本文說明如何使用 Cloud Monitoring 觀察記錄資料的趨勢,並在發生您指定的狀況時收到通知。如要從記錄資料提供 Cloud Monitoring 資料,Logging 支援下列功能:
您可以從記錄檔項目產生自訂指標。這些指標稱為「記錄指標」。您也可以建立以指標為基礎的快訊政策,在記錄指標符合條件時收到通知。詳情請參閱「使用記錄指標將記錄項目資料視覺化」一文。
您可以透過快訊政策,近乎即時地監控記錄項目中是否出現特定訊息。這類快訊政策稱為「記錄檔快訊政策」。詳情請參閱「監控訊息的個別記錄項目」。
您可以在記錄檔分析中撰寫 SQL 查詢,並建立監控查詢結果的警報政策。這類快訊政策稱為「以 SQL 為準的快訊政策」。詳情請參閱「監控 SQL 查詢結果」。
以 SQL 為基礎的警告政策目前為公開預先發布版。
本文的其餘部分會說明這三項快訊政策的差異,並提供授權、費用和限制的相關資訊。
使用記錄指標以視覺化方式呈現記錄項目資料
如要監控記錄資料中隨時間重複發生的事件,請使用記錄指標。記錄指標會從記錄資料產生數值資料,適合用於下列用途:
- 計算記錄資料中訊息 (例如警告或錯誤) 的出現次數,並在次數超過門檻時收到通知。
- 觀察資料趨勢 (例如記錄資料中的延遲值),並在值發生不符規定的變化時收到通知。
- 建立圖表,顯示擷取的數值資料。
由於記錄指標會根據記錄資料產生數值資料,因此您可以在快訊政策中使用這些指標,並在圖表中顯示這些指標。如要瞭解如何為記錄指標建立快訊政策和圖表,請參閱「為記錄指標設定通知」。
Cloud Monitoring 提供一組預先定義的記錄指標,您也可以自行定義。如要查看系統定義的記錄指標清單,請按一下下列 add_circle 按鈕:
使用者定義的記錄指標
您可以建立記錄指標,從記錄資料中擷取數值資料。使用者定義的記錄指標會根據納入和排除的記錄項目計算值。
根據預設,使用者定義的記錄指標會從 Google Cloud 專案中記錄檔路由器收到的所有記錄項目收集資料,但您可以定義記錄指標,從轉送至特定記錄檔 bucket 的記錄項目收集資料。
- 如要瞭解如何定義及使用專案層級的記錄指標,請參閱「使用記錄指標」。
- 如要瞭解如何定義及使用記錄儲存空間層級的記錄指標,請參閱「記錄儲存空間的記錄指標」。
如果您定義自己的記錄指標,可能會產生費用。如要進一步瞭解指標擷取作業的相關費用,請參閱「計費指標」。
監控個別記錄項目中的訊息
如要在記錄檔項目中出現特定訊息時收到通知,請使用記錄式快訊政策。記錄快訊政策有助於在記錄項目中找出安全相關事件,例如:
- 您希望在稽核記錄中出現事件時收到通知,例如人類使用者存取服務帳戶的安全金鑰。
- 您的應用程式會將部署訊息寫入記錄檔,您希望在記錄部署變更時收到通知。
以記錄檔為準的快訊政策適用於您預期會發生但很少見的重要事件。您不想瞭解趨勢或模式,而是想知道發生了什麼事。
記錄型快訊政策是在專案中定義,且會在符合下列條件時掃描記錄項目:
- 已啟用計費功能。
- 記錄項目來自專案。
記錄項目來源專案或記錄項目轉送目標專案中的接收器,會將記錄項目轉送至記錄 bucket。
舉例來說,假設記錄項目源自專案
A。如果專案A中的記錄接收器將記錄項目轉送至記錄 bucket,則專案A中定義的記錄警告政策會掃描該記錄項目。再舉一個例子,假設記錄項目源自專案
X,且專案X中的記錄接收器會將記錄項目轉送至專案Y。如果專案Y中的接收器將記錄項目轉送至記錄 bucket,則專案X和專案Y中定義的記錄檔式快訊政策會掃描該記錄項目。
您無法使用記錄檔快訊政策,監控源自資料夾、帳單帳戶或機構的記錄項目,也無法監控未儲存在記錄檔 bucket 中的記錄項目。如果您建立匯總接收器,這些接收器可能會攔截記錄項目,導致記錄項目無法透過記錄項目來源專案中的接收器轉送。
如要瞭解如何建立以記錄為基礎的快訊政策,請參閱「設定以記錄為基礎的快訊政策」。
監控 SQL 查詢結果
您可以設定警報政策,使用記錄檔分析工具對記錄檔項目資料執行 SQL 查詢。如果想根據無法透過記錄型快訊政策評估的模式 (例如記錄項目中的複雜模式或記錄資料的匯總) 接收通知,這類快訊政策就非常實用。詳情請參閱「使用快訊政策監控 SQL 查詢結果」。
比較警報選項
本節會比較以記錄指標為基礎的警告政策、以記錄為基礎的警告政策,以及以 SQL 為基礎的警告政策。
