Surveiller vos journaux

Ce document explique comment utiliser Cloud Monitoring pour observer les tendances dans vos journaux et vous avertir lorsque les conditions que vous décrivez apparaissent. Pour fournir à Cloud Monitoring des données provenant de vos journaux, Logging vous offre les avantages suivants :

Les métriques basées sur les journaux, que vous pouvez utiliser comme suit :
- Créer des règles d'alerte qui vous informent des modifications au fil du temps.
- Créer des graphiques qui affichent les modifications au fil du temps.
Des alertes basées sur les journaux, qui vous avertissent chaque fois qu'un événement spécifique apparaît dans un journal.

Pour surveiller vos journaux au fil du temps, utilisez des graphiques ou des règles d'alerte basées sur des métriques elles-mêmes basées sur les journaux.

Pour recevoir une notification presque en temps réel lorsqu'un message apparaît dans vos journaux, utilisez une alerte basée sur les journaux.

Le reste de ce document explique comment choisir entre les métriques basées sur les journaux et les alertes basées sur les journaux, décrit les différences entre ces deux fonctionnalités, et fournit des informations sur les autorisations, les coûts et les limites associés.

Métriques basées sur les journaux

Pour surveiller les événements récurrents dans vos journaux au fil du temps, utilisez des métriques basées sur les journaux. Les métriques basées sur les journaux génèrent des données numériques à partir de vos journaux. Les métriques basées sur les journaux sont adaptées si vous souhaitez effectuer l'une des opérations suivantes :

Comptez les occurrences d'un message dans vos journaux comme un avertissement ou une erreur et recevez une notification lorsque le nombre d'occurrences dépasse un certain seuil.
Observez les tendances dans vos données, telles que les valeurs de latence dans les journaux, et recevez une notification si les valeurs changent de manière inacceptable.
Créez des graphiques affichant les données numériques extraites de vos journaux.

Les métriques basées sur les journaux génèrent des données numériques à partir de vos journaux. Vous pouvez donc les utiliser dans des règles d'alerte et les afficher dans des graphiques. Pour en savoir plus sur la création de règles d'alerte et de graphiques pour les métriques basées sur les journaux, consultez la page Créer des graphiques et des alertes.

Cloud Monitoring fournit un ensemble de métriques basées sur les journaux prédéfinies, et vous pouvez définir les vôtres. Pour afficher la liste des métriques basées sur les journaux définies par le système, cliquez sur le bouton suivant :

Métriques basées sur les journaux définies par le système

Les chaînes "Type de métrique" de ce tableau doivent être précédées du préfixe logging.googleapis.com/. Ce préfixe a été omis dans les entrées du tableau. Lorsque vous interrogez une étiquette, utilisez le préfixe metric.labels. (par exemple, metric.labels.LABEL="VALUE").

