Gérer les incidents pour les alertes basées sur les journaux

Un incident est un enregistrement du déclencheur d'une règle d'alerte. Cloud Monitoring ouvre un incident lorsqu'une condition d'une règle d'alerte est remplie.

Lorsque votre règle d'alerte basée sur les journaux est déclenchée pour la première fois par une entrée de journal correspondante, Monitoring ouvre un incident et vous envoie une notification.

Cette page explique comment afficher, examiner et gérer les incidents liés aux règles d'alerte basées sur les journaux.

Rechercher des incidents

Pour afficher la liste des incidents, procédez comme suit :

  1. Dans la barre d'outils Cloud Console, cliquez sur  Menu de navigation, puis sélectionnez Surveillance :

    Accéder à Monitoring

  2. Dans le volet de navigation Monitoring, sélectionnez  Alertes :

    • Le volet Résumé présente le nombre d'incidents ouverts.
    • Le volet Incidents affiche les incidents les plus récents. Pour masquer les incidents fermés dans le tableau, cliquez sur Masquer les incidents fermés.

Rechercher des incidents plus anciens

Le volet Incidents de la page Alertes affiche les derniers incidents ouverts. Pour localiser les incidents plus anciens, effectuez l'une des opérations suivantes:

  • Pour parcourir les entrées du tableau Incidents, cliquez sur Plus récents ou sur Plus anciens.

  • Pour accéder à la page Incidents, cliquez sur Afficher tous les incidents. Sur la page Incidents, vous pouvez effectuer les opérations suivantes :

    • Masquer les incidents fermés : pour ne lister que les incidents ouverts du tableau, cliquez sur Masquer les incidents fermés.
    • Filtrer les incidents : pour en savoir plus sur l'ajout de filtres, consultez la section Filtrer les incidents.
    • Confirmer ou fermer un incident : pour accéder à ces options, cliquez sur  Autres options sur la ligne de l'incident et effectuez une sélection dans le menu. Pour en savoir plus, consultez la section Gérer les incidents.

Filtrer les incidents

Lorsque vous saisissez une valeur dans la barre de filtre, seuls les incidents correspondant au filtre sont présentés dans le tableau Incidents. Si vous ajoutez plusieurs filtres, un incident ne s'affiche que s'il répond à tous les filtres définis.

Pour ajouter un filtre au tableau des incidents, procédez comme suit :

  1. Sur la page Incidents, cliquez sur  Filtrer le tableau, puis sélectionnez une propriété de filtre. Les propriétés de filtre incluent tous les éléments suivants :

    • État de l'incident
    • Nom de la règle d'alerte
    • Date d'ouverture ou de fermeture de l'incident
  2. Sélectionnez une valeur dans le menu secondaire ou saisissez une valeur dans la barre de filtre.

Examiner les incidents

Pour afficher les détails d'un incident, vous devez au moins disposer du rôle Identity and Access Management roles/monitoring.viewer. Pour en savoir plus, consultez la section Impossible d'afficher les détails de l'incident en raison d'une erreur d'autorisation.

Une fois que vous avez trouvé l'incident que vous souhaitez examiner, accédez à la page Détails de l'incident correspondant. Pour afficher les détails, cliquez sur le résumé des incidents dans le tableau des incidents sur la page Alertes ou sur la page Incidents.

Si vous avez reçu une notification incluant un lien vers l'incident, cliquez dessus pour en afficher les détails.

La capture d'écran suivante montre la page de détails d'un incident:

Cette page fournit des informations récapitulatives et des outils d'investigation pour un incident.

La page Détails de l'incident fournit les informations suivantes:

  • Les informations d'état, y compris:

    • Nom: nom de la règle d'alerte à l'origine de cet incident.
    • État: état de l'incident: ouvert, confirmé ou fermé.
    • Duration: durée de l'ouverture de l'incident.
  • Informations sur la règle d'alerte à l'origine de l'incident:

