Surveiller les journaux

Cette page explique comment utiliser Cloud Monitoring pour observer les tendances dans vos journaux et vous avertir lorsque les conditions que vous décrivez apparaissent. Pour fournir à Cloud Monitoring les données de vos journaux, Logging vous offre les avantages suivants:

  • Les métriques basées sur les journaux que vous pouvez utiliser comme suit :
    • Pour créer des règles d'alerte qui vous informent des modifications au fil du temps.
    • créer des graphiques qui affichent les modifications au fil du temps ;
  • Alertes basées sur les journaux, qui vous avertissent chaque fois qu'un événement spécifique apparaît dans un journal.

Si vous souhaitez évaluer vos journaux sur une période donnée, utilisez des graphiques ou des règles d'alerte basées sur les métriques basées sur les journaux.

Si vous souhaitez recevoir une notification quasiment en temps réel lorsqu'un message s'est affiché dans vos journaux, utilisez une alerte basée sur les journaux.

Le reste de cette page explique comment choisir entre les métriques basées sur les journaux et les alertes basées sur les journaux, et explique ce qui les différencie.

Métriques basées sur les journaux

Si vous souhaitez surveiller des événements périodiques dans vos journaux sur une période donnée, utilisez des métriques basées sur les journaux. Les métriques basées sur les journaux génèrent des données numériques à partir de vos journaux. Les métriques basées sur les journaux sont adaptées si vous souhaitez effectuer l'une des opérations suivantes:

  • Comptez les occurrences d'un message, comme un avertissement ou une erreur, dans vos journaux et recevez une notification lorsque le nombre d'occurrences dépasse un seuil.
  • Observez les tendances dans vos données, telles que les valeurs de latence dans vos journaux, et recevez une notification si les valeurs changent de manière inacceptable.
  • Créez des graphiques pour afficher les données numériques extraites de vos journaux.

Étant donné que les métriques basées sur les journaux génèrent des données numériques à partir de vos journaux, vous pouvez les utiliser dans les règles d'alerte et les afficher dans des graphiques. Pour plus d'informations sur la création de règles d'alerte et de graphiques pour les métriques basées sur les journaux, consultez la page Créer des graphiques et des alertes.

Cloud Monitoring fournit un ensemble de métriques basées sur les journaux prédéfinies. Vous pouvez définir vos propres métriques. Pour afficher la liste des métriques basées sur les journaux définies par le système, cliquez sur le bouton suivant:

Métriques basées sur les journaux définies par l'utilisateur

Pour en savoir plus sur la définition et l'utilisation de vos propres métriques basées sur les journaux, consultez la page Utiliser des métriques basées sur les journaux. Si vous définissez vos propres métriques basées sur les journaux, des frais peuvent vous être facturés. Pour en savoir plus sur les coûts associés à l'ingestion de métriques, consultez la section Métriques facturables.

Alertes basées sur les journaux

Lorsque vous souhaitez être averti chaque fois qu'un message spécifique se produit dans un journal, utilisez les alertes basées sur les journaux. Les alertes basées sur les journaux sont parfaitement adaptées pour intercepter les événements liés à la sécurité dans les journaux, par exemple:

  • Vous souhaitez être informé si un événement apparaît dans un journal d'audit. par exemple, lorsqu'un utilisateur accède à la clé de sécurité d'un compte de service.
  • Votre application écrit des messages de déploiement dans les journaux et vous souhaitez être informé lorsqu'une modification de déploiement est enregistrée.

Les alertes basées sur les journaux sont bien adaptées aux événements qui, selon vous, sont rares et importants. Vous ne voulez pas savoir qu'une tendance ou un modèle a été détecté.

Pour plus d'informations sur la création d'alertes basées sur les journaux, consultez la page Utiliser des alertes basées sur les journaux.

Vous pouvez simuler une alerte basée sur les journaux en définissant une métrique basée sur les journaux et en créant une règle d'alerte avec un seuil de 1. Toutefois, les alertes basées sur les journaux vous donnent ce comportement sans qu'il soit nécessaire de créer un métrique et configurer une règle d'alerte basée sur les métriques.

Comparaison des options d'alerte

Cette section décrit les principales différences entre les règles d'alerte basées sur les métriques basées sur les journaux et les alertes basées sur les journaux.

Journaux disponibles

Les métriques basées sur les journaux définies par l'utilisateur sont calculées à partir des entrées de journal incluses et exclues. Si vous créez une règle d'alerte en fonction d'une métrique basée sur les journaux définie par l'utilisateur, la règle surveille les données de tous les journaux.

Les métriques basées sur les journaux définies par le système ne sont calculées qu'à partir des journaux inclus. Si vous créez une règle d'alerte basée sur une métrique basée sur les journaux définie par le système, cette règle ne surveille que les données des journaux inclus.

