このドキュメントでは、Cloud Monitoring を使用してログの傾向を確認し、記述した条件の発生時に通知する方法について説明します。Cloud Monitoring にログのデータを提供するため、ロギングには次の機能があります。
- ログベースの指標で、次のように使用できます。
- 経時的な変化を通知するアラート ポリシーを作成する。
- 経時的な変化を表すグラフを作成する。
- ログに特定のイベントが表示されるたびに通知する、ログベースのアラート。
長い時間ログをモニタリングする場合は、ログベースの指標に基づいてグラフやアラート ポリシーを使用します。
メッセージがログに表示されたことをほぼリアルタイムで通知する場合は、ログベースのアラートを使用します。
このドキュメントの残りの部分では、ログベースの指標とアラートの選択方法と、それらの違い、承認、費用、制限について説明します。
ログベースの指標
一定期間内のログの繰り返しイベントをモニタリングする場合は、ログベースの指標を使用します。ログベースの指標は、ログから数値データを生成します。ログベースの指標は、次のいずれかを行う場合に適しています。
- ログ内で警告やエラーなどのメッセージの発生回数をカウントし、しきい値を超えると通知を受け取る。
- ログのレイテンシ値などのデータの傾向を監視し、許容できない値に変化した場合に通知を受け取る。
- グラフを作成して、ログから抽出した数値データを表示する。
ログベースの指標はログから数値データを生成するため、アラート ポリシーでログベースの指標を使用して、グラフに表示できます。ログベースの指標のアラート ポリシーとグラフの作成については、グラフとアラートの作成をご覧ください。
Cloud Monitoring には、事前定義された一連のログベースの指標が用意されており、それで独自の指標を定義できます。システム定義のログベースの指標のリストを表示するには、次のボタンをクリックします。add_circle
ユーザー定義のログベースの指標
ログから数値データを抽出するには、ログベースの指標を作成します。ユーザー定義のログベースの指標は、含まれるログと除外されたログの両方から値を計算します。
デフォルトの場合、ユーザー定義のログベースの指標は、Google Cloud プロジェクトのログルーターによって受信されたすべてのログからデータを収集しますが、特定のログバケットに転送されたログからデータを収集するログベースの指標を定義できます。
- プロジェクト レベルのログベースの指標を定義して使用する方法については、ログベースの指標の使用をご覧ください。
- バケットレベルのログベースの指標を定義して使用する方法については、ログバケットでのログベースの指標をご覧ください。
独自のログベースの指標を定義すると、料金が発生する可能性があります。指標の取り込みに関連する費用の詳細については、課金対象の指標をご覧ください。
ログベースのアラート
ログ内で特定のメッセージが発生するたびに通知を受け取るには、ログベースのアラートを使用します。ログに基づくアラートは、次のようにログ内でセキュリティ関連のイベントを検出するのに適しています。
- 人間のユーザーがサービス アカウントのセキュリティ キーにアクセスするようなイベントが監査ログに表示されたとき。
- アプリケーションがログにデプロイ メッセージを書き込み、デプロイの変更がログに記録されたとき。
ログベースのアラートは、まれなイベントまたは重要なイベントに最適です。トレンドやパターンではなく、何かが起こったことを知ることが大事です。
ログベースのアラートの作成方法については、ログベースのアラートの使用をご覧ください。
ログベースの指標を定義し、しきい値を 1 にしたアラート ポリシーで指標を使用することによって、ログベースのアラートをシミュレートできます。ログベース アラートは、ログを作成しなくてもその動作を提供し、指標に基づくアラート ポリシーを構成します。
アラート オプションの比較
このセクションでは、ログベースの指標に基づいて構築されたアラート ポリシーとログベースのアラートを比較します。
サマリー テーブル
次の表では、アラート手法の概要と、このドキュメントの追加情報へのリンクを示します。
ログベースの指標に関するアラート | ログベースのアラート | 詳細 |
---|---|---|
ログエントリから派生した指標に基づく | 個別のログエントリの文字列に基づく | ログベースの指標と ログベースのアラート |
時系列でトレンドを通知するために使用される | ログに特定のメッセージがあるときに通知するために使用される | ログベースの指標と ログベースのアラート |
次から計算
|
含まれるログのみの一致 | 使用可能なログ |
スコープ対象プロジェクトの指標スコープ内のすべてのプロジェクトの指標を操作する | スコープ プロジェクトのログのみを操作する | 複数のプロジェクトにわたるアラート |
指標の値が指定した期間に条件を満たすとトリガーされる | 特定のログエントリがフィルタに一致するたびにトリガーされる | インシデントと通知 |
