Ce document explique comment utiliser Cloud Monitoring pour observer les tendances dans vos journaux et vous avertir lorsque les conditions que vous décrivez apparaissent. Pour fournir à Cloud Monitoring des données provenant de vos journaux, Logging vous offre les avantages suivants :
- Les métriques basées sur les journaux, que vous pouvez utiliser comme suit :
- Créer des règles d'alerte qui vous informent des modifications au fil du temps.
- Créer des graphiques qui affichent les modifications au fil du temps.
- Des règles d'alerte basées sur les journaux, qui vous avertissent à chaque fois qu'un événement spécifique apparaît dans un journal.
Pour surveiller vos journaux au fil du temps, utilisez des graphiques ou des règles d'alerte basées sur des métriques elles-mêmes basées sur les journaux.
Lorsque vous souhaitez recevoir une notification indiquant qu'un message s'est affiché en temps quasi réel dans vos journaux, utilisez une règle d'alerte basée sur les journaux.
Le reste de ce document explique comment choisir entre les métriques basées sur les journaux et d'alerte basées sur les journaux, présente leurs différences fournit des informations sur les autorisations, les coûts et les limites.
Métriques basées sur les journaux
Pour surveiller les événements récurrents dans vos journaux au fil du temps, utilisez des métriques basées sur les journaux. Les métriques basées sur les journaux génèrent des données numériques à partir de vos journaux. Les métriques basées sur les journaux sont adaptées si vous souhaitez effectuer l'une des opérations suivantes :
- Comptez les occurrences d'un message dans vos journaux comme un avertissement ou une erreur et recevez une notification lorsque le nombre d'occurrences dépasse un certain seuil.
- Observez les tendances dans vos données, telles que les valeurs de latence dans les journaux, et recevez une notification si les valeurs changent de manière inacceptable.
- Créez des graphiques affichant les données numériques extraites de vos journaux.
Les métriques basées sur les journaux génèrent des données numériques à partir de vos journaux. Vous pouvez donc les utiliser dans des règles d'alerte et les afficher dans des graphiques. Pour en savoir plus sur la création de graphiques et de règles d'alerte pour les consultez Configurer des notifications pour les métriques basées sur les journaux.
Cloud Monitoring fournit un ensemble de métriques basées sur les journaux prédéfinies, et vous pouvez définir les vôtres. Pour afficher la liste des métriques basées sur les journaux définies par le système, cliquez sur le bouton add_circle suivant :
Métriques basées sur les journaux définies par l'utilisateur
Vous pouvez créer des métriques basées sur les journaux pour extraire des données numériques de vos journaux. Les métriques basées sur les journaux définies par l'utilisateur calculent les valeurs des journaux inclus et exclus.
Par défaut, les métriques basées sur les journaux définies par l'utilisateur collectent les données de tous les journaux reçus par le routeur de journaux de votre projet Google Cloud, mais vous pouvez définir qui collectent les données des journaux acheminés vers un bucket de journaux spécifique.
- Pour en savoir plus sur la définition et l'utilisation des métriques basées sur les journaux au niveau du projet, consultez Utiliser des métriques basées sur les journaux
- Pour en savoir plus sur la définition et l'utilisation des métriques basées sur les journaux au niveau du bucket, consultez Métriques basées sur les journaux sur les buckets de journaux.
Si vous définissez vos propres métriques basées sur les journaux, des frais peuvent vous être facturés. Pour en savoir plus sur les coûts associés ingestion des métriques, consultez Métriques facturables.
Alertes basées sur les journaux
Lorsque vous souhaitez être averti chaque fois qu’un message spécifique apparaît dans un journal, utiliser des règles d'alerte basées sur les journaux. Règles d'alerte basées sur les journaux sont utiles pour consigner les événements liés à la sécurité dans les journaux, comme suit:
- Vous souhaitez être averti lorsqu'un événement apparaît dans un journal d'audit (par exemple, un utilisateur humain accède à la clé de sécurité d'un compte de service).
- Votre application écrit des messages de déploiement dans les journaux et vous souhaitez être averti lorsqu'une modification de déploiement est enregistrée.
