Veröffentlicht: 29. November 2023
Mitwirkende: Chrystal R. China, Michael Goodwin
Bei der API-Überwachung handelt es sich um den Prozess der Beobachtung der Leistung, Verfügbarkeit und Funktionalität von Unternehmens- Programmierschnittstellen (APIs).
Genauer gesagt umfasst die API-Überwachung die Bewertung von API-Antworten in der Produktion, um sicherzustellen, dass sie den Leistungsmaßstäben eines Unternehmens entsprechen, und die Benachrichtigung der entsprechenden Parteien, wenn etwas schief geht. Da Unternehmen zunehmend auf digitalisierte IT-Infrastrukturen umsteigen, ist eine reibungslose Konnektivität zwischen Parteien und Systemen von größter Bedeutung. Hier kommen APIs ins Spiel.
APIs sind die Bausteine der meisten Mobil- und Webanwendungen und die Datenorchestrierung für die verschiedenen Prozesse, Protokolle und Anwendungen, aus denen die meisten IT-Ökosysteme bestehen. Sie erleichtern die Kommunikation zwischen Anwendungen – und zwischen Anwendungen sowie Kunden – und ermöglichen die nahtlose Integration verschiedener Dienste.
Mehr als 75 % der Unternehmen geben an, pro bereitgestellter App (im Durchschnitt) 26 APIs zu verwenden.1 Und mehr als ein Drittel gibt an, dass alle ihre Anwendungen APIs verwenden, eine Zahl, die in den kommenden Jahren auf mehr als 50 % ansteigen soll.1
Vor diesem Hintergrund ist die API-Performance für die meisten Unternehmen ein echtes Problem. Wenn sie nicht ordnungsgemäß verwaltet werden, können kompromittierte oder veraltete APIs das Endbenutzererlebnis und die allgemeine Funktionalität von Anwendungen sowie das Geschäftsergebnis erheblich beeinträchtigen. Wachsame API-Überwachungspraktiken können Unternehmen dabei helfen, Probleme mit der API-Leistung und -Funktionalität umgehend zu beheben, bevor sie zu Störungen (oder sogar zu einer Katastrophe) führen.
Holen Sie sich eine Demo von IBM Instana Observability und erfahren Sie, wie Sie in wenigen Minuten eine umfassende Observability und Überwachung erreichen können.
IBM Newsletter abonnieren
Heutige APIs können komplexe Integrationsprozesse für Systeme, Anwendungen und Microservices erleichtern, aber selbst die fortschrittlichsten APIs erfordern von den Teams die Implementierung strenger Überwachungspraktiken. Glücklicherweise gibt es zahlreiche API-Überwachungsstrategien, die dazu beitragen können, die langfristige Effizienz und Effektivität von Unternehmens-APIs zu sichern.
Die Überwachung der Betriebszeit pingt einen API-Endpunkt (d. h. den Ort des API-Datenaustauschs) in regelmäßigen Abständen an, um sicherzustellen, dass er erreichbar und reaktionsfähig (d. h. „aktiv“) ist. Wenn die API nicht reagiert oder zu lange braucht, um zu antworten, sendet das System eine Warnung.
Zu den API-Metriken für die Verfügbarkeitsüberwachung gehören der Verfügbarkeitsprozentsatz (der Anteil der Zeit, in der auf eine API zugegriffen werden kann) und die Ausfalldauer (die Dauer, in der auf eine API nicht zugegriffen werden kann). Es ist nicht ungewöhnlich, dass in Service Level Agreements (SLAs) die geforderte Betriebszeit in Prozent angegeben wird. Oft wird eine Betriebszeit von 99,9 Prozent („drei Neunen“) oder höher verlangt.
