Trace, Info, Warning, Error, Fatal — кто все эти люди..? / forpes.ru

Главная
Trace, Info, Warning, Error, Fatal — кто все эти люди..?

Trace, Info, Warning, Error, Fatal — кто все эти люди..?

01.03.2021 13:16

jackyodd 34 2400 Источник

Обычно библиотеки логгирования предлагают из коробки сразу несколько "уровней" важности, с которыми Вы можете записывать сообщения. В документации к ним можно найти рекомендации - как лучше этими уровнями пользоваться, примерно такие:

Info: все ожидаемые события, учет которых запланирован.
Warning: неожиданные/подозрительные события - иначе говоря аномалии, после которых еще возможно продолжение работы приложения.
Error: событие, после которого невозможно дальнейшее выполнение программы.
Fatal: событие, требующее по-настоящему немедленного вмешательства.

Проблема в том, что это все не совсем работает без некоторых дополнительных соглашений и уточнений. Именно о них я и хотел бы поговорить ниже.

"Продолжить работу"

Трактовать “возможно продолжить работу” можно очень по разному. Скажем, на экране пользователя можно настроить любимый цвет рамки вокруг экрана: пусть будет розовый. Если по каким-то причинам хранилище, где мы держим эти настройки цвета было недоступно и мы не можем отобразить этот цвет - можно ли это считать как “возможно продолжить” или это катастрофа? К сожалению, я еще ни разу не встречал хорошего универсального формального критерия, чтобы четко можно было разделять "катастрофа-терпимо". А раз не можешь остановить - значит нужно направить. Потому я предлагаю инвертировать споры об “это неправильный уровень”: если в коде написано, что отсутствие цвета - это Error - значит программист Вам говорит, что этот цвет чертовски важен в этом домене - возможно, именно этот цвет сигнализирует, что сейчас надо продавать акции на миллионы долларов, и наоборот. Соответственно, чтение кода немного меняется: когда видите место, где из-за какой-то на Ваш взгляд ерунды прерывается выполнение, вопрос, который должен возникать автору, “Почему ты считаешь, что это так важно?” вместо “Истинно тебе говорю - ты программируешь неправильно!”.

Схожая инверсия может помочь в вечных спорах на тему “это исключительная ситуация или нет”. Опять же, все довольно просто. Важна не техническая составляющая: “нет соединения к базе - это исключение”, а “серверу прислали неправильный id - так это ожидаемо”. Важно то, чья это будет головная боль и как ее можно избежать или хотя бы минимизировать урон. Чьи планы на вечер пятницы пойдут к черту из-за того, что это сломалось? Если Вашим сервисом пользуются приложения, которые вне Вашего контроля, то Вам действительно плевать на то, что они присылают некорректные id и у них там что-то идет не так. Если Ваше приложение - это инструмент для управления базой данный - наподобие Sql Server Magement Studio - очевидно, что отсутствие доступа к базе - не Ваша печаль. А если Вашим сервисом пользуются приложения, за которые Вы же и в ответе - то это Ваши неприятности в конечном счете. Вопрос лишь в том, как и когда Вы об этом узнаете - быстро из сработавшей сигнализации или от звонка злого как черт владельца бизнеса, которому Вы пишете софт. А также вопрос в том, как “дешево, надежно и сердито” эту сигнализацию наладить.

"Error"

Давайте представим себе экран, где есть кнопка “Открыть” и текстовое поле. Эта кнопка по замыслу должна открыть Вам какой-то полезный функционал, а в текстовом поле предполагается ввести имя и фамилию. После нажатия на кнопку принципиально возможны два сценария: приложение либо крэшится либо нет. Если же мы были удачливы и оно не упало, у нас опять два варианта: мы получили желанный экран или мы получили сообщение об ошибке вместо него. Сообщение об ошибке в свою очередь можно принципиально разделить еще на два класса: может ли пользователь сам исправить ситуацию в рамках программы или нет - имеется ввиду корректирование своего ввода, а не “обратиться к Вашему системному администратору”.

