Gestisci gli incidenti per i criteri di avviso basati su log

Un incidente è un record del momento in cui la condizione o la condizione di un criterio di avviso che le condizioni siano soddisfatte. In genere, quando le condizioni sono soddisfatte, Cloud Monitoring apre un incidente invia una notifica quando viene ricevuto un log che corrisponde alla condizione gli avvisi basati su log . Tuttavia, gli incidenti non vengono creati nelle seguenti circostanze:

• Il criterio è stato posticipato o disattivato.
• La frequenza massima di notifiche supererebbe il limite di 1 notifica ogni 5 minuti per ogni avviso basato su log.
• Il totale giornaliero di notifiche supererebbe il limite di 20 notifiche al giorno per ciascun avviso basato su log.

Questo documento descrive come visualizzare, esaminare e gestire gli incidenti per i criteri di avviso basati su log.

Prima di iniziare

Assicurati di disporre delle autorizzazioni necessarie:

• Per ottenere le autorizzazioni necessarie per visualizzare gli incidenti utilizzando la console Google Cloud, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

  • Monitoring Cloud Console Incident Viewer (roles/monitoring.cloudConsoleIncidentViewer) (Visualizzatore incidenti console Cloud Monitoring)
  • Visualizzatore account Stackdriver (roles/stackdriver.accounts.viewer)

  Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

  Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

• Per ottenere le autorizzazioni necessarie per gestire gli incidenti utilizzando la console Google Cloud, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

  • Editor incidenti console Cloud Monitoring (roles/monitoring.cloudConsoleIncidentEditor)
  • Visualizzatore account Stackdriver (roles/stackdriver.accounts.viewer)

  Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

  Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Per ulteriori informazioni sui ruoli di Cloud Monitoring, consulta Controllare l'accesso con Identity and Access Management.

Individua incidenti

Per visualizzare un elenco degli incidenti:

1. Nella console Google Cloud, vai alla notifications Pagina Avvisi:

   Vai ad Avvisi

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoraggio.

   • Il riquadro Riepilogo elenca il numero di incidenti aperti.
   • Il riquadro Incidenti mostra gli incidenti aperti più recenti. Per elencare gli incidenti più recenti nella tabella, inclusi quelli chiusi, fai clic su Mostra incidenti chiusi.

2. (Facoltativo) Per visualizzare i dettagli di un incidente specifico, seleziona la incidente nell'elenco. Si apre la pagina Dettagli incidente. Per informazioni consulta la sezione Esaminare incidenti di questa pagina.

Trovare incidenti meno recenti

Il riquadro Incidenti della pagina Avvisi mostra le informazioni incidenti aperti recenti. Per individuare gli incidenti meno recenti, esegui una delle seguenti operazioni:

• Per scorrere le voci nella tabella Incidenti, fai clic su arrow_back_ios Più recenti o arrow_forward_ios Meno recenti.

• Per accedere alla pagina Incidenti, fai clic su Visualizza tutti gli incidenti. Da Nella pagina Incidenti, puoi effettuare tutte le seguenti operazioni:

  • Mostra incidenti chiusi: per elencare tutti gli incidenti nella tabella, Fai clic su Mostra incidenti chiusi.
  • Filtrare gli incidenti: per informazioni sull'aggiunta di filtri, consulta Filtrare gli incidenti
  • Conferma o chiudi un incidente oppure posticipa il relativo criterio di avviso. Per accedere a queste opzioni, fai clic su more_vert Altre opzioni nella riga dell'incidente, ed effettua una selezione dal menu. Per ulteriori informazioni, consulta Gestire gli incidenti.

Filtra incidenti

Quando inserisci un valore nella barra dei filtri, vengono rilevati solo gli incidenti che corrispondono sono elencati nella tabella Incidenti. Se aggiungi più filtri, un incidente viene visualizzato solo se soddisfa tutti i filtri.

