ログをモニタリングする

このドキュメントでは、Cloud Monitoring を使用してログの傾向を確認し、記述した条件の発生時に通知する方法について説明します。Cloud Monitoring にログのデータを提供するため、ロギングには次の機能があります。

ログベースの指標で、次のように使用できます。
- 経時的な変化を通知するアラートポリシーを作成する。
- 経時的な変化を表すグラフを作成する。
ログに特定のイベントが表示されるたびに通知する、ログベースのアラートポリシー。

長い時間ログをモニタリングする場合は、ログベースの指標に基づいてグラフやアラートポリシーを使用します。

メッセージがログに表示されたことをほぼリアルタイムで通知する場合は、ログベースのアラートポリシーを使用します。

このドキュメントの残りの部分では、ログベースの指標とアラートポリシーの選択方法と、それらの違い、承認、費用、制限について説明します。

ログベースの指標

一定期間内のログの繰り返しイベントをモニタリングする場合は、ログベースの指標を使用します。ログベースの指標は、ログから数値データを生成します。ログベースの指標は、次のいずれかを行う場合に適しています。

ログ内で警告やエラーなどのメッセージの発生回数をカウントし、しきい値を超えると通知を受け取る。
ログのレイテンシ値などのデータの傾向を監視し、許容できない値に変化した場合に通知を受け取る。
グラフを作成して、ログから抽出した数値データを表示する。

ログベースの指標はログから数値データを生成するため、アラートポリシーでログベースの指標を使用して、グラフに表示できます。ログベースの指標のアラートポリシーとグラフの作成については、ログベースの指標の通知を構成するをご覧ください。

Cloud Monitoring には、事前定義された一連のログベースの指標が用意されており、それで独自の指標を定義できます。システム定義のログベースの指標のリストを表示するには、次のボタンをクリックします。

システム定義のログベースの指標

次の表の指標タイプの文字列には、logging.googleapis.com/ という接頭辞を付ける必要があります。この接頭辞は表内で省略されています。ラベルをクエリする場合は、metric.labels. 接頭辞を使用します（例: metric.labels.LABEL="VALUE"）。