Les règles d'alerte basées sur les journaux sont utiles pour les événements censés être à la fois rares et importantes. Vous ne voulez pas connaître une tendance ou un modèle, mais savoir qu'un événement s'est produit.
Pour en savoir plus sur la création de règles d'alerte basées sur les journaux, consultez la section Utiliser des règles règles d'alerte.
Vous pouvez configurer une règle d'alerte basée sur les métriques pour simuler une alerte basée sur les journaux règle d'alerte. Pour ce faire, définissez une métrique basée sur les journaux dans une règle d'alerte basée sur les métriques avec un seuil de 1. Grâce aux règles d'alerte basées sur les journaux, vous n'avez pas besoin de créer et configurer une règle d'alerte basée sur les métriques.
Comparaison des options d'alerte
Cette section compare les règles d'alerte créées à partir de métriques basées sur les journaux les règles d'alerte basées sur les journaux.
tableau récapitulatif
Le tableau suivant récapitule les techniques d'alerte et fournit des liens vers des informations supplémentaires dans le présent document :
Incidents liés aux métriques basées sur les journaux | Règles d'alerte basées sur les journaux | En savoir plus |
---|---|---|
Basées sur des métriques dérivées des entrées de journal | Basées sur des chaînes dans des entrées de journal individuelles | Métriques basées sur les journaux et Alertes basées sur les journaux |
Utilisées pour vous informer des tendances au fil du temps | Utilisées pour vous avertir lorsqu'un message spécifique apparaît dans un journal | Métriques basées sur les journaux et Alertes basées sur les journaux |
Calculées à partir de
|
Correspondance uniquement avec les journaux inclus | Journaux disponibles |
Exploiter les métriques de tous les projets dans le champ d'application des métriques du projet de champ d'application | Travailler uniquement sur les journaux dans le projet de champ d'application | Créer des alertes pour plusieurs projets |
Déclenchées lorsque la valeur d'une métrique remplit une condition pendant une période spécifiée. | Déclenchées chaque fois qu'une entrée de journal spécifique correspond à un filtre | Incidents et notifications |
Créées et gérées dans Monitoring | Créées dans Logging ; gérées dans Monitoring |
Créer et gérer des règles d'alerte |
Consultées dans Monitoring | Consultées dans Monitoring | Afficher les règles d'alerte |
Peut utiliser n'importe quel canal de notification compatible avec Monitoring | Peut utiliser n'importe quel canal de notification compatible avec Monitoring | Canaux de notification |
Journaux disponibles
Les métriques basées sur les journaux définies par l'utilisateur sont calculées à partir de tous les journaux reçus. par l'API Logging pour le projet Google Cloud, quelle que soit filtres d'inclusion ou filtres d'exclusion pouvant s'appliquer le projet Google Cloud. Si vous créez une règle d'alerte basée sur une métrique basée sur les journaux définie par l'utilisateur, la règle surveille les données de tous les journaux.
Les métriques basées sur les journaux définies par le système ne sont calculées qu'à partir des journaux. stockés dans des buckets de journaux projet Google Cloud. Si un journal a été explicitement excluded, elle n'est pas prise en compte dans ces métriques. Si vous créez une règle d'alerte basée sur une métrique basée sur les journaux définie par le système, la règle ne surveille que les données des journaux inclus.
Les règles d'alerte basées sur les journaux ne fonctionnent que sur les journaux inclus. Vous ne pouvez pas utiliser des règles d'alerte basées sur les journaux pour vous avertir des messages dans les journaux exclus.
Les métriques et les règles d'alerte basées sur les journaux fonctionnent s'appliquent à un projet Google Cloud, et non à des buckets individuels.
Créer des alertes pour plusieurs projets
Vous pouvez surveiller les métriques de plusieurs projets en configurant un champ d'application des métriques. Un champ d'application des métriques répertorie tous les projets et comptes qu'il surveille. Un projet de champ d'application héberge le champ d'application des métriques. Le projet de champ d'application stocke les règles d'alerte et d'autres configurations que vous créez pour le champ d'application des métriques. Le projet effectuant une surveillance le champ d'application des métriques correspond au projet sélectionné dans le sélecteur de projet de la console Google Cloud.