Die Leistungsüberwachung quantifiziert, wie schnell und zuverlässig eine API auf Anfragen reagiert, und hilft dabei, Ineffizienzen, Netzwerkprobleme und Serverüberlastungen zu erkennen. Die Leistung wird in der Regel anhand von Kennzahlen wie Antwortzeit (wie lange eine API benötigt, um Anfragen/Aufrufe zu verarbeiten und zu beantworten), Latenz (die Zeit, die benötigt wird, um eine Anfrage vom Absender an den Empfänger zu übertragen) und Durchsatz (die Anzahl der pro Zeiteinheit verarbeiteten Anfragen) gemessen. Durch die Leistungsüberwachung können auch Fehlerraten verfolgt werden, die den Prozentsatz der Anfragen angeben, die zu Fehlern führen.
Bei der synthetischen Überwachung handelt es sich um einen Prozess, der den Weg nachahmt, den ein Endbenutzer bei der Nutzung einer App einschlagen könnte. Mithilfe von Skripten werden u. a. Benutzerszenarien, Gerätetypen und geografische Standorte simuliert, um den Teams mitzuteilen, wie gut eine App funktioniert.
Wie bei der synthetischen Überwachung ermöglicht RUM Teams, detaillierte Daten zur App-Leistung und -Funktionalität anzuzeigen. Anstatt jedoch die Erfahrungen von simulierten Nutzern zu beobachten, werden die realen Erfahrungen von echten Nutzern beobachtet, was eine umfassende Beobachtung der Endnutzererfahrung ermöglicht und eine detailliertere Entscheidungsfindung erleichtert.
Die Validierungsüberwachung bewertet, ob sich eine API wie erwartet verhält, indem Testskripte gesendet werden, um die korrekten API-Antworten, Datenformate und Statuscodes zu überprüfen, und dass Systemaufrufe die entsprechenden Daten zurückgeben. Die Validierungsüberwachung ist besonders nützlich, um Probleme mit mehrstufigen Prozessen oder der zugrunde liegenden Logik oder Datenverarbeitung einer API zu identifizieren.
Ungefähr 35 % der Unternehmen hatten im letzten Jahr mindestens einen API-Sicherheitsvorfall , und mehr als die Hälfte berichtet von mehreren Vorfällen.1 Da APIs Daten der Außenwelt zugänglich machen, gehören sie zu den wahrscheinlichsten Zielen für Cyberangriffe.
Die Sicherheitsüberwachung konzentriert sich auf die Absicherung von APIs gegen böswillige Angriffe bösartiger Akteure, indem Praktiken wie die Verfolgung erfolgloser Anmeldeversuche, das Scannen nach Anomalien in API-Aufrufmustern und die Überprüfung auf Datenverletzungen implementiert werden. Bei der Sicherheitsüberwachung werden häufig Verschlüsselungs-, Validierungs- und Authentifizierungsprotokolle (z. B. OAuth 2,0, API-Schlüssel, JSON-Schema-Validierung usw.) verwendet, um sicherzustellen, dass nur autorisierte Benutzer auf API-Daten zugreifen können. Diese Systeme sorgen auch für eine sichere Datenübertragung zwischen Frontend- und Backend-Systemen und schützen vor Cyberbedrohungen wie Hacks, Datendiebstahl und DDoS-Angriffen.
Apps wie Slack und andere App- und Webdienste sind in der Regel sowohl auf verwaltete APIs als auch auf APIs von Drittanbietern angewiesen, was zu Problemen bei der Datenübertragung führen kann. Die Integrationsüberwachung befasst sich mit solchen Problemen, indem sie die Interaktionen zwischen einer API und den anderen Anwendungen und Systemen, mit denen sie kommuniziert, testet, um sicherzustellen, dass alle Teile eines Systems wie erwartet zusammenarbeiten, und um Probleme an den Schnittstellen zwischen Systemen zu erkennen. Diese Art der Überwachung ist besonders nützlich für die Arbeit innerhalb einer Microservices-Architektur, in der mehrere unabhängige Dienste über APIs interagieren.
APIs, insbesondere solche, die in der Medizin- und Finanzbranche eingesetzt werden, übertragen häufig sensible Benutzer- und Unternehmensdaten, was die Notwendigkeit von Compliance-Überwachungsprozessen erhöht.
