Administra incidentes para políticas de alertas basadas en registros

Un incidente es un registro de cuándo se cumplen las condiciones de una política de alertas. Por lo general, cuando se cumplen las condiciones, Cloud Monitoring abre un incidente y envía una notificación cuando se recibe un registro que coincide con la condición de tu política de alertas basada en registros. Sin embargo, los incidentes no se crean en las siguientes circunstancias:

• La política está pospuesta o inhabilitada.
• La frecuencia máxima de notificaciones excedería el límite de 1 notificación cada 5 minutos para cada alerta basada en registros.
• El total diario de notificaciones superaría el límite de 20 notificaciones por día para cada alerta basada en registros.

En este documento, se describe cómo puedes ver, investigar y administrar incidentes para las políticas de alertas basadas en registros.

Antes de comenzar

Asegúrate de tener los permisos necesarios:

• Si quieres obtener los permisos que necesitas para ver incidentes con la consola de Google Cloud, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

  • Visualizador de incidentes de la consola de Cloud de Monitoring (roles/monitoring.cloudConsoleIncidentViewer)
  • Visualizador de cuentas de Stackdriver (roles/stackdriver.accounts.viewer)

  Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

  Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.

• Si quieres obtener los permisos que necesitas para administrar incidentes con la consola de Google Cloud, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

  • Editor de incidentes de la consola de Cloud de Monitoring (roles/monitoring.cloudConsoleIncidentEditor)
  • Visualizador de cuentas de Stackdriver (roles/stackdriver.accounts.viewer)

  Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

  Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.

Para obtener más información sobre las funciones de Cloud Monitoring, consulta Controla el acceso con Identity and Access Management.

Encuentra incidentes

Para ver una lista de incidentes, haz lo siguiente:

1. En la consola de Google Cloud, ve a la página notifications Alertas:

   Ir a las Alertas

   Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

   • En el panel Resumen, se muestra la cantidad de incidentes abiertos.
   • En el panel Incidentes, se muestran los incidentes más recientes. Para enumerar los incidentes más recientes en la tabla, incluidos los que están cerrados, haz clic en Mostrar incidentes cerrados.

2. Opcional: Para ver los detalles de un incidente específico, selecciónalo en la lista. Se abrirá la página Detalles del incidente. Para obtener información sobre esta página, consulta la sección Investiga incidentes.

Encuentra incidentes más antiguos

En el panel Incidentes en Alertas, se muestran los incidentes abiertos más recientes. Para ubicar los incidentes más antiguos, realiza una de las siguientes acciones:

• Para desplazarte por las entradas de la tabla Incidentes, haz clic en arrow_back_ios Más reciente o arrow_forward_ios Más antiguo.

• Para navegar a la página Incidentes, haz clic en Ver todos los incidentes. En la página Incidentes, puedes hacer todo lo siguiente:

  • Mostrar incidentes cerrados: Para enumerar todos los incidentes en la tabla, haz clic en Mostrar incidentes cerrados.
  • Filtra incidentes: Para obtener información sobre cómo agregar filtros, consulta Filtrar incidentes.
  • Confirma o cierra un incidente, o pospone su política de alertas. Para acceder a estas opciones, haz clic en more_vert Más opciones en la fila del incidente y selecciona una opción del menú. Para obtener más información, consulta Administra incidentes.

Filtrar incidentes

Cuando ingresas un valor en la barra de filtros, solo los incidentes que coinciden con el filtro se enumeran en la tabla Incidentes. Si agregas varios filtros, un incidente se muestra solo si satisface todos los filtros.

Para agregar un filtro a la tabla de incidentes, haz lo siguiente:

1. En la página Incidentes, haz clic en filter_list Filtrar tabla y, luego, selecciona una propiedad de filtro. Las propiedades del filtro incluyen lo siguiente:

   • Estado del incidente
   • Nombre de la política de alertas
   • Cuando se abrió o cerró el incidente

2. Selecciona un valor del menú secundario o ingresa un valor en la barra de filtros.

Investiga incidentes

Una vez que hayas encontrado el incidente que deseas investigar, ve a la página Detalles del incidente de ese incidente. Para ver los detalles, selecciona el resumen del incidente en la tabla de incidentes de las páginas Alertas o Incidentes.

Como alternativa, si recibiste una notificación que incluye un vínculo al incidente, puedes usar ese vínculo para ver los detalles del incidente.

En la página Detalles del incidente, se proporciona la siguiente información:

• Información de estado, incluida la siguiente:

  • Nombre: El nombre de la política de alertas que causó este incidente.
  • Estado: El estado del incidente: abierto, confirmado o cerrado.
  • Gravedad: La gravedad del incidente:
    • Sin gravedad
    • Esencial
    • Error
    • Con advertencias
  • Duración: La cantidad de tiempo durante el cual el incidente estuvo abierto.

• Un panel Registros, en el que se muestran las entradas de registro que coinciden con la consulta de alerta. El panel te permite filtrar estas entradas como parte de tu investigación.

  Para actualizar la lista de entradas de registro, haz clic en refresh Actualizar. Para ver los registros en el Explorador de registros, haz clic en open_in_new Ver en el Explorador de registros.

• Información sobre la política de alertas que causó el incidente:

  • Panel Condición: Identifica la condición en la política de alertas que causó el incidente. Para las políticas de alertas basadas en registros que se crean con el Explorador de registros, el nombre de la condición es siempre “Condición de coincidencia de registro”.

    En este panel, también se informa el tiempo entre las notificaciones y la duración del cierre automático de la política de alertas.

