devez ajouter un niveau de tolérance aux résultats trouvés. Ce type d’alerte est utilisé notamment pour envoyer une réponse en cas de détection d’une tendance ou d’un modèle particulier. Par exemple, si le nombre de violations est de cinq et qu'un serveur de votre groupe dépasse 85 % d'utilisation du processeur plus de cinq fois au cours de la période donnée, une alerte est déclenchée.

Comme vous pouvez le constater, les mesures de métriques réduisent considérablement le volume des alertes générées. Il convient toutefois d’accorder une attention particulière à la définition des paramètres de seuil pour éviter de rater les alertes critiques.

Nature sans état des alertes de recherche dans les journaux

L’une des principales considérations à prendre en compte durant l’évaluation de l’utilisation des alertes de recherche dans les journaux est qu’elles sont sans état (les alertes de recherche dans les journaux avec état sont actuellement en préversion). Une alerte sans état de recherche dans les journaux génère de nouvelles alertes chaque fois que les critères de la règle se déclenchent, que l’alerte ait été enregistrée précédemment ou non.