Die Compliance-Überwachung stellt sicher, dass eine API relevante Datenschutzstandards (wie HIPAA), branchenspezifische Standards (wie PCI DSS für die Zahlungsabwicklung) und sogar interne Unternehmensstandards einhält. Teams können unter anderem Datenverarbeitungspraktiken, Verschlüsselungsstandards und Zugriffskontrollmechanismen verfolgen, um die Einhaltung gesetzlicher Vorschriften und das Vertrauen der Kunden aufrechtzuerhalten.
APIs entwickeln sich im Laufe der Zeit weiter, fügen neue Funktionen hinzu, entfernen alte und ändern die Funktionsweise bestimmter Funktionen. Wenn diese Änderungen eintreten, ist es wichtig, den Übergang zu überwachen, damit Anwendungen, die auf die API angewiesen sind, nicht durch Updates negativ beeinflusst werden. Mithilfe der Versionsüberwachung können Teams API-Änderungen im Laufe der Zeit verfolgen, typischerweise durch Überprüfung jeder neuen Versionsveröffentlichung.
Die Überwachung der Versionsverwaltung kann den Vergleich von Funktionen zwischen Versionen, die Nachverfolgung der Akzeptanzraten einer neuen API-Version, die Überwachung von Fehlerraten im Zusammenhang mit eingestellten Funktionen und die Nachverfolgung der API-Nutzung über Versionen einer App hinweg umfassen. Diese Art der Überwachung ist hilfreich bei der Identifizierung von Problemen, die bei Änderungen der API-Struktur oder -Funktionalität auftreten, und kann zukünftige Änderungen an der API beeinflussen.
Unabhängig vom Ansatz sollten Teams die Echtzeitüberwachung priorisieren, um sofortiges Feedback zur Anwendungsleistung zu erhalten und Probleme zu beheben, bevor sie Serviceausfälle für Benutzer und Partner erstellen. Ein zusätzlicher Vorteil ist, dass die Echtzeitüberwachung häufig durch Dashboards und Statusseiten visualisiert wird, die sofortige Einblicke liefern und Systemwarnungen automatisieren können – beides wichtige Prozesse für die Verwaltung von Hochverfügbarkeit oder kritischen Workflows.
APIs sind der Klebstoff, der moderne Anwendungsarchitekturen und Automatisierungsworkflows zusammenhält. Wenn sie in einem guten Zustand sind, kann eine IT-Infrastruktur schneller und agiler werden. Um einen effektiven und umfassenden API-Überwachungsprozess zu implementieren, können DevOps- und Sicherheitsteams:
Vor der Einrichtung von Überwachungsprotokollen sollten Teams klare Ziele festlegen. Das bedeutet, KPIs für Aspekte wie Verfügbarkeit, Antwortzeit, Durchsatz und Fehlerraten zu definieren. Natürlich sollten KPIs mit den umfassenderen Unternehmenszielen und Verbraucherbedürfnissen übereinstimmen.
Angesichts der Weite einiger API-Netzwerke ist es ein Kinderspiel, sich auf API-Monitoring-Tools zu verlassen. Fortschrittliche API-Data-Observability-Plattformen (wie Postman, Datadog und IBM Instana Observability) können den Überwachungsprozess automatisieren sowie rationalisieren, indem sie Funktionen wie HTTP-Schlüsselwortprüfungen und DNS-Serverüberwachung verwenden. Berücksichtigen Sie bei der Bewertung von Überwachungsdiensten deren Funktionen, Benutzerfreundlichkeit, Tech-Stack-Kompatibilität und Kosten, um eine gute Anpassung zu gewährleisten.
Dieser Prozess variiert je nach Monitoring-Tools, umfasst aber im Allgemeinen drei Hauptaufgaben: das Einrichten von Endpunkten, das Definieren von API-Tests und das Planen der Überwachung.