  • Panel Mensaje: Proporciona una breve explicación de la causa según la configuración de la condición en la política de alertas. Este panel siempre se propaga.

  • Panel Documentation: Muestra la plantilla de documentación para las notificaciones que proporcionaste cuando creaste la política de alertas. Esta información puede incluir una descripción de lo que supervisa la política de alertas y sugerencias para la mitigación.

    Si omitiste este campo cuando creaste la política de alertas, el panel informará “No se configuró ninguna documentación”.

• Etiquetas: Informa lo siguiente:
  • Las etiquetas y los valores del recurso supervisado se incluyen en la entrada de registro que causó el incidente. Esta información puede ayudarte a identificar el recurso supervisado específico que causó el incidente. Estas etiquetas también se informan en la string Message.
  • Cualquier etiqueta y valor especificados por el usuario que definiste en la política de alertas. Puedes usar estas etiquetas para organizar y también identificar las políticas de alertas. Las etiquetas asociadas con una política se enumeran en la sección Etiquetas de política, mientras que las etiquetas definidas como parte de una condición se enumeran en la sección Etiquetas de métrica. Las etiquetas de metadatos solo se muestran cuando hay un filtro o una agrupación que depende de la etiqueta. Para obtener más información, consulta Anota alertas con etiquetas.

En la página Detalles de incidentes, también se proporcionan herramientas para investigar el incidente:

• Vínculos a otras herramientas de solución de problemas La configuración de tu proyecto y la política de alertas, y la antigüedad del incidente, determinan qué vínculos están disponibles.
  • Para ver la página de detalles de la política de alertas, haz clic en Ver política.
  • Para editar la definición de la política de alertas, haz clic en Editar política.
  • Para ver las entradas de registro relacionadas en el explorador de registros, haz clic en Ver registros. Para obtener más información, consulta Visualiza registros con el Explorador de registros.
• Anotaciones: Proporciona un registro de tus hallazgos, resultados, sugerencias y otros comentarios provenientes de tu investigación del incidente.
  • Para agregar una anotación, ingresa texto en el campo y haz clic en Agregar comentario.
  • Para descartar el comentario, haz clic en Cancelar.

Administración de incidentes

Los incidentes están en uno de los siguientes estados:

• error Abierto: Se cumplió la condición de la política de alertas basada en registros y el incidente sigue abierto. Si se vuelve a cumplir la misma condición y ya hay un incidente abierto, no se abre uno nuevo.

• warning Confirmado: El incidente está abierto y se marcó de forma manual como confirmado. Por lo general, este estado indica que se investiga el incidente.

• check_circle Cerrado: Cerraste el incidente de forma manual o se cerró de forma automática después de que venció el período de cierre automático.

Confirma incidentes

Te recomendamos que marques un incidente como confirmado cuando comiences a investigar la causa del incidente.

Para marcar un incidente como confirmado, haz lo siguiente:

• En el panel Incidentes de la página Alertas, haz clic en Ver todos los incidentes.

• En la página Incidentes, busca el incidente que deseas confirmar y, luego, realiza una de las siguientes acciones:

  • Haz clic en more_vert Más opciones y, luego, selecciona Confirmar.
  • Abre la página de detalles del incidente y, luego, haz clic en Confirmar incidente.

Posponer una política de alertas

Para evitar que Monitoring cree incidentes y envíe notificaciones durante un período específico, pospón la política de alertas relacionada. Cuando pospones una política de alertas, los incidentes relacionados con ella permanecen abiertos, pero no se generan más notificaciones. Los incidentes se cierran según la duración del cierre automático de la política de alertas.

Para crear una alerta pospuesta para un incidente que estás viendo, haz lo siguiente:

1. En la página Detalles del incidente, haz clic en Posponer.

2. Selecciona la duración de la alerta pospuesta. Después de seleccionar la duración de la pospuesta, esta comienza de inmediato.

Cuando ves la página de detalles de un incidente, puedes crear una alerta pospuesta para la política de alertas relacionada. Para ello, haz clic en Posponer y, luego, elige una duración. La alerta pospuesta comienza de inmediato. También puedes posponer una política de alertas desde la página Incidentes. Para ello, busca el incidente que deseas posponer, haz clic en more_vert Más opciones y, luego, selecciona Posponer. Puedes posponer las políticas de alertas durante las interrupciones para evitar más notificaciones durante el proceso de solución de problemas.

Cerrar incidentes

Puedes permitir que Monitoring cierre un incidente por ti o puedes cerrarlo.

Monitoring cierra automáticamente un incidente cuando vence la duración del cierre automático de la política de alertas. De forma predeterminada, la duración del cierre automático es de 7 días. La duración mínima del cierre automático es de 30 minutos.

Para cerrar un incidente, haz lo siguiente:

1. En el panel Incidentes de la página Alertas, haz clic en Ver todos los incidentes.

2. En la página Incidentes, busca el incidente que deseas cerrar y, luego, realiza una de las siguientes acciones:

   • Haz clic en more_vert Ver más y, luego, selecciona Cerrar incidente.
   • Abre la página de detalles del incidente y, luego, haz clic en Cerrar incidente.

Si ves el mensaje Unable to close incident, vuelve a intentarlo en unos minutos. No puedes cerrar un incidente nuevo de inmediato porque el sistema de alertas sigue considerando activas las condiciones que lo causaron.

Retención y límites de datos

Para obtener información sobre los límites y el período de retención de los incidentes, consulta Límites de alertas.

¿Qué sigue?

• Para crear y administrar políticas de alertas con la API de Cloud Logging o desde la línea de comandos, consulta Administra las políticas de alertas por API.