指標タイプ^{リリースステージ} 表示名
種類、タイプ、単位モニタリング対象リソース	説明ラベル
`billing/bytes_ingested` ^GA ログバケットにストリーミングされたバイト数
`DELTA`、`INT64`、`By` グローバル	インデックス登録、クエリ、分析のためにログバケットにストリーミングされたバイト数。最大 30 日分の保存容量が含まれます。60 秒ごとにサンプリングされます。サンプリング後、データは最長 300 秒間表示されません。 `resource_type`: ログエントリのモニタリング対象リソースタイプ。
`billing/bytes_stored` ^ベータ版ロギングの保持
`GAUGE`、`INT64`、`By` グローバル	デフォルトの 30 日を超えて保持されたログのボリューム。60 秒ごとにサンプリングされます。サンプリング後、データは最長 300 秒間表示されません。 `data_type`: このフィールドは、ここで報告されたログのボリュームが、デフォルトの 30 日をすぎた保持に対して課金されることを示します。報告されたすべての保持の data_type は「CHARGED」に設定されます。 `log_bucket_location`: ログバケットの配置場所。 `log_bucket_id`: ログバケットの ID。
`billing/log_bucket_bytes_ingested` ^ベータ版ログバケットにストリーミングされたバイト数
`DELTA`、`INT64`、`By` グローバル	インデックス登録、クエリ、分析のためにログバケットにストリーミングされたバイト数。最大 30 日分の保存容量が含まれます。60 秒ごとにサンプリングされます。サンプリング後、データは最長 300 秒間表示されません。 `log_source`: ログの取得元となるリソースコンテナ。 `resource_type`: ログバケットにストリーミングされたログのモニタリング対象リソースタイプ。 `log_bucket_location`: ログバケットが存在するロケーション。 `log_bucket_id`: ログバケットの ID。
`billing/log_bucket_monthly_bytes_ingested` ^ベータ版毎月ログバケットにストリーミングされるバイト数
`GAUGE`、`INT64`、`By` グローバル	今月初来のインデックス登録、クエリ、分析のためにログバケットにストリーミングされたバイト数。最大 30 日分の保存容量が含まれます。1800 秒ごとにサンプリングされます。サンプリング後、データは最長 6000 秒間表示されません。 `log_source`: ログの取得元となるリソースコンテナ。 `resource_type`: ログバケットにストリーミングされたログのモニタリング対象リソースタイプ。 `log_bucket_location`: ログバケットが存在するロケーション。 `log_bucket_id`: ログバケットの ID。
`billing/monthly_bytes_ingested` ^GA ログバケットにストリーミングされた月間バイト数
`GAUGE`、`INT64`、`By` グローバル	インデックス登録、クエリ、分析のためにログバケットにストリーミングされた月初来のバイト数。最大 30 日分の保存容量が含まれます。1800 秒ごとにサンプリングされます。サンプリング後、データは最長 6000 秒間表示されません。 `resource_type`: ログエントリのモニタリング対象リソースタイプ。
`byte_count` ^一般提供ログバイト数
`DELTA`、`INT64`、`By`	ログバケットにストリーミングされたログエントリのバイト数。除外されたログはカウントされません。60 秒ごとにサンプリングされます。 `log`: ログの名前。 `severity`: ログエントリの重要度。
`dropped_log_entry_count` ^非推奨ログベースの指標のエラー数（非推奨）
`DELTA`、`INT64`、`1`	代わりに「logging.googleapis.com/logs_based_metrics_error_count」を使用してください。60 秒ごとにサンプリングされます。 `log`: ログの名前。
`exports/byte_count` ^一般提供エクスポートされたログのバイト数
`DELTA`、`INT64`、`By` ログのシンク	エクスポートされたログエントリのバイト数。60 秒ごとにサンプリングされます。サンプリング後、データは最長 420 秒間表示されません。
`exports/error_count` ^一般提供エクスポートされたログエントリの失敗数
`DELTA`、`INT64`、`1` ログのシンク	エクスポートできなかったログエントリの数。60 秒ごとにサンプリングされます。サンプリング後、データは最長 420 秒間表示されません。
`exports/log_entry_count` ^一般提供エクスポートされたログエントリ数
`DELTA`、`INT64`、`1` ログのシンク	エクスポートされたログエントリの数。60 秒ごとにサンプリングされます。サンプリング後、データは最長 420 秒間表示されません。
`log_entry_count` ^一般提供ログエントリ
`DELTA`、`INT64`、`1`	ログバケットにストリーミングされたログエントリの数。デフォルトでは、ログエントリの保持期間は 30 日間です。除外されたログはカウントされません。60 秒ごとにサンプリングされます。 `log`: ログの名前。 `severity`: ログエントリの重要度。
`logs_based_metrics_error_count` ^一般提供ログベースの指標のエラー数
`DELTA`、`INT64`、`1`	システムまたはユーザー定義のログベースの指標でカウントされない、ログバケットにストリーミングされたログエントリの数。この状況は、ログエントリのタイムスタンプが、実際の受信時刻より 24 時間以上前または 10 分後である場合に発生します。60 秒ごとにサンプリングされます。 `log`: ログの名前。
`metric_label_cardinality` ^ベータ版ログベースの指標のアクティブなカーディナリティの数（ラベル別）
`GAUGE`、`INT64`、`1` 指標	ログベースの指標の各指標ラベルのカーディナリティ見積もり。見積りは約 25 時間にわたって計算されます。60 秒ごとにサンプリングされます。サンプリング後、データは最長 270 秒間表示されません。 `label`: 指標ラベルの名前。
`metric_label_throttled` ^ベータ版ログベースの指標ラベルの絞り込みステータス
`GAUGE`、`BOOL`、指標	カーディナリティの制限を超えたために、ログベースの指標で指標ラベルがドロップされていることを示します。60 秒ごとにサンプリングされます。サンプリング後、データは最長 270 秒間表示されません。 `label`: 指標ラベルの名前。
`metric_throttled` ^一般提供ログベースの指標の絞り込みステータス
`GAUGE`、`BOOL`、指標	アクティブな時系列（カーディナリティ）の上限を超えたために、ログベースの指標でラベルまたはポイントがドロップされていることを示します。60 秒ごとにサンプリングされます。サンプリング後、データは最長 270 秒間表示されません。
`time_series_count` ^ベータ版ログベースの指標のアクティブな時系列（カーディナリティ）の数
`GAUGE`、`INT64`、`1` 指標	ログベースの指標のアクティブな時系列（カーディナリティ）の推定。指標ラベルのみがカウントされ、推定は約 25 時間で計算されます。60 秒ごとにサンプリングされます。サンプリング後、データは最長 270 秒間表示されません。