Per aggiungere un filtro alla tabella degli incidenti:

1. Nella pagina Incidenti, fai clic su filter_list Filtra tabella e poi seleziona una proprietà di filtro. Le proprietà di filtro includono tutte le seguenti:

   • Stato dell'incidente
   • Nome del criterio di avviso
   • Quando l'incidente è stato aperto o chiuso

2. Seleziona un valore dal menu secondario o inserisci un valore nella barra dei filtri.

Esamina gli incidenti

Dopo aver individuato l’incidente su cui vuoi indagare, vai alla Dettagli incidente per l'incidente in questione. Per visualizzare i dettagli: selezionare il riepilogo degli incidenti nella tabella degli incidenti Avvisi o la pagina Incidenti.

In alternativa, se hai ricevuto una notifica che include un link alla incidente, puoi utilizzare questo link per visualizzare i dettagli dell'incidente.

La pagina Dettagli incidente fornisce le seguenti informazioni:

• Informazioni sullo stato, tra cui:

  • Nome: il nome del criterio di avviso che ha causato l'errore incidente.
  • Stato: lo stato dell'incidente: aperto, confermato, o chiuso.
  • Gravità: la gravità dell'incidente.
    .
    • Nessuna gravità
    • Critico
    • Errore
    • Avviso
  • Durata: il periodo di tempo durante il quale è stato riscontrato l'incidente. aperta.

• Un riquadro Log in cui sono visualizzate le voci di log corrispondenti all'avviso. query. Il riquadro ti consente di filtrare queste voci come parte della le indagini.

  Per aggiornare l'elenco delle voci di log, fai clic su refresh Aggiorna. Per visualizzare i log in Esplora log, fai clic su open_in_new Visualizza in Esplora log.

• Informazioni sul criterio di avviso che ha causato l'incidente:

  • Riquadro Condizione: identifica la condizione nell'avviso che ha causato l'incidente. Per i criteri di avviso basati su log che creano mediante Esplora log, il nome della condizione è sempre "Log condizione di corrispondenza".

    Questo riquadro indica anche il tempo che intercorre tra le notifiche, e la durata della chiusura automatica dal criterio di avviso.

  • Riquadro Messaggio: fornisce una breve spiegazione della causa in base alla configurazione della condizione nel criterio di avviso. Questo riquadro viene sempre compilato.

  • Riquadro Documentazione: mostra il modello di documentazione per le notifiche che hai fornito durante la creazione del criterio di avviso. Queste informazioni potrebbero includere una descrizione di ciò che monitorare le norme e includere suggerimenti per la mitigazione.

    Se hai saltato questo campo durante la creazione del criterio di avviso, questo riquadro riporta il messaggio "Nessuna documentazione configurato."

• Etichette: indica quanto segue:
  .
  • Le etichette e i valori per la risorsa monitorata inclusi nella voce di log che ha causato l'incidente. Queste informazioni possono aiutarti a identificare lo specifico alla risorsa che ha causato l'incidente. Queste etichette sono inoltre riportato nella stringa Message.
  • Qualsiasi etichetta e valore specificato dall'utente che hai definito nell'avviso . Puoi utilizzare queste etichette per organizzare e identificare criteri di avviso. Vengono elencate le etichette associate a un criterio. nella sezione Etichette norme, mentre le etichette definite come parte sono elencate nella sezione Etichette delle metriche. Metadati le etichette vengono visualizzate solo quando è presente un filtro o raggruppamento dipende dall'etichetta. Per ulteriori informazioni, vedi Annota gli avvisi con le etichette.

La pagina Dettagli incidenti fornisce inoltre strumenti per l'indagine l'incidente:

• Link ad altri strumenti per la risoluzione dei problemi. La configurazione del progetto e il criterio di avviso, così come l'età dell'incidente, quali link sono disponibili.
  • Per visualizzare la pagina dei dettagli del criterio di avviso, fai clic su Visualizza .
  • Per modificare la definizione del criterio di avviso, fai clic su Modifica. .
  • Per visualizzare le voci di log correlate in Esplora log, fai clic su Visualizza i log. Per ulteriori informazioni, vedi Visualizza i log utilizzando il comando Esplora log.
• Annotazioni: fornisce un log di risultati, risultati, suggerimenti o altri commenti in seguito alla tua indagine sull'incidente.
  • Per aggiungere un'annotazione, inserisci il testo nel campo e fai clic su Aggiungi commento.
  • Per ignorare il commento, fai clic su Annulla.