摘要表格
下表摘要說明各種快訊技術,並提供額外資訊的連結:
| 以指標為準的快訊政策 | 以記錄為準的快訊政策 | 以 SQL 為基礎的快訊政策 | 更多資訊 |
|---|---|---|---|
| 根據從記錄項目衍生的指標 | 根據個別記錄項目中的字串 | 根據對記錄檔項目執行 SQL 查詢後傳回的資料表 | 記錄指標 記錄警報 以 SQL 為基礎的警報 |
| 用於通知您隨時間變化的趨勢 | 用於在記錄檔中出現特定訊息時通知您 | 用於在記錄檔項目視窗中通知您某種模式 | 記錄指標 記錄警報 以 SQL 為基礎的警報 |
計算方式:
|
僅比對包含的記錄項目 | 根據滑動時間區間內的記錄項目計算 | 可用的記錄檔項目 以 SQL 為基礎的警報 |
| 對限定範圍專案指標範圍內所有專案的指標執行作業 | 對符合下列條件的記錄項目執行作業:
|
對可透過連結資料集存取的記錄檢視畫面執行作業。連結的資料集可位於任何專案中。 | 指標範圍 已連結的資料集 |
| 當指標值在指定時間內符合條件時,系統就會建立事件 | 每當特定記錄項目符合篩選條件時,系統就會建立事件 | 查詢結果資料表符合條件時,系統會建立事件 | 事件和通知 |
| 在「監控」中建立及管理 | 在 Logging 中建立; 在 Monitoring 中管理 |
在記錄檔分析中建立,在監控中管理 | 建立及管理快訊政策 以 SQL 為基礎的快訊 |
| 在 Monitoring 中查看 | 在 Monitoring 中查看 | 在 Monitoring 中查看 | 查看快訊政策 |
| 可以使用 Monitoring 支援的任何通知管道 | 可以使用 Monitoring 支援的任何通知管道 | 可以使用 Monitoring 支援的任何通知管道 | 通知管道 |
可用的記錄項目
使用者定義的記錄指標是根據 Logging API 為 Google Cloud 專案接收的所有記錄項目計算而得,不論 Google Cloud 專案是否套用納入篩選器或排除篩選器。如果您根據使用者定義的記錄指標建立快訊政策,該政策就會監控所有記錄項目的資料。
系統定義的記錄指標只會根據Google Cloud 專案中記錄 bucket 儲存的記錄項目計算。如果記錄已明確排除,就不會包含在這些指標中。如果您根據系統定義的記錄指標建立快訊政策,該政策只會監控所含記錄項目的資料。
記錄型快訊政策是在專案中定義,且會在符合下列條件時掃描記錄項目:
- 已啟用計費功能。
- 記錄項目來自專案。
記錄項目來源專案或記錄項目轉送目標專案中的接收器,會將記錄項目轉送至記錄 bucket。
舉例來說,假設記錄項目源自專案
A。如果專案A中的記錄接收器將記錄項目轉送至記錄 bucket,則專案A中定義的記錄警告政策會掃描該記錄項目。再舉一個例子,假設記錄項目源自專案
X,且專案X中的記錄接收器會將記錄項目轉送至專案Y。如果專案Y中的接收器將記錄項目轉送至記錄 bucket,則專案X和專案Y中定義的記錄檔式快訊政策會掃描該記錄項目。
您無法使用記錄檔快訊政策,監控源自資料夾、帳單帳戶或機構的記錄項目,也無法監控未儲存在記錄檔 bucket 中的記錄項目。如果您建立匯總接收器,這些接收器可能會攔截記錄項目,導致記錄項目無法透過記錄項目來源專案中的接收器轉送。
以 SQL 為基礎的警告政策會查詢記錄檔 bucket 中的記錄檔檢視區塊。 這些記錄檔 bucket 必須升級才能使用 Log Analytics,然後連結至 BigQuery 資料集。如要進一步瞭解以 SQL 為基礎的快訊政策,請參閱「使用快訊政策監控 SQL 查詢結果」。
監控多項專案的指標
您可以設定指標範圍,監控多項專案的指標。指標範圍會列出監控的所有專案和帳戶。限定範圍專案會代管指標範圍。範圍專案會儲存您為指標範圍建立的警告政策和其他設定。指標範圍的範圍設定專案,是透過 Google Cloud 控制台專案選擇工具選取的專案。
以記錄指標為準的快訊政策,與以其他指標為準的快訊政策一樣,適用於限定範圍專案指標範圍內的所有專案。
指標範圍與以記錄項目為準的快訊政策無關,例如以記錄為準和以 SQL 為準的政策。
如要進一步瞭解指標範圍 (包括多專案指標範圍) 和限定範圍專案,請參閱下列文章:
事件和通知