表の生成日時: 2024-05-23 21:36:30 UTC。

ユーザー定義のログベースの指標

ログから数値データを抽出するには、ログベースの指標を作成します。ユーザー定義のログベースの指標は、含まれるログと除外されたログの両方から値を計算します。

デフォルトの場合、ユーザー定義のログベースの指標は、Google Cloud プロジェクトのログルーターによって受信されたすべてのログからデータを収集しますが、特定のログバケットに転送されたログからデータを収集するログベースの指標を定義できます。

プロジェクトレベルのログベースの指標を定義して使用する方法については、ログベースの指標の使用をご覧ください。
バケットレベルのログベースの指標を定義して使用する方法については、ログバケットでのログベースの指標をご覧ください。

独自のログベースの指標を定義すると、料金が発生する可能性があります。指標の取り込みに関連する費用の詳細については、課金対象の指標をご覧ください。

ログベースのアラート

ログ内で特定のメッセージが発生するたびに通知を受け取るには、ログベースのアラートポリシーを使用します。ログベースのアラートポリシーは、次のようにログ内でセキュリティ関連のイベントを検出するのに役立ちます。

人間のユーザーがサービスアカウントのセキュリティキーにアクセスするようなイベントが監査ログに表示されたとき。
アプリケーションがログにデプロイメッセージを書き込み、デプロイの変更がログに記録されたとき。

ログベースのアラートポリシーは、まれなイベントと重要なイベントの両方に役立ちます。トレンドやパターンではなく、何かが起こったことを知ることが大事です。

ログベースのアラートポリシーの作成方法については、ログベースのアラートポリシーの使用をご覧ください。

指標ベースのアラートポリシーを構成して、ログベースのアラートポリシーをシミュレートできます。これを行うには、ログベースの指標を定義し、しきい値が 1 の指標ベースのアラートポリシーでその指標を使用します。ログベースアラートポリシーは、ログを作成しなくてもその動作を提供し、指標に基づくアラートポリシーを構成します。

アラートオプションの比較

このセクションでは、ログベースの指標に基づいて構築されたアラートポリシーとログベースのアラートポリシーを比較します。

サマリーテーブル

次の表では、アラート手法の概要と、このドキュメントの追加情報へのリンクを示します。

ログベースの指標からのインシデント	ログベースのアラートポリシー	詳細
ログエントリから派生した指標に基づく	個別のログエントリの文字列に基づく	ログベースの指標とログベースのアラート
時系列でトレンドを通知するために使用される	ログに特定のメッセージがあるときに通知するために使用される	ログベースの指標とログベースのアラート
次から計算含まれるログ（システム定義のログベースの指標）含まれるログと除外されたログ（ユーザー定義のログベースの指標）	含まれるログのみの一致	使用可能なログ
スコーププロジェクトの指標スコープ内のすべてのプロジェクトの指標を操作する	スコーププロジェクトのログのみを操作する	複数のプロジェクトにわたるアラート
指標の値が指定した期間に条件を満たすとトリガーされる	特定のログエントリがフィルタに一致するたびにトリガーされる	インシデントと通知
Monitoring で作成され、管理される	Logging で作成され、 Monitoring で管理される	アラートポリシーの作成と管理
Monitoring で表示される	Monitoring で表示される	アラートポリシーの表示
Monitoring でサポートされている任意の通知チャンネルを使用できる	Monitoring でサポートされている任意の通知チャンネルを使用できる	通知チャネル

使用可能なログ

ユーザー定義のログベースの指標は、Cloud プロジェクトに適用されている包含フィルタまたは除外フィルタにかかわらず、Google Cloud プロジェクトの Logging API によって受信されたすべてのログから計算されます。ユーザー定義のログベースの指標に基づいてアラートポリシーを作成すると、ポリシーはすべてのログからデータをモニタリングします。