Les règles d'alerte basées sur les métriques basées sur les journaux, telles que les règles d'alerte basées sur d'autres métriques, fonctionnent sur tous les projets de champ d'application des métriques du projet de champ d'application.
Les règles d'alerte basées sur les journaux ne fonctionnent pas sur les champs d'application des métriques. les journaux dans ne font pas partie d'un champ d'application des métriques. Une règle d'alerte basée sur les journaux évalue uniquement les journaux provenant du projet actuel ou qui sont acheminé vers le projet actuel.
Pour plus d'informations sur les champs d'application des métriques, y compris les champs d'application de métriques multiprojets et les projets de champ d'application, consultez les pages suivantes :
Incidents et notifications
Lorsque la condition d'une règle d'alerte est remplie, Monitoring ouvre un incident et envoie des notifications aux canaux de notification la règle d'alerte. Pour afficher les détails de l'incident, cliquez sur Afficher l'incident dans le message de notification, ou accédez directement à la page Incidents dans Monitoring.
Les règles d'alerte basées sur des métriques basées sur les journaux créent des incidents et des notifications comme toutes les autres règles d'alerte basées sur les métriques dans Cloud Monitoring, comme décrit sur la page Comportement des alertes. Pour en savoir plus, sur la gestion des incidents pour les règles d'alerte basées sur les métriques, consultez la section Incidents pour les règles d'alerte basées sur les métriques.
Les règles d'alerte basées sur les journaux ne sont pas des règles d'alerte basées sur les métriques. Lorsqu'une entrée de journal remplit la condition d'une règle d'alerte basée sur les journaux, Monitoring crée les incidents et les notifications comme suit:
La première fois que Cloud Logging écrit une entrée de journal correspondant à votre alerte dans un bucket de journaux, un incident est créé et une notification est envoyée. Si une autre entrée de journal correspondante est ensuite écrite, un nouvel incident créé uniquement si l'incident précédent a été fermé. Toutefois, la suppression définitive d'un incident peut prendre jusqu'à trois minutes. Si une entrée de journal correspondante est reçue dans les trois minutes suivant la fermeture d'un incident, le système peut rouvrir l'incident plutôt que d'en créer un nouveau.
Chaque alerte basée sur les journaux est limitée à 20 notifications par jour. Si vous atteignez cette limite, la notification inclut un message indiquant que vous avez atteint la limite pour la journée.
Lorsque vous créez une règle d'alerte basée sur les journaux, vous pouvez spécifier la durée minimale entre les notifications. Par exemple : sélectionnez un délai de 10 minutes entre chaque notification. Si l'état de votre d'alerte basée sur les journaux est respectée deux fois au cours de cette période, vous ne recevez qu'une seule notification.
Le taux maximal de notifications est d'une notification toutes les cinq minutes pour chaque alerte basée sur les journaux.
Les incidents sont automatiquement fermés après sept jours, sauf si vous configurez une période plus courte ou que vous les fermez manuellement.
Pour en savoir plus sur la gestion de ces incidents, consultez Gérer les incidents pour les règles d'alerte basées sur les journaux
Créer et gérer des règles d'alerte
Vous créez, modifiez et supprimez des règles d'alerte basées sur les métriques basées sur les journaux dans Cloud Monitoring, comme toute autre règle d'alerte basée sur les métriques. Pour plus d'informations, consultez la section Gérer les règles.
Vous pouvez créer des règles d'alerte basées sur les journaux à l'aide de l'explorateur de journaux ou de la API Cloud Monitoring. Vous pouvez modifier et supprimer des règles d'alerte basées sur les journaux dans Surveillance. Pour en savoir plus, consultez Gérer les règles d'alerte basées sur les journaux.
Afficher les règles d'alerte
La page Règles de Monitoring répertorie toutes les des règles d'alerte dans votre projet Google Cloud. Cette liste inclut les règles utiliser des métriques et des règles d'alerte basées sur les journaux.
-
Dans la console Google Cloud, accédez à la page notificationsAlertes :
Accéder à l'interface des alertes
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.
- Sélectionnez Afficher toutes les règles.