    • Condition: condition de la règle d'alerte à l'origine de l'incident. Pour les règles d'alerte basées sur les journaux créées à l'aide de l'explorateur de journaux, la condition est toujours "Condition de correspondance des journaux".
    • Message: brève explication de la cause basée sur la configuration de la condition dans la règle d'alerte. Ce volet est toujours renseigné. Pour les règles d'alerte basées sur les journaux, le message a toujours la structure "Journal correspondant à query-filter avec les libellés {} alerte démarrée".
    • Documentation: documentation (facultative) des notifications fournies lors de la création de la règle d'alerte. Ces informations peuvent inclure une description de ce que la règle d'alerte surveille et des conseils pour l'atténuer. Si vous avez ignoré ce champ lors de la création de la règle d'alerte, le texte de ce volet est "Aucune documentation n'est configurée".
    • Libellés : libellés et valeurs de la ressource surveillée, inclus dans l'entrée de journal qui a déclenché la règle d'alerte. Ces informations peuvent vous aider à identifier la ressource surveillée spécifique qui a provoqué l'incident.

    • Une zone d'information qui vous avertit que l'incident provient d'une alerte basée sur les journaux. Cette zone inclut toujours le texte "Cet incident a été généré directement à partir de messages de journal".

    La page Détails de l'incident fournit également des outils permettant d'examiner l'incident:

    • Liens vers d'autres outils de dépannage La configuration de votre projet, la règle d'alerte et l'âge de l'incident déterminent les liens disponibles.
      • Pour modifier la définition de la règle d'alerte, cliquez sur Modifier la règle.
      • Pour consulter les entrées de journaux associées dans l'explorateur de journaux, cliquez sur Afficher les journaux. Pour en savoir plus, consultez la page Utiliser l'explorateur de journaux.
    • Annotations : fournit un journal des résultats, suggestions ou autres commentaires issus de votre enquête sur l'incident.
      • Pour ajouter une annotation, saisissez du texte dans le champ, puis cliquez sur Ajouter un commentaire.
      • Pour supprimer le commentaire, cliquez sur Annuler.

    Vous pouvez également confirmer ou ignorer les incidents à partir de la page Détails de l'incident. Pour en savoir plus, consultez la section Gérer les incidents.

    Gérer les incidents

    Les incidents se trouvent dans l'un des états suivants :

    • Ouvert : la règle d'alerte basée sur les journaux a été déclenchée et l'incident est toujours ouvert. Si la même alerte est à nouveau déclenchée et qu'un incident est déjà ouvert, aucun nouvel incident n'est ouvert.

    •  Confirmé : L'incident est ouvert et a été marqué comme confirmé manuellement. En général, cet état indique que l'incident est en cours d'examen.

    • Fermé : Vous avez fermé manuellement l'incident ou il a été fermé automatiquement après sept jours.

    Pour gérer les incidents, votre rôle doit inclure l'autorisation monitoring.alertPolicy.create ou monitoring.alertPolicy.update. Ces autorisations sont incluses dans le rôle Éditeur Monitoring, roles/monitoring.editor. Pour en savoir plus sur les rôles et les autorisations, consultez la page intitulée Contrôle des accès : rôles prédéfinis.

    Confirmer des incidents

    Lorsque vous commencez à enquêter sur la cause d'un incident, nous vous recommandons de le marquer comme confirmé.

    Pour marquer un incident comme confirmé, procédez comme suit :

    • Dans le volet Incidents du tableau de bord Alertes, cliquez sur Voir tous les incidents.
    • Sur la page Incidents, recherchez l'incident que vous souhaitez confirmer, puis effectuez l'une des opérations suivantes :

      • Cliquez sur  Autres options, puis sélectionnez Confirmer.
      • Ouvrez la page de détails de l'incident, puis cliquez sur Confirmer l'incident.

Fermer des incidents

Pour fermer un incident, procédez comme suit :

  1. Dans le volet Incidents du tableau de bord Alertes, cliquez sur Voir tous les incidents.
  2. Sur la page Incidents, recherchez l'incident que vous souhaitez fermer, puis effectuez l'une des opérations suivantes :

    • Cliquez sur  Plus d'options, puis sélectionnez Fermer cet incident.
    • Ouvrez la page de détails de l'incident, puis cliquez sur Fermer l'incident.
Si le message Unable to close incident s'affiche, réessayez dans quelques minutes. Avant de pouvoir fermer un nouvel incident, vous devez attendre trois minutes ; vous ne pouvez pas le faire immédiatement.