Les alertes basées sur les journaux ne fonctionnent que sur les journaux inclus. vous ne pouvez pas utiliser les alertes basées sur les journaux pour vous avertir de la présence de messages dans les journaux exclus.

Les métriques basées sur les journaux et les alertes basées sur les journaux fonctionnent au niveau du projet et non des buckets de stockage individuels.

Créer et gérer des règles d'alerte

Créez, modifiez et supprimez des règles d'alerte basées sur les métriques basées sur les journaux dans Cloud Monitoring, comme toute autre règle d'alerte basée sur les métriques. Pour en savoir plus, consultez la section Gérer les règles.

Vous pouvez créer des alertes basées sur les journaux à l'aide de l'explorateur de journaux ou de l'API Cloud Monitoring. Vous pouvez modifier et supprimer les alertes basées sur les journaux dans Monitoring. Pour plus d'informations, consultez la page Gérer les alertes basées sur les journaux.

Créer des alertes pour plusieurs projets

Vous pouvez surveiller les métriques de plusieurs projets en configurant des champs d'application de métriques. Un champ d'application des métriques répertorie tous les projets et comptes qu'il surveille et est hébergé par un projet effectuant une surveillance. Le projet de champ d'application stocke les règles d'alerte et les autres configurations que vous créez pour le champ d'application des métriques. Le projet effectuant une surveillance pour un champ d'application des métriques correspond au projet sélectionné par le sélecteur de projet Cloud Console.

Les règles d'alerte basées sur les métriques basées sur les journaux, telles que les règles d'alertes basées sur d'autres métriques, fonctionnent pour tous les projets dans le champ d'application des métriques du projet effectuant une surveillance.

Les alertes basées sur les journaux ne fonctionnent pas avec les champs d'application des métriques. Les journaux de projets ne font pas partie du champ d'application des métriques. Une alerte basée sur les journaux n'évalue que les journaux qui résident dans le projet effectuant une surveillance.

Afficher les règles d'alerte

La page Règles de Monitoring répertorie toutes les règles d'alerte de votre projet Google Cloud. Cette liste comprend les règles qui utilisent des métriques basées sur les journaux et des alertes basées sur les journaux.

Les alertes basées sur les journaux apparaissent dans la liste avec la valeur Logs dans la colonne Type. Les alertes basées sur des métriques, y compris des métriques basées sur les journaux, apparaissent dans la liste avec la valeur Metrics dans la colonne Type. La capture d'écran suivante montre un extrait de la liste de règles:

La colonne **Type** dans la liste des règles d'alerte permet de distinguer les alertes basées sur les journaux des alertes basées sur des métriques.

Canaux de notification

Vous pouvez envoyer des notifications provenant d'alertes basées sur les métriques et sur les journaux à n'importe quel canal de notification compatible avec Monitoring. Vous devez configurer ces canaux avant de pouvoir les utiliser dans des règles d'alerte.

Pour en savoir plus, consultez la page Gérer les canaux de notification.

Incidents et notifications

Lorsqu'une règle d'alerte est déclenchée, elle ouvre un incident dans Monitoring et envoie des notifications à tous les canaux que vous avez sélectionnés. Pour afficher les détails de l'incident, vous pouvez cliquer sur Afficher l'incident dans le message de notification ou accéder directement à la page Incidents dans Monitoring.

Les règles d'alerte basées sur les métriques basées sur les journaux créent des incidents et des notifications comme toutes les autres règles d'alerte basées sur les métriques dans Monitoring, comme décrit dans la section Comportement des alertes. Pour en savoir plus sur la gestion des incidents pour les règles d'alertes basées sur les métriques, consultez la section Incidents liés aux alertes basées sur les métriques dans la documentation de Monitoring.

Les alertes basées sur les journaux ne sont pas des alertes basées sur des métriques. Les alertes basées sur les journaux créent des incidents et des notifications de la manière suivante:

  • La première fois que Cloud Logging ingère une entrée de journal correspondant à votre requête d'alerte, un incident est créé et une notification est envoyée. Si une autre entrée de journal correspondante est ensuite ingérée, un nouvel incident est créé uniquement si l'incident précédent a été fermé. Toutefois, la suppression définitive d'un incident peut prendre jusqu'à trois minutes. Si une entrée de journal correspondante est reçue dans les trois minutes suivant la fermeture d'un incident, le système peut le rouvrir plutôt que d'en créer un autre.

  • Chaque alerte basée sur les journaux est limitée à 20 notifications par jour. Si vous atteignez cette limite, votre notification inclut un message indiquant que vous avez atteint la limite pour la journée.