Type de métrique^{Étape de lancement} Nom à afficher
Genre, type, unité Ressources surveillées	Description Libellés
`billing/bytes_ingested` ^GA Octets diffusés dans les buckets de journaux
`DELTA`, `INT64`, `By` monde entier	Nombre d'octets transmis dans les buckets de journaux à des fins d'indexation, d'interrogation et d'analyse. Inclut jusqu'à 30 jours de stockage. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai maximal de 180 secondes. `resource_type` : type de ressource surveillée pour l'entrée de journal.
`billing/bytes_stored` ^BÊTA Conservation dans Logging
`GAUGE`, `INT64`, `By` monde entier	Volume des journaux conservés au-delà des 30 jours par défaut. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai maximal de 180 secondes. `data_type` : ce champ indique que le volume de journaux indiqué ici est facturé pour la conservation au-delà des 30 jours par défaut. Le "data_type" pour toutes les règles de conservation signalées est défini sur "CHARGED". `log_bucket_location` : emplacement où se trouve le bucket de journaux. `log_bucket_id` : ID du bucket de journaux.
`billing/log_bucket_bytes_ingested` ^BÊTA Octets diffusés dans les buckets de journaux
`DELTA`, `INT64`, `By` monde entier	Nombre d'octets transmis dans les buckets de journaux à des fins d'indexation, d'interrogation et d'analyse. Inclut jusqu'à 30 jours de stockage. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai maximal de 180 secondes. `log_source` : conteneur d'origine du journal. `resource_type` : type de ressource surveillée pour les journaux diffusés dans les buckets de journaux. `log_bucket_location` : emplacement du bucket de journaux. `log_bucket_id` : ID du bucket de journaux.
`billing/log_bucket_monthly_bytes_ingested` ^BÊTA Octets diffusés chaque mois dans des buckets de journaux
`GAUGE`, `INT64`, `By` monde entier	Nombre d'octets transmis dans les buckets de journaux pour l'indexation, l'interrogation et l'analyse depuis le début du mois. Incluez jusqu'à 30 jours de stockage. Échantillonné toutes les 1 800 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 6 000 secondes. `log_source` : conteneur d'origine du journal. `resource_type` : type de ressource surveillée pour les journaux diffusés dans les buckets de journaux. `log_bucket_location` : emplacement du bucket de journaux. `log_bucket_id` : ID du bucket de journaux.
`billing/monthly_bytes_ingested` ^GA Octets mensuels diffusés dans les buckets de journaux
`GAUGE`, `INT64`, `By` monde entier	Nombre mensuel cumulé d'octets transmis dans des buckets de journaux à des fins d'indexation, d'interrogation et d'analyse. Inclut jusqu'à 30 jours de stockage. Échantillonné toutes les 1 800 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 6 000 secondes. `resource_type` : type de ressource surveillée pour l'entrée de journal.
`byte_count`^GA Octets de journal
`DELTA`, `INT64`, `By`	Nombre d'octets des entrées de journal diffusées dans les buckets de journaux. Les journaux exclus ne sont pas comptabilisés. Échantillonné toutes les 60 secondes. `log` : nom du journal. `severity`Niveau de gravité de l'entrée de journal.
`dropped_log_entry_count` ^OBSOLÈTE Erreurs de métriques basées sur les journaux (obsolète)
`DELTA`, `INT64`, `1`	Utilisez plutôt "logging.googleapis.com/logs_based_metrics_error_count". Échantillonné toutes les 60 secondes. `log` : nom du journal.
`exports/byte_count`^GA Octets de journaux exportés
`DELTA`, `INT64`, `By` logging_sink	Nombre d'octets dans les entrées de journal ayant été exportées. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 420 secondes.
`exports/error_count`^GA Échec des entrées de journal exportées
`DELTA`, `INT64`, `1` logging_sink	: nombre d'entrées de journal dont l'exportation a échoué. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 420 secondes.
`exports/log_entry_count`^GA Entrées de journaux exportées
`DELTA`, `INT64`, `1` logging_sink	Nombre d'entrées de journal exportées. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 420 secondes.
`log_entry_count`^GA Entrées de journal
`DELTA`, `INT64`, `1`	Nombre d'entrées de journaux diffusées dans des buckets de journaux. Par défaut, les entrées de journal sont stockées pendant 30 jours. Les journaux exclus ne sont pas comptabilisés. Échantillonné toutes les 60 secondes. `log` : nom du journal. `severity`Niveau de gravité de l'entrée de journal.
`logs_based_metrics_error_count`^GA Erreurs de métriques basées sur les journaux
`DELTA`, `INT64`, `1`	Nombre d'entrées de journaux diffusées dans des buckets de journaux qui ne sont pas comptabilisées dans les métriques basées sur les journaux définies par le système ou l'utilisateur. Cette condition peut se produire si l'horodatage d'une entrée de journal est plus ancien de 24 heures ou plus récent de 10 minutes par rapport à l'heure de réception réelle. Échantillonné toutes les 60 secondes. `log` : nom du journal.
`metric_label_cardinality` ^BÊTA Nombre de cardinalités actives de métriques basées sur les journaux par libellé
`GAUGE`, `INT64`, `1` métrique	Estimation de la cardinalité pour chaque libellé de métrique pour une métrique basée sur les journaux. L'estimation est calculée sur une période d'environ 25 heures. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai maximal de 270 secondes. `label` : nom du libellé de métrique.
`metric_label_throttled` ^BÊTA État limité du libellé de métrique basée sur les journaux
`GAUGE`, `BOOL`, métrique	Indique si les libellés de métrique sont supprimés pour les métriques basées sur les journaux en raison du dépassement des limites de cardinalité. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai maximal de 270 secondes. `label` : nom du libellé de métrique.
`metric_throttled`^GA État limité de la métrique basée sur les journaux
`GAUGE`, `BOOL`, métrique	Indique si des libellés ou des points ne sont pas pris en compte dans les métriques basées sur les journaux en raison du dépassement des limites de séries temporelles actives (cardinalité). Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai maximal de 270 secondes.
`time_series_count` ^BÊTA Nombre de séries temporelles actives (cardinalité) pour les métriques basées sur les journaux
`GAUGE`, `INT64`, `1` métrique	Estimations des séries temporelles actives (cardinalité) pour les métriques basées sur les journaux. Seuls les libellés de métrique sont comptabilisés, et l'estimation est calculée sur une période d'environ 25 heures. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai maximal de 270 secondes.