Les règles d'alerte basées sur les journaux apparaissent dans la liste avec la valeur Logs
dans
Colonne Type. Règles d'alerte basées sur des métriques, y compris celles basées sur les journaux
s'affichent dans la liste avec la valeur Metrics
dans la colonne Type.
La capture d'écran suivante montre un extrait d'une liste de règles :
Canaux de notification
Vous pouvez envoyer des notifications à partir de règles d'alerte basées sur les métriques et sur les journaux pour l'un des canaux de notification compatibles avec Monitoring. Toi devez configurer ces canaux avant de pouvoir les utiliser dans des règles d'alerte.
Pour plus d'informations, consultez la page Gérer les canaux de notification.
Exigences concernant les autorisations
L'utilisation de métriques ou de règles d'alerte basées sur les journaux nécessite une autorisation pour Cloud Logging et Cloud Monitoring.
Pour connaître les métriques basées sur les journaux définies par l'utilisateur, consultez Autorisations pour les métriques basées sur les journaux.
Pour en savoir plus sur les règles d'alerte basées sur les journaux, consultez Autorisations pour les règles d'alerte basées sur les journaux.
Coûts et limites
Si vous définissez vos propres métriques basées sur les journaux, les critères suivants s'appliquent :
- Le nombre et la structure des métriques basées sur les journaux définies par l'utilisateur sont limités. Pour en savoir plus sur ces limites, consultez la section Limites des métriques basées sur les journaux.
- Des frais peuvent être facturés pour les métriques basées sur les journaux définies par l'utilisateur. Pour en savoir plus sur les coûts associés à l'ingestion de métriques, consultez la section Métriques facturables.
L'utilisation de règles d'alerte basées sur des métriques basées sur les journaux est gratuite.
Les limites de surveillance suivantes liées aux règles d'alerte s'appliquent :
Catégorie | Valeur | Type de règle1 |
---|---|---|
Règles d'alerte (somme des métriques et des journaux) par champ d'application des métriques2 | 500 | Métrique, journal |
Conditions par règle d'alerte | 6 | Métrique |
Période maximale qu'une condition d'absence de métrique évalue3 |
1 jour | Métrique |
Période maximale qu'une condition de seuil de métrique évalue3 |
23 heures 30 minutes | Métrique |
Longueur maximale du filtre utilisé dans une condition de seuil de métrique |
2 048 caractères Unicode | Métrique |
Nombre maximal de séries temporelles surveillée par une condition de prévision |
64 | Métrique |
Période de prévision minimale | 1 heure (3 600 secondes) | Métrique |
Période de prévision maximale | 2,5 jours (216 000 secondes) | Métrique |
Canaux de notification par règle d'alerte | 16 | Métrique, journal |
Taux maximal de notifications | Une notification toutes les cinq minutes pour chaque alerte basée sur les journaux | Journal |
Nombre maximal de notifications | 20 notifications par jour pour chaque alerte basée sur les journaux | Journal |
Nombre maximal d'incidents ouverts simultanément par règle d'alerte |
1 000 | Métrique |
Période après laquelle un incident sans nouvelle donnée est automatiquement fermé |
7 jours | Métrique |
Durée maximale d'un incident s'il n'est pas fermé manuellement | 7 jours | Journal |
Conservation des incidents fermés | 13 mois | Non applicable |
Conservation des incidents ouverts | Indéfiniment | Non applicable |
Canaux de notification par champ d'application des métriques | 4 000 | Non applicable |
Nombre maximal de règles d'alerte par mise en pause | 16 | Métrique, journal |
Conservation d'une mise en attente | 13 mois | Non applicable |
2 Apigee et Apigee hybrid sont étroitement intégrés à Cloud Monitoring. La limite d'alerte pour tous les niveaux d'abonnements Apigee (Standard, Enterprise et Enterprise Plus) est la même que pour Cloud Monitoring : 500 par champ d'application de métriques.
3 La période maximale qu'une condition évalue est la somme de la période d'alignement et des valeurs d'intervalle de temps. Par exemple, si la période d'alignement est définie sur 15 heures et que l'intervalle de temps est défini sur 15 heures, 30 heures de données sont nécessaires pour évaluer la condition.