Hoe observability en slow query logs productie beschermen

Waarom productiefouten moeilijk vroeg te detecteren zijn

Productie “breekt” zelden in één dramatisch moment. Meestal degradeert het stilletjes: een paar requests beginnen te time‑outen, een achtergrondjob raakt achter, CPU kruipt omhoog, en klanten merken het als eerste—omdat je monitoring nog “groen” laat zien.

Fouten tonen symptomen, geen oorzaken

De gebruikersmelding is meestal vaag: “Het voelt traag.” Dat is een symptoom gedeeld door tientallen root causes—database lock-contentie, een nieuw query-plan, een ontbrekende index, een lawaaierige buur, een retry-storm, of een externe afhankelijkheid die intermitterend faalt.

Zonder goede zichtbaarheid gaan teams gissen:

• Is de vertraging globaal of beperkt tot één endpoint?
• Begon het na een deploy, een config-wijziging of een verkeerspiek?
• Is het de applicatie, de database of het netwerk ertussen?

Je dashboards zien niet wat gebruikers voelen

Veel teams monitoren gemiddelden (gemiddelde latency, gemiddelde CPU). Gemiddelden verbergen pijn. Een klein percentage zeer trage requests kan de ervaring verknallen terwijl de overall metrics ogenschijnlijk prima zijn. En als je alleen op “up/down” bewaakt, mis je de lange periode waarin het systeem technisch gezien up is maar praktisch onbruikbaar.

Observability + slow query logs: aanvullende signalen

Observability helpt je detecteren en in te zoomen waar het systeem degradeert (welke service, endpoint of afhankelijkheid). Slow query logs helpen je aantonen wat de database deed toen requests stilvielen (welke query, hoe lang die duurde en vaak wat voor werk het uitvoerde).

Deze gids blijft praktisch: hoe je eerder waarschuwingen krijgt, gebruikerslatency koppelt aan specifieke database-werkzaamheden, en issues veilig oplost—zonder te vertrouwen op vendor-specifieke beloftes.

Observability basics: metrics, logs en traces

Observability betekent dat je kunt begrijpen wat je systeem doet door naar de signalen te kijken die het produceert—zonder te hoeven raden of het lokaal te reproduceren. Het is het verschil tussen weten dat gebruikers vertraging ervaren en kunnen aanwijzen waar die vertraging plaatsvindt en waarom het begon.

De drie pijlers (en waar ze goed voor zijn)

Metrics zijn getallen in de tijd (CPU %, requestrate, errorrate, database-latency). Ze zijn snel te queryen en geweldig om trends en plotselinge spikes te zien.

Logs zijn gebeurtenisrecords met details (een foutmelding, de SQL-tekst, een user-ID, een timeout). Ze zijn het beste om uit te leggen wat er gebeurd is in mensleesbare vorm.

Traces volgen één request terwijl het door services en afhankelijkheden gaat (API → app → database → cache). Ze zijn ideaal om te beantwoorden waar tijd aan besteed werd en welke stap de vertraging veroorzaakte.

Een handig mentaal model: metrics vertellen je dat er iets mis is, traces laten zien waar, en logs vertellen je wat precies.

De vragen die goede observability moet kunnen beantwoorden

Een gezonde setup helpt je incidenten te beantwoorden met heldere antwoorden:

• Wat is stuk? (errors, timeouts, saturatie)
• Waar? (welk endpoint, service, dependency of query)
• Waarom nu? (een deploy, verkeersverandering, feature flag, data‑groei)

Monitoring vs. observability (een veelgemaakte verwarring)

Monitoring gaat meestal over voorgedefinieerde checks en alerts (“CPU \u003e 90%”). Observability gaat verder: het laat je onbekende, nieuwe foutmodi onderzoeken door signalen te slicen en te correleren (bijvoorbeeld alleen één klantsegment dat trage checkouts ervaart, gekoppeld aan een specifieke database-aanroep).

Die mogelijkheid om tijdens een incident nieuwe vragen te stellen is wat ruwe telemetry verandert in sneller, rustiger troubleshooting.

Wat slow query logs zijn en wat ze onthullen

Een slow query log is een gefocust record van database-operaties die een “trage” drempel overschreden. In tegenstelling tot algemene querylogging (die overweldigend kan zijn), belicht het de statements die waarschijnlijk gebruikerszichtbare latency en productie-incidenten veroorzaken.