Жаль, что нет комикса о том, как программист ловит льва в пустыне - он здесь был бы очень уместен

На практике сообщение вида “Обратитесь к администратору” это просто подслащенные крэш. Да, несомненно это лучше, чем убить весь процесс со всеми пользовательскими данными, но от этого оно не перестает фактически блокировать работу. В тоже время ошибка может быть сообщением о неправильных с точки зрения программы действиях, а именно надо было ввести имя и фамилию “Джон Иванов”, а человек ввел просто “Джон” и валидатору это не нравится. К чему это все? Что вообще у нас тут речь идет о 3-х достаточно разных сущностях, но при том на каждую из них можно сослаться как Error, что вызывает изрядную путаницу. Крэш приложения - это несомненно уровень Error в нашей системе определений, но это очень важный Error.

Ошибка валидации имя-фамилии - это несомненно уровень Info - мы ждем, что пользователь будет норовить записать все что угодно, а мы - пресекать это. Ну и записывать все те разы, когда пользователь был неправ. Но от этого ошибки не перестают бесить людей, которые их видят. То, что напрямую связано с людьми и их UX - важно; и неплохо бы присматривать за этим, не допускать, чтобы сообщения об этом тонули в километрах унылых Info записей “Пользователь такой-то залогинился”. Иными словами, чтобы устранить путаницу, хочется иметь уровни Error+ и Info+.

Я предвижу восклицания “Так погодите, ведь крэш приложения - это недопустимо! Надо сразу действовать! Это Fatal уровень!" На это я неспеша прикурю воображаемую сигарету, затянусь и задумчиво отвечу: “Ну… всех ведь все равно не спасти...". Ладно, я не курю, но, думаю, образ понятен. Появление сообщения Fatal должно быть эквивалентом запуска тревоги воздушной угрозы, когда в офисе разработки врубается сирена и это жуткое красное аварийное освещение. Вот честно, Вы именно так реагируете на то, что у кого-то из бухгалтерии на экране, который раз в сто лет запускают, упало приложение? Вполне может быть нормально, что у Вас сейчас даже и нет подобной ситуации, где уровень Fatal - согласно такой системы определений - нужен. Так вот трюк в том, чтобы не блокировать возможность добавить обработку такой потенциальной ситуации в будущем, забивая сейчас Fatal уровень сообщениями, которым важностьError+ в самый раз.

Таким образом, мы приходим к тому, что в действительности неплохо бы иметь уровни вида

Info Info+ Warning Error Error+ Fatal

“Плюсовые” уровни можно легко организовать в Вашей любимой библиотеке логгирования расширив ее существующие методы Error/Info, которые бы просто унифицировано добавляли какой-то хэштэг в обычные сообщения, скажем #IMPORTANT.

Что ж - это все, что я хотел сказать об ошибках и их логгировании. Буду рад, если этот текст добавит разработчикам больше взаимопонимания и уменьшит споры о том, как "правильно".

Комментарии (34)

fkthat
01.03.2021 16:31
#22750352
Вот честно, Вы именно так реагируете на то, что у кого-то из бухгалтерии на экране, который раз в сто лет запускают, упало приложение?
Вообще-то в многопользователских приложениях (а лично я разрабатываю именно их) всё точно так и есть — падение приложения это как раз всеобщая тревога с красными сиренами.
1. jackyodd Автор
  01.03.2021 16:53
  #22750442
  это отлично — это говорит о высоком качестве Вашего приложения, но также существуют продукты/команды, где крэш это «нужно будет глянуть, что там», особенно когда разовый и трудновоспроизводимый
  1. fkthat
    01.03.2021 18:55
    #22751022
    это отлично — это говорит о высоком качестве Вашего приложения
    Да вовсе нет, просто в случае многопользовательского приложения (тот же веб) падение всего приложения в целом влияет сразу на много людей, так что тут надо сразу меры принимать. Например, в дотнетовской документации MS по LogLevel про уровень Critical так и сказано:
    
    Logs that describe an unrecoverable application or system crash, or a catastrophic failure that requires immediate attention.
    
    jackyodd Автор
    01.03.2021 19:10
    #22751098
    А если крэша не будет, но всем этим людям будет показываться красивое сообщение об ошибке «Приложение не работает — обратитесь к администратору» и работу они делать свою не могут — это окей? Можно не спешить?
    
    fkthat
    01.03.2021 19:32
    #22751184
    Ну я ведь нигде и не говорил, что Fatal (Critical) это только полный крэш и трэш.
    