Monitoring で作成され、管理される | Logging で作成され、 Monitoring で管理される |
アラート ポリシーの作成と管理 |
Monitoring で表示される | Monitoring で表示される | アラート ポリシーの表示 |
Monitoring でサポートされている任意の通知チャンネルを使用できる | Monitoring でサポートされている任意の通知チャンネルを使用できる | 通知チャネル |
使用可能なログ
ユーザー定義のログベースの指標は、Cloud プロジェクトに適用されている包含フィルタまたは除外フィルタにかかわらず、Google Cloud プロジェクトの Logging API によって受信されたすべてのログから計算されます。ユーザー定義のログベースの指標に基づいてアラート ポリシーを作成すると、ポリシーはすべてのログからデータをモニタリングします。
システム定義のログベースの指標は、Google Cloud プロジェクトのログバケットに保存されているログからのみ計算されます。明示的に除外されているログは、これらの指標に含まれません。システム定義のログベースの指標に基づいてアラート ポリシーを作成すると、ポリシーは、含まれるログからのデータのみをモニタリングします。
ログベースのアラートは、含まれているログに対してのみ機能します。ログベースのアラートを使用して、除外されたログ内のメッセージについて通知することはできません。
ログベースの指標とログベースのアラートは、個々のバケットではなく、Google Cloud プロジェクトのスコープで動作します。
複数のプロジェクトにわたるアラート
指標スコープを構成することで、複数のプロジェクトの指標をモニタリングできます。指標スコープは、モニタリングしているすべてのプロジェクトとアカウントを一覧表示します。スコープ プロジェクトは、指標のスコープをホストします。スコープ対象プロジェクトには、指標スコープ用に作成したアラート ポリシーとその他の構成が保存されます。指標スコープのスコープ対象プロジェクトは、Google Cloud コンソールのプロジェクト選択ツールで選択したプロジェクトです。
ログベースの指標に基づくアラート ポリシー(他の指標に基づくアラート ポリシーなど)は、スコープ対象プロジェクトの指標スコープ内のすべてのプロジェクトに対して機能します。
ログベースのアラートは、指標スコープでは機能しません。プロジェクトのログは指標スコープに含まれません。ログベースのアラートは、現在のプロジェクトから発生したか、現在のプロジェクトにルーティングされたログのみを評価します。
マルチ プロジェクト指標のスコープを含む指標のスコープとスコープ対象プロジェクトの詳細については、以下をご覧ください。
インシデントと通知
アラート ポリシーがトリガーされると、Monitoring でインシデントが開き、選択したチャネルに通知が送信されます。インシデントの詳細を表示するには、通知メッセージの [インシデントを表示] をクリックするか、Monitoring の [インシデント] ページに直接移動します。
アラートの動作で説明しているように、ログベースの指標に基づくアラート ポリシーは、Monitoring の他のすべての指標ベースのアラート ポリシーと同様にインシデントと通知を作成します。指標ベースのアラート ポリシーのインシデント管理の詳細については、指標ベースのアラートのインシデントをご覧ください。
ログベースのアラートは、指標ベースのアラートではありません。ログベースのアラートでは、次のようにインシデントと通知が作成されます。
アラートクエリに一致するログエントリを初めて Cloud Logging がログバケットに書き込むと、インシデントが作成され、通知が送信されます。その後、一致する別のログエントリが書き込まれると、前のインシデントがクローズされている場合にのみ新しいインシデントが作成されます。ただし、クローズされたインシデントが完全に削除されるまで、最大 3 分かかることがあります。インシデントを閉じてから 3 分以内に一致するログエントリを受け取った場合、システムは新しいインシデントを作成せずに、そのインシデントを再開する可能性があります。
通知は、ログベースのアラートごとに 1 日あたり 20 件に制限されています。この上限に達した場合、その日の制限に達したというメッセージが通知に含まれます。
ログベースのアラートを作成する際、通知間の最小期間を指定することで、繰り返しの通知を削減できます。たとえば、通知間の期間として 10 分を選択していて、その期間内にログベースのアラートが 2 回トリガーされた場合は、受け取る通知は 1 つだけになります。
通知の最大数は、ログベースのアラートごとに 5 分あたり 1 件の通知です。
より短い期間を構成することや、手動でインシデントをクローズすることを行わない限り、インシデントは 7 日後に自動的にクローズされます。