Wat een slow query log typisch registreert

De meeste databases kunnen een vergelijkbare kernset velden vastleggen:

• De query (vaak de genormaliseerde SQL-tekst)
• Duur (totale tijd besteed, soms met een breakdown)
• Timestamps (wanneer gestart en beëindigd)
• Context zoals database/user, host, application name, rijen onderzocht/geretourneerd, en soms het query-plan of een plan-hash

Die context verandert “deze query was traag” in “deze query was traag voor deze service, vanuit deze connection pool, op dit exacte moment,” wat cruciaal is wanneer meerdere apps dezelfde database delen.

Waarom trage queries optreden

Slow query logs gaan zelden alleen over “slechte SQL”. Het zijn signalen dat de database extra werk moest doen of vastzat in wachten. Veelvoorkomende oorzaken zijn:

• Ontbrekende of ineffectieve indexen, die full scans of dure joins forceren
• Slechte execution plans (vaak getriggerd door parameterwaarden, verouderde statistieken of plan-cache gedrag)
• Lock-waits en contentie, waarbij de query snel is als hij draait maar traag als hij wacht
• Load-spikes, waarbij een normaal werkende query traag wordt onder concurrency of I/O-druk

Een handig mentaal model: slow query logs vangen zowel werk (CPU/I/O-intensieve queries) als wachten (locks, verzadigde resources).

“Traag” definiëren: drempels en percentielen

Een enkele drempel (bijv. “log alles boven 500ms”) is simpel, maar kan pijn missen als typische latency veel lager is. Overweeg een combinatie:

• Een vaste drempel om echt slechte outliers te vangen
• Een percentiel-gebaseerde weergave (p95/p99) in je monitoring zodat je regressies ziet, ook als absolute tijden “ok” lijken

Dit houdt de slow query log bruikbaar terwijl je metrics trends zichtbaar maken.

Privacy-opmerking: voorkom het loggen van gevoelige waarden

Slow query logs kunnen per ongeluk persoonsgegevens vastleggen als parameters geïnlineerd worden (e‑mails, tokens, ID's). Geef de voorkeur aan geparametriseerde queries en instellingen die query-shapes loggen in plaats van ruwe waarden. Als het niet te vermijden is, voeg masking/redaction toe in je log‑pipeline voordat je logs opslaat of deelt tijdens incidentresponse.

Hoe trage queries in outages en gebruikerslatency veranderen

Een trage query blijft zelden “alleen maar traag.” De typische keten ziet er zo uit: gebruikerslatency → API-latency → database-druk → timeouts. De gebruiker voelt het eerst als pagina's die vastlopen of mobiele schermen die blijven draaien. Kort daarna tonen je API-metrics verhoogde response tijden, ook al is de applicatiecode niet veranderd.

Waarom databasepijn als een app‑probleem lijkt

Van buitenaf lijkt een trage database vaak op “de app is traag” omdat de API-thread geblokkeerd is in afwachting van de query. CPU en geheugen op de app-servers kunnen normaal lijken, terwijl p95 en p99 latency stijgen. Als je alleen naar app-level metrics kijkt, jaag je mogelijk de verkeerde verdachte na—HTTP handlers, caches of deploys—terwijl de echte bottleneck een enkele query‑planregressie is.

Hoe trage queries uitlopen op een outage

Zodra een query vertraagt, proberen systemen het op te vangen—en die mechanismen kunnen de fout versterken:

• Retries van clients of interne services vermenigvuldigen het verkeer en verhogen DB‑load.
• Connection pool exhaustion ontstaat doordat requests verbindingen langer vasthouden, waardoor nieuwe requests moeten wachten.
• Queue-ophoping vormt zich in job workers en message consumers als throughput daalt.
• Timeouts veroorzaken gedeeltelijke fouten, wat leidt tot meer retries en duplicaatwerk.

Een eenvoudig scenario

Stel je een checkout-endpoint voor dat SELECT ... FROM orders WHERE user_id = ? ORDER BY created_at DESC LIMIT 1 aanroept. Na een datapiek helpt de index niet meer genoeg en stijgt de querytijd van 20ms naar 800ms. Bij normaal verkeer is het vervelend. Tijdens piekverkeer stapelen API-requests zich op in afwachting van DB-verbindingen, time‑outen na 2 seconden en clients retryen. Binnen enkele minuten verandert een “kleine” trage query in zichtbare fouten en een volwaardig productie-incident.