    jackyodd Автор
    01.03.2021 20:08
    #22751318
    Так. И из этого тогда вроде как получается, что в Вашем проекте даже сообщение об ошибке (не крэш) являются чрезвычайным событием, на которое следует мгновенная реакция команды разработки, которая все бросает и чинит эту проблему. И если Вы можете позволить себе это — т.е. успеваете полностью закрыть причину той ошибки раньше, чем появится новая аналогичная — то это круто, серьезно. Если это так — то в вашем бэклоге сейчас не должно сейчас быть ни единой жалобы от пользователя вроде «Была вот такая ошибка — хотел воспользоваться этой фичей так, как ни одному человеку в голову не придет — почините пжл». А если Вы начинаете выделять «ожидаемые ошибки» как уровень Error — то не кажется ли это странным, что запись об ожидаемом событии имеет более высокий приоритет, чем запись Warning — для неожиданных?
    
    fkthat
    01.03.2021 20:40
    #22751440
    Да совсем нет. К примеру, допустим, ошибка возникает при запросе к БД. Если это ошибка из-за того, что сервер БД упал — то это явный critical (нарушена работа всего приложения и надо срочно сервер БД перезапускать). Если это ошибка из-за того, что, например, разработчики в коде опечатались в имени таблицы, то это error (принципиальная ошибка, но, которая затрагивает только отделный сценарий или сценарии, а не все приложение в целом). А если ошибка вызвана тем, что пользователь ввел некоректные данные, а мы не предусмотрели их проверить и отправить человеческий ответ, то это, скорее, уже просто warning. В общем-то, между error и warning граница достаточно размытая, но с critical, по-моему, все достаточно очевидно.
    
    jackyodd Автор
    01.03.2021 22:13
    #22751758
    Вы точно читали сам текст? Потому что он как бы и есть о том, как уйти от проблемы размытости этих уровней засчет переноса точки зрения с сугубо технических деталей проблемы на реакцию людей на нее. Даже пример с БД есть. Если сервер БД, который упал, находится в ведении вообще другой компании-хостера — и Вы сами не можете с ним сделать ни че го — какова же будет Ваша реакция на такой critical — прям вот не покинете офис, пока бестолочи там не соизволят его наконец поднять?
    
    fkthat
    01.03.2021 22:19
    #22751798
    Как какая реакция — звонить тому, чей сервер БД, и делать ему мозг, пока не исправит. И, да, если приложение, которое мне деньги делает, полностью лежит для всех клиентов, то в бар бухать я точно не пойду, пока его обратно не поднимут.
    
    jackyodd Автор
    01.03.2021 22:35
    #22751872
    Но Вы же понимаете, что это не единственная возможная схема взаимоотношений? Приложение может делать деньги, но не Вам. Контракт на хостинг БД не с вами, а с компанией, которой Вы продаете услуги разработки. В этом и есть суть описанной идеи — в Вашем сценарии это действительно разумно делать критикал — вы теряете деньги. Но как-то глуповато сидеть и ждать, пока кто-то поднимет упавший сервер, от чего Вам ни холодно ни жарко в рамках существующих договоренностей.
    p.s. И честно говоря, я не вижу разницы, из-за чего терять деньги — из-за упавшей БД или опечатке в коде, чтобы иметь для них разные уровни.

eisaev
01.03.2021 16:47
#22750420
А варианты из RFC5424 (Table 2. Syslog Message Severities) совсем не подходят? Вроде вполне сносно выглядят?
```
           Numerical         Severity
             Code

              0       Emergency: system is unusable
              1       Alert: action must be taken immediately
              2       Critical: critical conditions
              3       Error: error conditions
              4       Warning: warning conditions
              5       Notice: normal but significant condition
              6       Informational: informational messages
              7       Debug: debug-level messages
```
1. jackyodd Автор
  01.03.2021 16:55
  #22750458
  +1
  как думаете, если у 10 человек спросить, какой уровень выше — Emergency или Critical — все расположат их в правильной очередности без бумажки?
  1. eisaev
    01.03.2021 17:19
    #22750586
    Если не вспомнит, то есть куда посмотреть. Не стоит думать, что именно ваша схема запомнится всем именно так как её запомнили вы. Но у вашей схемы пока есть один недостаток: если запамятовал, то среди стандартов её не найдёшь.
1. event1
  01.03.2021 17:11
  #22750542
  их многовато. Я лично пользуюсь 4-мя: debug, info, warning и error. Видимо для сообщений требующих немедленной реакции (у меня таких не бывает) нужен ещё один выше error, например emergency.
  Эти уровни придумали вместе с протоколом syslog в 80-е и получилось неидеально. Пока писал, глянул на logging в питоне. Там сделано так же, как я описал выше
  1. eisaev
    01.03.2021 17:25
    #22750624
    RFC5424 датирован мартом 2009, но конкретно severity он полностью копирует из RFC3164 от августа 2001. Сами значения конечно же появились ещё раньше, до стандартизации. Возможно стандарт требует переработки, но здесь главное, чтоб не получилось 15 конкурирующих стандартов из того комикса :)
    