  • Lorsque vous créez une alerte basée sur les journaux, vous pouvez spécifier le délai minimal entre les notifications afin de réduire le nombre de notifications répétées. Par exemple, si vous sélectionnez 10 minutes comme intervalle de notifications et que votre alerte basée sur les journaux est déclenchée deux fois au cours de cette période, vous ne recevez qu'une seule notification.

    Le débit maximal est d'une notification toutes les cinq minutes pour chaque alerte basée sur les journaux. Toutefois, vous pouvez configurer une fréquence de notification beaucoup plus faible.

  • Les incidents sont automatiquement fermés après sept jours, sauf si vous les fermez manuellement.

Pour plus d'informations sur la gestion de ces incidents, consultez la page Gérer les incidents pour les alertes basées sur les journaux.

Autorisation Cloud Logging

Pour créer des métriques basées sur les journaux définies par l'utilisateur, vous devez disposer de l'autorisation décrite dans la section Autorisations de métriques basées sur les journaux.

Pour gérer les alertes basées sur les journaux, vous devez disposer des autorisations Logging suivantes:

  • logging.notificationRules.create
  • logging.notificationRules.update

Ces autorisations sont incluses dans le rôle "Administrateur Logging" (roles/logging.admin). Si vous n'avez pas ce rôle, vous devez créer un rôle personnalisé et inclure ces autorisations. Pour en savoir plus, consultez la page Créer et gérer les rôles personnalisés.

Autorisation Cloud Monitoring

Pour créer et gérer des règles d'alerte, vous devez disposer de l'autorisation Monitoring nécessaire, comme décrit dans la section Autorisation requise pour créer des règles d'alerte.

Pour créer et gérer les canaux de notification, vous devez également disposer de l'autorisation décrite dans la section Gérer les canaux de notification.

Coûts et limites

Si vous définissez vos propres métriques basées sur les journaux, les points suivants s'appliquent:

  • Le nombre et la structure des métriques basées sur les journaux définies par l'utilisateur sont limités. Pour en savoir plus sur ces limites, consultez la section Limites des métriques basées sur les journaux.
  • Des frais peuvent s'appliquer pour les métriques basées sur les journaux définies par l'utilisateur. Pour en savoir plus sur les coûts associés à l'ingestion de métriques, consultez la section Métriques facturables.

L'utilisation de règles d'alerte basées sur les métriques basées sur les journaux n'entraîne aucuns frais.

Les limites Monitoring suivantes liées aux règles d'alerte s'appliquent:

Catégorie Valeur Type de règle1
Règles d'alerte (somme des métriques et des journaux) par champ d'application des métriques 2 500 Métrique, journal
Conditions par règle d'alerte 6 Métrique
Période maximale pendant laquelle une condition
d'absence de métrique évalue3
1 jour Métrique
Période maximale pendant laquelle une condition
de seuil de métrique évalue3
23 heures 30 minutes Métrique
Canaux de notification par règle d'alerte 16 Métrique, journal
Taux maximal de notifications 1 notification toutes les 5 minutes pour chaque alerte basée sur les journaux Journal
Nombre maximal de notifications 20 notifications par jour pour chaque alerte basée sur les journaux Journal
Nombre maximal d'incidents ouverts
par règle d'alerte simultanément
5000 Métrique
Délai au terme duquel un incident sans nouvelles données est
automatiquement fermé.
7 jours Métrique
Durée maximale d'un incident s'il n'est pas fermé manuellement 7 jours Journal
Conservation des incidents fermés 90 jours Non applicable
Conservation des incidents ouverts Indéfiniment Non applicable
Canaux de notification par champ d'application des métriques 4 000 Non applicable
Tests de disponibilité par champ d'application des métriques 4 100 Non applicable
1 Métrique: règle d'alerte basée sur les données de métriques. Journal: règle d'alerte basée sur les messages de journal (alertes basées sur les journaux)
2Apigee et Apigee hybrid sont étroitement intégrés à Cloud Monitoring. La limite d'alerte pour tous les niveaux d'abonnement Apigee (Standard, Enterprise et Enterprise Plus) est la même que pour Cloud Monitoring: 500 par champ d'application des métriques .
3 La période maximale évaluée par une condition correspond à la somme de la durée de l'alignement et de la durée de l'intervalle. Par exemple, si la période d'alignement est définie sur 15 heures et que l'intervalle de temps est défini sur 15 heures, 30 heures de données sont nécessaires pour évaluer la condition.
4 Cette limite s'applique au nombre de configurations de tests de disponibilité. Chaque configuration de test de disponibilité inclut l'intervalle de temps entre le test de l'état de la ressource spécifiée. Pour en savoir plus, consultez la page Gérer les tests de disponibilité.