Beim Einrichten von Endpunkten müssen Teams die URL des API-Endpunkts, den HTTP-Antwortcode und alle erforderlichen Header oder Parameter angeben, damit das Überwachungstool weiß, wo und wie Testskripts ausgeführt werden sollen. Wie der Ausdruck schon sagt, handelt es sich beim Definieren von Tests um den Prozess der Konfiguration der Tests, die Überwachungstools ausführen, um die API-Leistung zu validieren. Beim Festlegen eines Überwachungsplans muss das Team lediglich entscheiden, wie oft das Tool die ausgewählten Tests ausführt.
Warnungen sind ein wichtiger Bestandteil jedes Überwachungssystems, da sie sofortige Benachrichtigungen über Systemprobleme bereitstellen und es Teams ermöglichen, Probleme zu beheben, bevor sie sich auf die Benutzer auswirken. Die meisten Überwachungstools ermöglichen es Benutzern, Warnungen basierend auf verschiedenen Bedingungen zu konfigurieren, z. B. wenn die API-Antwortzeit einen bestimmten Schwellenwert überschreitet oder wenn eine bestimmte Anzahl von Fehlern innerhalb eines bestimmten Zeitrahmens auftritt.
APIs entwickeln sich weiter, daher ist es wichtig, die API-Leistungsdaten und -Einblicke regelmäßig zu überprüfen, um sicherzustellen, dass die Überwachungsprotokolle noch relevant sind. Suchen Sie nach Trends und Mustern in historischen Daten, die möglicherweise auf zugrunde liegende Probleme hinweisen. Wenn beispielsweise die Antwortzeit einer API zu bestimmten Zeiten konstant hoch ist, könnte dies ein Hinweis darauf sein, dass zu diesen Zeiten mehr Ressourcen benötigt werden.
- Automatisierte, vordefinierte Überwachungspläne. Teams können vollständig automatisierte API-Testskripte in regelmäßigen Abständen mit minimaler täglicher Wartung über den gesamten API-Lebenszyklus hinweg ausführen.
- Globalisierte Testfunktionen. Teams können Endpunkte auf der ganzen Welt testen, um das Ausmaß von Problemen und Fehlern zu verstehen.
- Erhöhte Datentransparenz. Teams sehen Überwachungsdaten sowohl für die APIs, die sie verwalten, als auch für die APIs, die von einem Drittanbieter (z. B. einem Kreditkartenunternehmen) verwaltet werden.
- Sofortige Fehlerwarnungen. Teams erhalten sofortige Benachrichtigungen über Überwachungsplattformen, SMS, E-Mail oder andere Kanäle, wenn Probleme auftreten.
IBM Instana demokratisiert die Observability, indem es eine Lösung bereitstellt, die von allen genutzt werden kann, um die gewünschten Daten mit dem erforderlichen Kontext zu erhalten. Die Plattform wurde speziell für die Cloud entwickelt und ist technologieunabhängig. Sie liefert automatisch und kontinuierlich Daten mit hoher Genauigkeit (mit einer Granularität von 1 Sekunde und End-to-End-Traces) sowie den Kontext logischer und physischer Abhängigkeiten in den Bereichen Mobile, Web, Anwendungen und Infrastruktur.
Die API-Überwachung mit IBM Instana Observability ermöglicht es Ihnen, die Verfügbarkeit, Zuverlässigkeit und Leistung Ihrer APIs für eine nahtlose digitale Erfahrung sicherzustellen.
IBM wurde im Gartner Report 2023: Critical Capabilities for API Management als führend ausgezeichnet.
REST-APIs bieten eine flexible und einfache Möglichkeit, Anwendungen zu integrieren. Sie haben sich als die gängigste Methode zur Verbindung von Komponenten in Microservices-Architekturen herauskristallisiert.
Die Anwendungsmodernisierung bezieht sich in erster Linie auf die Umwandlung von monolithischen Legacy-Anwendungen in Cloud-Anwendungen, die auf einer Microservices-Architektur aufbauen.