De metrics die snel naar databasepijn wijzen

Wanneer een database begint te worstelen, tonen de eerste aanwijzingen zich meestal in een kleine set metrics. Het doel is niet alles bij te houden—maar een verandering snel op te merken en dan te isoleren waar het vandaan komt.

Begin met de golden signals

Deze vier signalen helpen je bepalen of je een database-issue, een applicatie-issue of beide ziet:

• Latency: stijgende p95/p99 requesttijd is vaak het vroegste klantzichtbare symptoom.
• Traffic: een verkeerspiek kan de oorzaak (meer load) of het gevolg (retries, thundering herds) zijn.
• Errors: let op timeouts, 5xx en database‑foutcodes.
• Saturation: een DB kan “up” zijn maar verzadigd—CPU, I/O, connection slots of lock‑contentie.

Kern database-metrics om te monitoren

Een paar DB-specifieke grafieken laten zien of de bottleneck in uitvoering, concurrency of storage zit:

• Query latency-distributie (niet alleen gemiddeld): zoek naar een zwaardere staart (p95/p99) en groeiende variantie.
• Connections en pool‑utilisatie: stijgende “actieve” verbindingen, wachtrijen in de pool of frequente pool‑exhaustion.
• Locks en wachtijd: lock-wait duur en deadlocks; die correleren vaak met plotselinge latency‑sprongen.
• Cache hit rate / buffer cache-efficiëntie: een daling kan betekenen dat je working set niet meer past, wat leidt tot meer schijfreads.

Service-level metrics die de DB impliceren

Koppel DB-metrics aan wat de service ervaart:

• Requestrate en timeouts (inclusief upstream-timeouts).
• p95/p99-latency per endpoint: één endpoint dat degradeert kan duiden op één querypatroon.
• Retry-rate: retries kunnen load versterken en de oorspronkelijke trigger verbergen.

Dashboards die de juiste vragen beantwoorden

Ontwerp dashboards om snel te beantwoorden:

• Is dit nieuw? Vergelijk met dezelfde tijd gisteren/de vorige week.
• Is het geïsoleerd? Eén endpoint, één tenant, één node, één AZ?
• Gaat het groeien? Neemt saturatie toe en vormen zich wachtrijen?

Wanneer deze metrics samenvallen—tail-latency stijgt, timeouts nemen toe, saturatie groeit—heb je een sterk signaal om naar slow query logs en tracing te schakelen om de exacte operatie te pinpointen.

De request-pad tracen naar de exacte trage operatie

Slow query logs vertellen je wat traag was in de database. Distributed tracing vertelt je wie erom vroeg, vanwaar en waarom het ertoe deed.

Volg het request, niet de gok

Met tracing in plaats wordt een “database is traag”-alert een concreet verhaal: een specifiek endpoint (of background job) veroorzaakte een reeks calls, waarvan er één het grootste deel van de tijd in de database wachtte.

In je APM UI, begin bij een trace met hoge latency en kijk naar:

• De route of jobnaam die het request initieerde (bijv. GET /checkout of billing_reconcile_worker).
• Een database‑span met uitzonderlijk hoge duur of time-to-first-row.
• Of de traagheid geïsoleerd is tot één requesttype of verspreid over velen.

Tag spans veilig (zonder SQL te lekken)

Volledige SQL in traces kan riskant zijn (PII, secrets, grote payloads). Een praktische aanpak is spans te taggen met een querynaam/operatie in plaats van de volledige statement:

• db.operation=SELECT en db.table=orders
• app.query_name=orders_by_customer_v2
• feature_flag=checkout_upsell

Dit houdt traces doorzoekbaar en veilig terwijl ze nog steeds naar de juiste codepad wijzen.

Correleer alles met ID's

De snelste manier om “trace” → “app logs” → “slow query entry” te overbruggen is een gedeelde identifier:

• Propagateer een trace ID naar applicatielogs.
• Voeg indien mogelijk de trace ID (of request ID) toe aan de slow query log-context (of als comment in de query wanneer veilig en ondersteund).

Nu kun je snel de hoge‑waarde vragen beantwoorden:

• Welke route of worker triggert de trage call?
• Is het gekoppeld aan een specifieke tenant/klant, regio of plan?
• Begon het na een release of configuratiewijziging?
• Is het één dure query, of een burst van veel kleine queries (N+1)?