    event1
    01.03.2021 17:59
    #22750822
    но здесь главное, чтоб не получилось 15 конкурирующих стандартов
    
    Боюсь, что уже поздно: java.util.logging.Level, python logging levels, встроенный пакет логирования Go вообще не поддерживает уровней. С другой стороны, все эти реализации живут строго внутри соответствующих экосистем, так что большой беды от этого нет. А если учесть, что для пересылки по сети они, таки, переводятся в syslog, то избыточность уровней в стандарте — это даже и не плохо

gsaw
01.03.2021 17:02
#22750488
Error в логе это локальный error, не обязательно глобальный, что бы всех на уши ставить. Если библиотека для чтения конфига не может прочитать, то, что вы ей передали в качестве параметра, то она вполне себе может сказать "error: не читается файл такой то", вероятно в самом приложении это детектится и используются настройки по умолчанию, в этом случае приложение может сказать дополнительно "warn: использую настройки по умолчанию". Если не нравится ошибка в библиотеке, то в приложении надо проверить предварительно, есть ли файл с конфигурацией и читаем ли он. Тогда останется только warn приложения. Я по крайней мере таким принципом пользуюсь и не мучаюсь.

lair
01.03.2021 17:53
#22750792
Буду рад, если этот текст добавит разработчикам больше взаимопонимания и уменьшит споры о том, как "правильно".
Да нет, теперь у нас просто будет еще один вариант "как кто-то думает, что правильно".

У меня вот правило про Fatal четкое: все, что привело к падению или остановке приложения (а у нас честное такое многопользовательское приложение) — это (и только это) Fatal.
1. jackyodd Автор
  01.03.2021 18:04
  #22750844
  Вы говорите это так, словно это противоречит чему-то написанному в тексте. Если Вы выдерживаете такой уровень качества, что остановка приложения — это практические невероятное событие — я искренне жму Вам руку. Но статья ведь о том, что механическое придание максимального уровня важности событию, которое происходит регулярно, бессмысленно.
  1. lair
    01.03.2021 18:06
    #22750852
    Но статья ведь о том, что механическое придание максимального уровня важности событию, которое происходит регулярно, бессмысленно.
    Ну вот именно потому, что для вас это бессмысленно, а для меня — нет, и продолжатся споры, какой уровень чему ставить.
    
    jackyodd Автор
    01.03.2021 18:09
    #22750868
    мне кажется, у меня нет с Вами спора. В вашем приложении уровень качества настолько высок, что падения приложения — это редкое исключительное явление. Потому Вы можете себе позволить трактовать его, как критическое на Вашем проекте. Чем не могут похвастаться все другие проекты.
    
    lair
    01.03.2021 18:11
    #22750870
    Чем не могут похвастаться все другие проекты.
    Спор как раз в том, что вы думаете, что они себе этого не могут позволить, а они думают, что могут. И объективного способа этот спор разрешить нет.
    
    jackyodd Автор
    01.03.2021 18:15
    #22750882
    +1
    а по мне — есть. и он очень простой — если реакция на событие «бросить текущую работу и переключиться немедленно на проблему» — это действительно критично. Если этого не происходит — значит не так уж оно и важно, чтобы там в логах не было написано.
    
    lair
    01.03.2021 18:24
    #22750904
    Если этого не происходит — значит не так уж оно и важно, чтобы там в логах не было написано.
    Вот именно потому, что не важно, что в логах написано, можно писать Fatal.
    