Tableau généré le 11-04-2024 à 19:12:46 UTC.

Métriques basées sur les journaux définies par l'utilisateur

Vous pouvez créer des métriques basées sur les journaux pour extraire des données numériques de vos journaux. Les métriques basées sur les journaux définies par l'utilisateur calculent les valeurs des journaux inclus et exclus.

Par défaut, les métriques basées sur les journaux définies par l'utilisateur collectent les données de tous les journaux reçus par le routeur de journaux dans votre projet Google Cloud. Toutefois, vous pouvez définir des métriques basées sur les journaux qui collectent les données des journaux acheminés vers un bucket de journaux spécifique.

Pour en savoir plus sur la définition et l'utilisation de métriques basées sur les journaux au niveau du projet, consultez la section Utiliser des métriques basées sur les journaux.
Pour en savoir plus sur la définition et l'utilisation de métriques basées sur les journaux au niveau du bucket, consultez la page Métriques basées sur les journaux sur les buckets de journaux.

Si vous définissez vos propres métriques basées sur les journaux, des frais peuvent vous être facturés. Pour en savoir plus sur les coûts associés à l'ingestion de métriques, consultez la section Métriques facturables.

Alertes basées sur les journaux

Pour être averti chaque fois qu'un message spécifique apparaît dans un journal, utilisez des alertes basées sur les journaux. Les alertes basées sur les journaux sont parfaitement adaptées pour intercepter les événements liés à la sécurité, par exemple :

Vous souhaitez être averti lorsqu'un événement apparaît dans un journal d'audit (par exemple, un utilisateur humain accède à la clé de sécurité d'un compte de service).
Votre application écrit des messages de déploiement dans les journaux et vous souhaitez être averti lorsqu'une modification de déploiement est enregistrée.

Les alertes basées sur les journaux sont bien adaptées aux événements qui, selon vous, sont rares et importants. Vous ne voulez pas connaître une tendance ou un modèle, mais savoir qu'un événement s'est produit.

Pour en savoir plus sur la création d'alertes basées sur les journaux, consultez la page Utiliser des alertes basées sur les journaux.

Vous pouvez simuler une alerte basée sur les journaux en définissant une métrique basée sur les journaux et en l'utilisant dans une règle d'alerte avec un seuil de 1. Les alertes basées sur les journaux vous donnent ce comportement sans nécessiter de créer une métrique basée sur les journaux et de configurer une règle d'alerte basée sur les métriques.

Comparaison des options d'alerte

Cette section compare les règles d'alerte basées sur des métriques basées sur les journaux aux alertes basées sur les journaux.

Tableau récapitulatif

Le tableau suivant récapitule les techniques d'alerte et fournit des liens vers des informations supplémentaires dans le présent document :

Alertes sur les métriques basées sur les journaux	Alertes basées sur des journaux	En savoir plus
Basées sur des métriques dérivées des entrées de journal	Basées sur des chaînes dans des entrées de journal individuelles	Métriques basées sur les journaux et Alertes basées sur les journaux
Utilisées pour vous informer des tendances au fil du temps	Utilisées pour vous avertir lorsqu'un message spécifique apparaît dans un journal	Métriques basées sur les journaux et Alertes basées sur les journaux
Calculées à partir de Journaux inclus (métriques basées sur les journaux et définies par le système) Journaux inclus et exclus (métriques basées sur les journaux et définies par l'utilisateur)	Correspondance uniquement avec les journaux inclus	Journaux disponibles
Exploiter les métriques de tous les projets dans le champ d'application des métriques du projet de champ d'application	Travailler uniquement sur les journaux dans le projet de champ d'application	Créer des alertes pour plusieurs projets
Déclenchées lorsque la valeur d'une métrique remplit une condition pendant une période spécifiée.	Déclenchées chaque fois qu'une entrée de journal spécifique correspond à un filtre	Incidents et notifications
Créées et gérées dans Monitoring	Créées dans Logging ; gérées dans Monitoring	Créer et gérer des règles d'alerte
Consultées dans Monitoring	Consultées dans Monitoring	Afficher les règles d'alerte
Peut utiliser n'importe quel canal de notification compatible avec Monitoring	Peut utiliser n'importe quel canal de notification compatible avec Monitoring	Canaux de notification

Journaux disponibles

Les métriques basées sur les journaux définies par l'utilisateur sont calculées à partir de tous les journaux reçus par l'API Logging pour le projet Google Cloud, quels que soient les filtres d'inclusion ou les filtres d'exclusion qui peuvent s'appliquer au projet Google Cloud. Si vous créez une règle d'alerte basée sur une métrique basée sur les journaux définie par l'utilisateur, la règle surveille les données de tous les journaux.