これらのインシデントの管理の詳細については、ログベースのアラートのインシデントの管理をご覧ください。
アラート ポリシーの作成と管理
Cloud Monitoring では、他の指標ベースのアラート ポリシーと同様に、ログベースの指標に基づいてアラート ポリシーの作成、変更、削除を行います。詳細については、ポリシーの管理をご覧ください。
ログベースのアラートは、ログ エクスプローラまたは Cloud Monitoring API を使用して作成できます。Monitoring でログベースの指標の変更と削除を行います。詳細については、ログベースのアラートの管理をご覧ください。
アラート ポリシーの表示
Monitoring の [ポリシー] ページには、Google Cloud プロジェクトのすべてのアラート ポリシーが表示されます。このリストには、ログベースの指標とログベースのアラートを使用するポリシーが含まれています。
-
Google Cloud コンソールのナビゲーション パネルで、[Monitoring] を選択してから、notifications[アラート] を選択します。
- [すべてのポリシーを見る] を選択します。
ログベースの指標は、[タイプ] 列の値が Logs
であるリストに表示されます。指標によるアラート(ログベースの指標を含む)は、[タイプ] 列の値が Metrics
であるリストに表示されます。次のスクリーンショットは、ポリシーリストの抜粋を示しています。
通知チャネル
指標ベースのアラートとログベースのアラートの両方を、Monitoring でサポートされている通知チャネルに送信できます。アラート ポリシーで使用する前に、これらのチャネルを構成する必要があります。
詳細については、通知チャンネルの管理をご覧ください。
承認の要件
ログベースの指標またはログベースのアラートを使用するには、Cloud Logging と Cloud Monitoring の両方の承認が必要です。
ユーザー定義のログベースの指標については、ログベースの指標の権限をご覧ください。
ログベースのアラートについては、ログベースのアラートの権限をご覧ください。
コストと制限
独自のログベースの指標を定義すると、以下が適用されます。
- ユーザー定義のログベースの指標の数と構造には上限があります。これらの上限の詳細については、ログベースの指標の制限をご覧ください。
- ユーザー定義のログベースの指標には料金が発生する場合があります。指標の取り込みに関連する費用の詳細については、課金対象の指標をご覧ください。
ログベースの指標に基づくアラート ポリシーの使用に伴う課金はありません。
アラート ポリシーに関連する次の Monitoring の上限が適用されます。
カテゴリ | 値 | ポリシータイプ 1 |
---|---|---|
指標スコープごとのアラート ポリシー(指標とログの合計)2 | 500 | 指標、ログ |
1 アラート ポリシーあたりの条件数 | 6 | 指標 |
指標の不在条件が評価される 最大期間 3 |
1 日 | 指標 |
指標のしきい値条件が評価される 最大期間 3 |
23 時間 30 分 | 指標 |
指標しきい値条件で使用される フィルタの最大長 |
2,048 Unicode 文字 | 指標 |
予測条件でモニタリングされる 時系列の最大数 |
64 | 指標 |
最小予測ウィンドウ | 1 時間(3,600 秒) | 指標 |
最大予測期間 | 2.5 日(216,000 秒) | 指標 |
1 アラート ポリシーあたりの通知チャンネル数 | 16 | 指標、ログ |
通知の最大レート | ログベースのアラートごとに 5 分あたり 1 件の通知 | ログ |
通知の最大数 | ログベースのアラートごとに 1 日あたり 20 件の通知 | ログ |
1 アラート ポリシーあたりの 同時対応待ちインシデントの最大数 |
1,000 | 指標 |
新規データのないインシデントが 自動的に終了するまでの期間 |
7 日 | 指標 |
手動で終了していない場合のインシデントの最長時間 | 7 日 | ログ |
終了したインシデントの保持 | 13 か月 | 該当なし |
対応待ちのインシデント | 期限なし | 該当なし |
指標スコープごとの通知チャネル | 4,000 | 該当なし |
スヌーズごとのアラート ポリシーの最大数 | 16 | 指標、ログ |
スヌーズの保持 | 13 か月 | 該当なし |
2Apigee と Apigee ハイブリッドは Cloud Monitoring と緊密に統合されています。すべての Apigee サブスクリプション レベル(Standard、Enterprise、Enterprise Plus)のアラート数の上限は、Cloud Monitoring と同じで、1 指標スコープあたり 500 です。
3条件が評価する最大期間は、アライメント期間と期間時間枠の値の合計です。たとえば、アライメント期間が 15 時間、期間時間枠が 15 時間に設定されている場合、30 時間分のデータが条件を評価するために必要です。