Gestisci incidenti

Gli incidenti si verificano in uno dei seguenti stati:

• error Aperto: La condizione del criterio di avviso basato su log è stata soddisfatta e il è ancora aperta. Se la stessa condizione viene soddisfatta di nuovo se un incidente è già aperto, non viene aperto un nuovo incidente.

• warning Accettati: L'incidente è aperto ed è stato contrassegnato manualmente come confermato. In genere, Questo stato indica che l'incidente è in fase di indagine.

• check_circle Chiuso: Hai chiuso manualmente l'incidente o è stato chiuso automaticamente alla scadenza del periodo di chiusura automatica.

Conferma degli incidenti

Ti consigliamo di contrassegnare un incidente come confermato quando inizi indaga sulla causa dell'incidente.

Per contrassegnare un incidente come confermato:

• Nel riquadro Incidenti della pagina Avvisi, fai clic su Visualizza tutti gli incidenti.

• Nella pagina Incidenti, trova l'incidente che vuoi confermare. ed esegui una delle seguenti operazioni:

  • Fai clic su more_vert Altre opzioni e seleziona Accetta.
  • Apri la pagina dei dettagli dell'incidente e fai clic su Accetta l'incidente.

Posticipare un criterio di avviso

Per impedire a Monitoring di creare incidenti e inviare notifiche durante un periodo di tempo specifico, posticipa il relativo criterio di avviso. Quando posticipi un criterio di avviso, gli incidenti relativi a quel criterio rimangono aperti ma non generano ulteriori notifiche. Gli incidenti si chiudono in base a la durata della chiusura automatica del criterio di avviso.

Per creare una posticipazione per un incidente che stai visualizzando:

1. Nella pagina Dettagli incidente, fai clic su Posticipa.

2. Seleziona la durata della posticipazione. Dopo aver selezionato la durata della posticipazione, inizia immediatamente.

Quando visualizzi la pagina dei dettagli di un incidente, puoi creare una posticipazione per il al criterio di avviso correlato facendo clic su Posticipa e scegliendo un durata massima. La posticipazione inizia immediatamente. Puoi anche Posticipa un criterio di avviso dalla pagina Incidenti trovando il l'incidente che vuoi posticipare, facendo clic more_vert Altre opzioni, quindi seleziona Posticipa. Puoi posticipare i criteri di avviso durante le interruzioni per evitare ulteriori notifiche durante la procedura di risoluzione dei problemi.

Chiudi incidenti

Puoi consentire a Monitoring di chiudere un incidente per te oppure puoi chiudere l'incidente.

Il monitoraggio chiude automaticamente un incidente quando viene attivata la chiusura automatica durata massima per la scadenza del criterio di avviso. Per impostazione predefinita, la durata della chiusura automatica è di 7 giorni. La durata minima della chiusura automatica è di 30 minuti.

Per chiudere un incidente:

1. Nel riquadro Incidenti della pagina Avvisi, fai clic su Visualizza tutti gli incidenti.

2. Nella pagina Incidenti, individua l'incidente che vuoi chiudere. ed esegui una delle seguenti operazioni:

   • Fai clic su more_vert Visualizza altro e poi seleziona Chiudi incidente.
   • Apri la pagina dei dettagli dell'incidente e fai clic su Chiudi incidente.

Se vedi il messaggio Unable to close incident, riprova tra qualche minuto minuti. Non puoi chiudere immediatamente un nuovo incidente perché le condizioni causato l'incidente sono comunque considerate attive dal sistema di avviso.

Conservazione dei dati e limiti

Per informazioni sui limiti e sul periodo di conservazione degli incidenti, consulta Limiti per gli avvisi.

Passaggi successivi

• Per creare e gestire i criteri di avviso con l'API Cloud Logging o dalla riga di comando, vedi Gestire i criteri di avviso in base all'API.