システム定義のログベースの指標は、Google Cloud プロジェクトのログバケットに保存されているログからのみ計算されます。明示的に除外されているログは、これらの指標に含まれません。システム定義のログベースの指標に基づいてアラートポリシーを作成すると、ポリシーは、含まれるログからのデータのみをモニタリングします。

ログベースのアラートポリシーは、含まれるログに対してのみ動作します。ログベースのアラートポリシーを使用して、除外されたログ内のメッセージについて通知することはできません。

ログベースの指標とログベースのアラートポリシーは、個々のバケットではなく、Google Cloud プロジェクトのスコープで動作します。

複数のプロジェクトにわたるアラート

指標スコープを構成することで、複数のプロジェクトの指標をモニタリングできます。指標スコープは、モニタリングしているすべてのプロジェクトとアカウントを一覧表示します。スコーププロジェクトは、指標のスコープをホストします。スコープ対象プロジェクトには、指標スコープ用に作成したアラートポリシーとその他の構成が保存されます。指標スコープのスコープ対象プロジェクトは、Google Cloud コンソールのプロジェクト選択ツールで選択したプロジェクトです。

ログベースの指標に基づくアラートポリシー（他の指標に基づくアラートポリシーなど）は、スコープ対象プロジェクトの指標スコープ内のすべてのプロジェクトに対して機能します。

ログベースのアラートポリシーは、指標スコープでは機能しません。プロジェクトのログは指標スコープに含まれません。ログベースのアラートポリシーは、現在のプロジェクトで発生したログまたは現在のプロジェクトにルーティングされたログのみを評価します。

マルチプロジェクト指標のスコープを含む指標のスコープとスコーピングプロジェクトの詳細については、以下をご覧ください。

インシデントと通知

アラートポリシーの条件が満たされると、Monitoring によってインシデントが開かれ、アラートポリシーの通知チャンネルに通知が送信されます。インシデントの詳細を表示するには、通知メッセージの [インシデントを表示] をクリックするか、Monitoring の [インシデント] ページに直接移動します。

アラートの動作で説明しているように、ログベースの指標に基づくアラートポリシーは、Monitoring の他のすべての指標ベースのアラートポリシーと同様にインシデントと通知を作成します。指標ベースのアラートポリシーのインシデント管理の詳細については、指標ベースのアラートポリシーのインシデントをご覧ください。

ログベースのアラートポリシーは、指標ベースのアラートポリシーではありません。ログエントリがログベースのアラートポリシーの条件を満たすと、Monitoring は次のようにインシデントと通知を作成します。

アラートクエリに一致するログエントリを初めて Cloud Logging がログバケットに書き込むと、インシデントが作成され、通知が送信されます。その後、一致する別のログエントリが書き込まれると、前のインシデントがクローズされている場合にのみ新しいインシデントが作成されます。ただし、クローズされたインシデントが完全に削除されるまで、最大 3 分かかることがあります。インシデントを閉じてから 3 分以内に一致するログエントリを受け取った場合、システムは新しいインシデントを作成せずに、そのインシデントを再開する可能性があります。
通知は、ログベースのアラートごとに 1 日あたり 20 件に制限されています。この上限に達した場合、その日の制限に達したというメッセージが通知に含まれます。
ログベースのアラートポリシーを作成するときに、通知間の最小時間を指定できます。たとえば、通知間の時間として 10 分を選択します。その期間内にログベースのアラートポリシーの条件が 2 回満たされた場合、1 件の通知だけを受け取ります。

通知の最大数は、ログベースのアラートごとに 5 分あたり 1 件の通知です。
より短い期間を構成することや、手動でインシデントをクローズすることを行わない限り、インシデントは 7 日後に自動的にクローズされます。

これらのインシデントの管理の詳細については、ログベースのアラートポリシーのインシデントの管理をご覧ください。

アラートポリシーの作成と管理

Cloud Monitoring では、他の指標ベースのアラートポリシーと同様に、ログベースの指標に基づいてアラートポリシーの作成、変更、削除を行います。詳細については、ポリシーの管理をご覧ください。