當符合快訊政策的條件時,Monitoring 會開啟事件,並將通知傳送至快訊政策的通知管道。如要查看事件詳細資料,請按一下通知訊息中的「查看事件」,或直接前往「監控」中的「事件」頁面。
指標型快訊政策的事件
與 Monitoring 中所有其他以指標為準的快訊政策一樣,以記錄指標為準的快訊政策會建立事件和通知,詳情請參閱「快訊行為」。如要進一步瞭解如何管理指標型快訊政策的事件,請參閱「指標型快訊政策的事件」。
以記錄為準的警告政策事件
記錄型快訊政策並非以指標為準的快訊政策。當記錄項目符合記錄式快訊政策的條件時,Monitoring 會建立事件和通知,如下所示:
當 Cloud Logging 首次在記錄 bucket 中寫入符合快訊政策查詢條件的記錄項目時,系統會建立事件並傳送通知。如果隨後寫入另一個相符的記錄項目,只有在先前的事件已結案時,系統才會建立新事件。不過,系統最多可能需要三分鐘才能清除已結案的事件。如果在關閉事件後三分鐘內收到相符的記錄項目,系統可能會重新開啟該事件,而不是建立新事件。
建立記錄型快訊政策時,您可以指定通知間隔時間下限。舉例來說,你可以選取 10 分鐘做為通知傳送間隔時間。如果記錄檔式快訊政策的條件在該期間內符合兩次,您只會收到一則通知。
以記錄檔為準的快訊政策事件發生率上限為每 5 分鐘 1 個事件。如果記錄型快訊政策的查詢會擷取標籤值,則每個擷取值組合都會代表各自的事件時間軸。舉例來說,假設以記錄為準的快訊政策會擷取標籤的值,而標籤可以有兩個值。完成這項設定後,系統會在 5 分鐘內開啟兩起事件,分別對應每個標籤值。
以記錄檔為準的警告政策每天最多可產生 20 個事件。如果達到上限,通知會顯示你已達到當日上限。
自動關閉期限到期時,事件就會自動關閉。 預設的自動關閉時間為 7 天。
自動關閉期限是指事件必須經過的時間長度,如果事件原因未重複發生,系統就會關閉事件。因此,如果事件處於開啟狀態,且原因再次發生,事件的開啟時間可能會比自動關閉時間長。
如要進一步瞭解如何管理記錄型快訊政策的事件,請參閱「管理記錄型快訊政策的事件」。
SQL 型警告政策的事件
如果是以 SQL 為基礎的警告政策,當 SQL 查詢結果首次符合政策中指定的條件時,Cloud Monitoring 就會建立事件。每個快訊政策只能有一個未解決事件。事件開啟期間,如果再次符合條件,Monitoring 不會建立其他事件或傳送額外通知。除非您設定較短的事件結案期限或自行結案,否則 Monitoring 會在七天後關閉以 SQL 為基礎的事件。
如要進一步瞭解如何管理以 SQL 為基礎的快訊政策事件,請參閱「管理以 SQL 為基礎的快訊政策事件」。
建立及管理快訊政策
在 Cloud Monitoring 中,您可以根據記錄指標建立、修改及刪除快訊政策,就像其他以指標為準的快訊政策一樣。詳情請參閱「管理政策」。
您可以使用記錄檔探索工具或 Cloud Monitoring API,建立記錄指標快訊政策。您可以在 Monitoring 中或使用 Cloud Monitoring API,修改及刪除記錄快訊政策。詳情請參閱「管理以記錄為基礎的快訊政策」。
您可以使用記錄檔分析工具或 Cloud Monitoring API,建立以 SQL 為基礎的快訊政策。您可以在 Monitoring 中修改及刪除以 SQL 為基礎的快訊政策,也可以使用 Cloud Monitoring API 進行這項操作。詳情請參閱「使用快訊政策監控 SQL 查詢結果」。
查看快訊政策
「監控」中的「政策」頁面會列出 Google Cloud 專案中的所有警報政策。這份清單包含使用記錄指標和記錄警告政策的政策。
-
前往 Google Cloud 控制台的 notifications「Alerting」(警告) 頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 選取「查看所有政策」。
以記錄為準的快訊政策會顯示在清單中,且「類型」欄中的值為 Logs。清單中會顯示以指標為依據的快訊政策,包括記錄指標,且「類型」欄中的值為 Metrics。以 SQL 為基礎的警報政策會顯示在清單中,且「類型」欄中的值為 SQL。
以下螢幕截圖顯示政策清單的摘錄內容:
通知管道
您可以將任何類型的快訊政策通知傳送至 Monitoring 支援的任何通知管道。您必須先設定好這些管道,才能在快訊政策中使用。