    Вы просто почему-то думаете, что Fatal — это все бросили и немедленно переключились. А я думаю, что Fatal — это пользователь не может пользоваться приложением. А вот надо ли бросать и переключаться — это уже не ко мне, а к тем, с кем SLA заключен.
    
    jackyodd Автор
    01.03.2021 18:48
    #22751000
    Что ж, если решение про «надо бросать и переключаться» или «не надо» — это не к Вам — это многое объясняет. Возможно, когда именно Вам надо будет решать, кому куда переключаться, Вы взглянете на это по другому.
    
    lair
    01.03.2021 19:02
    #22751048
    Возможно, когда именно Вам надо будет решать, кому куда переключаться, Вы взглянете на это по другому.
    Вот именно потому, что ответ зависит от того, с какой позиции мы смотрим на вопрос, я и говорю, что объективного ответа нет.

mm3
01.03.2021 22:29
#22751844
+1
В моём представлении уровни должны выставляться в следующих случаях:
Fatal — ситуация при которой приложение не может продолжать работу и должно быть немедленно остановлено.
Error — ситуация которая не должна была случиться в приложении, требует анализа и должна быть исправлена рано или поздно, в идеале в логе не должно быть ни одной ошибки.
Warning — ситуация которая может потребовать особого внимания, но при этом не является тем, что необходимо исправлять.
Info — минимально необходимая информация необходимая для анализа текущего состояния нормально работающего приложения.
Debug — подробная информация необходимая для отладки приложения, запись обычно включается только на время отладки приложения.
Trace — полное логирование всех входящих и исходящих сообщений в приложении, запись обычно включается только на время отладки приложения.
1. jackyodd Автор
  02.03.2021 13:22
  #22753798
  в Вашей системе уведомление о разовой ситуации сбоя, когда пользователь не смог загрузить условный отчет о продажах — увидел экран смерти, затем тупо обновил страницу, загрузил со второй попытки да и забыл, будет выглядеть точно так же, как с пользователем, у которого Вы списали только что сотню баксов с банковской карты, но система слегла на записи в базу факта оплаты. Мой опыт говорит о том, что такие ситуации имеет смысл различать — уж больно разные реакции у людей на эти ситуации, потребовавшие «немедленной остановки приложения».
  1. mm3
    02.03.2021 19:03
    #22755790
    И то и другое ошибки. И то и другое должно быть исправлено рано или поздно. Различаются они критичностью компоненты/модуля/сервиса/программы. Соответственно и мониторинг, оповещения и время реагирования настраивается в зависимости от важности компоненты/модуля/сервиса, а не от уровня ошибки в этом компоненте или сервисе.
    
    jackyodd Автор
    03.03.2021 11:06
    #22758366
    Ну да — выбора то не остается в таком случае. Дополнительная отстройка по модулям/компонентам Вам доступна при любой системе записи ошибок. Смотрите, ведь я не хочу сказать никаким образом, что с Вашим подходом что-то не так. Если все упростить, то статья о том, как используя одномерную структуру {Debug ... Critical} добиться того же самого эффекта в плане информирования/реагирования, что и Вы — используя двумерную {Debug... Critical, Component}. Причем цена вопроса с одномерной — нулевая — всего лишь за счет смещения «спектра» значений на одну ступеньку вниз и того факта, что сбои в критичных модулях сами по себе настолько важны, что уже сам уровень ошибки внутри это модуля теряет значение, потому им можно пренебречь.
    
    lair
    03.03.2021 11:19
    #22758430
    Проблема "одномерной" структуры в том, что она фиксирована. Вы не можете поменять приоритет реагирования на проблему в тот момент, когда система перешла из стейджинга в прод, скажем. А так вы просто настраиваете, что Critical в стейджинге идет в емейл, а в проде — на пейджер.
    
    jackyodd Автор
    03.03.2021 12:19
    #22758826
    не совсем понял возможно. но то, что Вы описываете, я делаю простым конфигурированием для стейджа и прод. На стейдже в конфиге все в target="Email", на проде условно minLevel='critical' target = "Пейджер" minLevel='warning' maxLevel='error' target= "НеПейджер". (Я в основном по .NET, потому под «target» имеется ввиду target от Nlog бибилиотеки, для Serilog это 'sink' и т.д.)
    
    lair
    03.03.2021 12:40
    #22758972
    В этот момент этот конфиг и стал вторым измерением.
    
    jackyodd Автор
    03.03.2021 15:20
    #22759918
    в этом конфиге нет ничего о втором измерении { ..., Component}, о котором речь идет в моем комментарии. Если хотите считать среду за измерение — ну окей, в будет 2d структура {Уровень, Среда} вместо трехмерной {Уровень, Среда, Компонент}.