ログベースのアラートポリシーは、ログエクスプローラまたは Cloud Monitoring API を使用して作成できます。Monitoring でログベースのアラートポリシーの変更と削除を行います。詳細については、ログベースのアラートポリシーの管理をご覧ください。

アラートポリシーの表示

Monitoring の [ポリシー] ページには、Google Cloud プロジェクトのすべてのアラートポリシーが表示されます。このリストには、ログベースの指標とログベースのアラートポリシーを使用するポリシーが含まれています。

Google Cloud コンソールで [Alerting] ページに移動します。
アラートに移動

検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。
[すべてのポリシーを見る] を選択します。

ログベースのアラートポリシーは、[タイプ] 列の値が Logs であるリストに表示されます。指標によるアラートポリシー（ログベースの指標を含む）は、[タイプ] 列の値が Metrics であるリストに表示されます。次のスクリーンショットは、ポリシーリストの抜粋を示しています。

ログベースのアラートポリシーと指標ベースのアラートポリシーを区別するには、アラートポリシーのリストの **Type** 列を使用します。

通知チャネル

指標ベースのアラートとログベースの両方のアラートポリシーを、Monitoring でサポートされている通知チャネルに送信できます。アラートポリシーで使用する前に、これらのチャネルを構成する必要があります。

詳細については、通知チャンネルの管理をご覧ください。

承認の要件

ログベースの指標またはログベースのアラートポリシーを使用するには、Cloud Logging と Cloud Monitoring の両方の承認が必要です。

ユーザー定義のログベースの指標については、ログベースの指標の権限をご覧ください。
ログベースのアラートポリシーについては、ログベースのアラートポリシーの権限をご覧ください。

コストと制限

独自のログベースの指標を定義すると、以下が適用されます。

ユーザー定義のログベースの指標の数と構造には上限があります。これらの上限の詳細については、ログベースの指標の制限をご覧ください。
ユーザー定義のログベースの指標には料金が発生する場合があります。指標の取り込みに関連する費用の詳細については、課金対象の指標をご覧ください。

ログベースの指標に基づくアラートポリシーの使用に伴う課金はありません。

アラートポリシーに関連する次の Monitoring の上限が適用されます。

カテゴリ	値	ポリシータイプ ¹
指標スコープごとのアラートポリシー（指標とログの合計）²	500	指標、ログ
1 アラートポリシーあたりの条件数	6	指標
指標の不在条件が評価される最大期間 ³	1 日	指標
指標のしきい値条件が評価される最大期間 ³	23 時間 30 分	指標
指標しきい値条件で使用されるフィルタの最大長	2,048 Unicode 文字	指標
予測条件でモニタリングされる時系列の最大数	64	指標
最小予測ウィンドウ	1 時間（3,600 秒）	指標
最大予測期間	2.5 日（216,000 秒）	指標
1 アラートポリシーあたりの通知チャンネル数	16	指標、ログ
通知の最大レート	ログベースのアラートごとに 5 分あたり 1 件の通知	ログ
通知の最大数	ログベースのアラートごとに 1 日あたり 20 件の通知	ログ
1 アラートポリシーあたりの同時対応待ちインシデントの最大数	1,000	指標
新規データのないインシデントが自動的に終了するまでの期間	7 日	指標
手動で終了していない場合のインシデントの最長時間	7 日	ログ
終了したインシデントの保持	13 か月	該当なし
対応待ちのインシデント	期限なし	該当なし
指標スコープごとの通知チャネル	4,000	該当なし
スヌーズごとのアラートポリシーの最大数	16	指標、ログ
スヌーズの保持	13 か月	該当なし

¹指標: 指標データに基づくアラートポリシー。ログ: ログメッセージに基づくアラートポリシー（ログベースのアラート）
²Apigee と Apigee ハイブリッドは Cloud Monitoring と緊密に統合されています。すべての Apigee サブスクリプションレベル（Standard、Enterprise、Enterprise Plus）のアラート数の上限は、Cloud Monitoring と同じで、1 指標スコープあたり 500 です。
³条件が評価する最大期間は、アライメント期間と期間時間枠の値の合計です。たとえば、アライメント期間が 15 時間、期間時間枠が 15 時間に設定されている場合、30 時間分のデータが条件を評価するために必要です。