詳情請參閱「管理通知管道」。
授權規定
使用記錄指標或記錄快訊政策時,必須同時取得 Cloud Logging 和 Cloud Monitoring 的授權。
如要瞭解使用者定義的記錄指標,請參閱「記錄指標的權限」。
如要瞭解記錄警告政策,請參閱記錄警告政策的權限。
如要瞭解以 SQL 為基礎的警告政策,請參閱以 SQL 為基礎的警告政策權限。
費用與限制
如果您定義自己的記錄指標,則適用下列事項:
- 使用者定義的記錄指標數量和結構設有限制。如要進一步瞭解這些限制,請參閱記錄指標的限制。
- 使用者定義的記錄指標可能會產生費用。 如要進一步瞭解指標擷取作業的相關費用,請參閱計費指標。
- 以 SQL 為基礎的快訊政策會在 Google Cloud 專案的 BigQuery 預留空間中執行。您可能需要支付 BigQuery 預留項目的費用。如要進一步瞭解 BigQuery 預留項目相關費用,請參閱 BigQuery 定價。
使用以記錄檔為準指標的快訊政策不會產生任何費用。
下列與快訊政策相關的 Monitoring 限制適用:
| 類別 | 值 | 政策類型1 |
|---|---|---|
| 每個指標範圍的快訊政策 (指標和記錄的總和) 2 | 2,000 | 指標、記錄 |
| 每個以指標為準的快訊政策的條件 | 6 | 指標 |
| 每個以 SQL 為基礎的警告政策 (公開預先發布版) 的條件 | 1 | SQL |
| 以 SQL 為基礎的警告政策查詢執行時間上限 (公開搶先版) | 5 分鐘 | SQL |
| 缺少指標條件的評估時間範圍上限 3 |
1 天 | 指標 |
| 指標門檻值條件的評估時間範圍上限3 |
23 個小時 30 分鐘 | 指標 |
| 指標門檻值條件中使用的篩選器長度上限 |
2,048 個 Unicode 字元 | 指標 |
| 預測條件監控的時間序列數量上限 |
64 | 指標 |
| 最短預測期間 | 1 小時 (3,600 秒) | 指標 |
| 最長預測期間 | 2.5 天 (216,000 秒) | 指標 |
| 每個快訊政策的通知管道 | 16 | 全部 |
| 記錄快訊的事件發生率上限4 |
每 5 分鐘發生 1 起事件 | 記錄 |
| 記錄快訊的事件數量上限 |
每個以記錄為準的快訊政策每天最多 20 個事件 | 記錄 |
| 記錄快訊的每個事件最多可發送 5 則通知 |
每個事件每天最多 20 則通知 | 記錄 |
| 每個專案同時觸發的快訊政策數量上限 |
80,000 | 全部 |
| 每個快訊政策中同時存在的未解決事件數量上限 |
1,000 | 全部 |
| 事件在沒有新資料時自動關閉的 時間長度 |
7 天 | 指標、SQL |
| 事件的效期上限 (如果未手動關閉) | 7 天 | 記錄 |
| 保留已結案的事件 | 13 個月 | 不適用 |
| 保留未結案的事件 | 無限期 | 不適用 |
| 每個指標範圍的通知管道 | 4,000 | 不適用 |
| 每次延後最多可延後的快訊政策數量 | 16 | 全部 |
| 保留延後項目 | 13 個月 | 不適用 |
2每個指標範圍的預設上限為 2,000,您可以要求調高至 10,000。 Apigee 和 Apigee Hybrid 與 Cloud Monitoring 緊密整合。所有 Apigee 訂閱層級 (Standard、Enterprise 和 Enterprise Plus) 的快訊限制,都與 Cloud Monitoring 相同:每個指標範圍 2,000 個。
3條件評估的最長時間為對齊週期和持續時間範圍值的總和。舉例來說,如果對齊週期設為 15 小時,時間範圍設為 15 小時,則評估條件時需要 30 小時的資料。
4 如果以記錄為準的快訊政策查詢會擷取標籤值,則每個擷取值組合都會代表各自的事件時間軸。舉例來說,假設以記錄為準的快訊政策會擷取標籤的值,而標籤可以有兩個值。完成這項設定後,系統會在同一 5 分鐘內,為每個標籤值建立一個事件。
5如果是記錄快訊,當系統收到符合篩選條件的記錄項目,且距離最近一次通知已過至少 5 分鐘時,監控功能就會針對未結事件傳送新通知。每個事件每天最多會傳送 20 則通知。系統會將每則通知傳送至快訊政策的所有已設定通知管道。