Slow query logging opzetten zonder in data te verdrinken

Slow query logs zijn alleen nuttig wanneer ze leesbaar en actieerbaar blijven. Het doel is niet “alles eeuwig loggen”—maar genoeg detail vastleggen om uit te leggen waarom queries traag zijn, zonder merkbare overhead of kostenproblemen te creëren.

Kies drempels die passen bij hoe je app voelt

Begin met een absolute drempel die gebruikersverwachting en de rol van je database in de request weerspiegelt.

• Absolute voorbeelden: \u003e200ms voor OLTP-zware apps, \u003e500ms voor gemengde workloads

Voeg daarna een relatieve weergave toe zodat je nog steeds problemen ziet wanneer het hele systeem vertraagt (en minder queries de harde lijn overschrijden).

• Relatieve voorbeelden: “top 100 traagste per minuut” of “top 1% traagste statements”

Door beide te gebruiken voorkom je blinde vlekken: absolute drempels vangen altijd-slecht queries, terwijl relatieve drempels regressies tijdens drukte vangen.

Sample intelligent en vang de context die je echt gebruikt

Het loggen van elke trage statement tijdens piekverkeer kan performance schaden en ruis genereren. Geef de voorkeur aan sampling (bijv. log 10–20% van slow events) en verhoog sampling tijdelijk tijdens een incident.

Zorg dat elk event context bevat die actie op mogelijk maakt: duur, rijen onderzocht/geretourneerd, database/user, application name en idealiter een request of trace ID indien beschikbaar.

Normaliseer queries zodat patronen opvallen

Ruwe SQL‑strings zijn rommelig: verschillende ID's en tijdstempels maken identieke queries uniek uitziende. Gebruik query fingerprinting (normalisatie) om vergelijkbare statements te groeperen, bv. WHERE user_id = ?.

Dit laat je beantwoorden: “Welke vorm van query veroorzaakt de meeste latency?” in plaats van achter één‑malige voorbeelden aan te rennen.

Plan retentie rond incidenten (en kosten)

Bewaar gedetailleerde slow query logs lang genoeg om “voor vs na” te vergelijken tijdens onderzoeken—vaak is 7–30 dagen een praktisch begin.

Als opslag een zorg is, downsample oudere data (bewaar aggregaten en top fingerprints) en houd full-fidelity logs voor het recentere venster.

Alerts die vertragingen vangen vóór klanten dat doen

Alerts moeten signaleren “gebruikers staan op het punt dit te voelen” en je vertellen waar je het eerst moet kijken. De eenvoudigste manier is te alerten op symptomen (wat de klant ervaart) en oorzaken (wat het aandrijft), met ruisbeheersing zodat on‑call niet gewend raakt om pages te negeren.

Alert op symptomen (gebruikersimpact)

Begin met een kleine set hoge‑signaal indicatoren die correleren met klantpijn:

• Stijgende p95/p99-requestlatency voor belangrijke endpoints (niet alleen gemiddelden)
• Timeoutrate (app-timeouts en upstream-timeouts) en retryrate
• Queue depth / worker saturatie (threadpools, connection pools)
• Database lock-waits en geblokkeerde transacties (een veelvoorkomende precursor van “alles werd traag”)

Waar mogelijk, scope alerts naar “golden paths” (checkout, login, search) zodat je niet paget op routes met lage prioriteit.

Alert op oorzaken (wat te onderzoeken)

Koppel symptoomalerts aan oorzaak-georiënteerde alerts die de diagnosetijd verkorten:

• Top slow query fingerprints die een drempel overschrijden (bijv. p95-duur of totaal verbruikte tijd)
• Planwijzigingen (plotselinge verschuiving in rijen onderzocht, nieuwe full table scans, index niet gebruikt)
• Error spikes vanuit de databaselaag (deadlocks, te veel verbindingen, query‑cancelaties)

Deze oorzaak-alerts zouden idealiter de query‑fingerprint, voorbeeldparameters (gesanitized) en een directe verwijzing naar het relevante dashboard of trace‑overzicht moeten bevatten.

Verminder ruis zonder echte incidenten te missen

Gebruik:

• Burn-rate alerts tegen SLOs (snelle page voor snelle regressies, langzame page voor aanhoudende degradatie)
• Multi-window checks (bijv. 5m en 30m) om flapping te vermijden
• Deduping en grouping (één incident per service/db + query‑fingerprint)

Elke page moet “wat te doen” bevatten—link een runbook zoals /blog/incident-runbooks en specificeer de eerste drie checks (latency‑paneel, slow query‑lijst, lock/connection‑grafieken).