Les métriques basées sur les journaux définies par le système ne sont calculées qu'à partir des journaux stockés dans des buckets de journaux du projet Google Cloud. Si un journal a été explicitement exclu, il n'est pas inclus dans ces métriques. Si vous créez une règle d'alerte basée sur une métrique basée sur les journaux définie par le système, la règle ne surveille que les données des journaux inclus.

Les alertes basées sur les journaux ne fonctionnent que sur les journaux inclus. Vous ne pouvez pas utiliser d'alertes basées sur les journaux pour être averti des messages dans les journaux exclus.

Les métriques basées sur les journaux et les alertes basées sur les journaux s'appliquent au champ d'application du projet Google Cloud, et non sur des buckets individuels.

Créer des alertes pour plusieurs projets

Vous pouvez surveiller les métriques de plusieurs projets en configurant un champ d'application des métriques. Un champ d'application des métriques répertorie tous les projets et comptes qu'il surveille. Un projet de champ d'application héberge le champ d'application des métriques. Le projet de champ d'application stocke les règles d'alerte et d'autres configurations que vous créez pour le champ d'application des métriques. Le projet effectuant une surveillance pour un champ d'application de métriques est le projet sélectionné par l'outil de sélection de projets de la console Google Cloud.

Les règles d'alerte basées sur les métriques basées sur les journaux, telles que les règles d'alerte basées sur d'autres métriques, fonctionnent sur tous les projets de champ d'application des métriques du projet de champ d'application.

Les alertes basées sur les journaux ne fonctionnent pas avec les champs d'application des métriques. Les journaux des projets ne font pas partie du champ d'application des métriques. Une alerte basée sur les journaux évalue uniquement les journaux provenant du projet actuel ou acheminés vers le projet actuel.

Pour plus d'informations sur les champs d'application des métriques, y compris les champs d'application de métriques multiprojets et les projets de champ d'application, consultez les pages suivantes :

Incidents et notifications

Lorsqu'une règle d'alerte est déclenchée, elle ouvre un incident dans Monitoring et envoie des notifications à tous les canaux que vous avez sélectionnés. Pour afficher les détails de l'incident, cliquez sur Afficher l'incident dans le message de notification, ou accédez directement à la page Incidents dans Monitoring.

Les règles d'alerte basées sur des métriques basées sur les journaux créent des incidents et des notifications comme toutes les autres règles d'alerte basées sur les métriques dans Cloud Monitoring, comme décrit sur la page Comportement des alertes. Pour en savoir plus sur la gestion des incidents pour les règles d'alerte basées sur des métriques, consultez la page Incidents pour les alertes basées sur des métriques.

Les alertes basées sur les journaux ne sont pas des alertes basées sur des métriques. Les alertes basées sur les journaux créent des incidents et des notifications de la manière suivante :

La première fois que Cloud Logging écrit une entrée de journal correspondant à votre requête d'alerte sur un bucket de journaux, un incident est créé et une notification est envoyée. Si une autre entrée de journal correspondante est ensuite écrite, un incident n'est créé que si l'incident précédent a été fermé. Toutefois, la suppression définitive d'un incident peut prendre jusqu'à trois minutes. Si une entrée de journal correspondante est reçue dans les trois minutes suivant la fermeture d'un incident, le système peut rouvrir l'incident plutôt que d'en créer un nouveau.
Chaque alerte basée sur les journaux est limitée à 20 notifications par jour. Si vous atteignez cette limite, la notification inclut un message indiquant que vous avez atteint la limite pour la journée.
Lorsque vous créez une alerte basée sur les journaux, vous pouvez spécifier le délai minimal entre les notifications afin de réduire le nombre de notifications répétées. Par exemple, si vous sélectionnez un intervalle de 10 minutes entre les notifications et que votre alerte basée sur les journaux se déclenche deux fois au cours de cette période, vous ne recevez qu'une seule notification.

Le nombre maximal de notifications est d'une notification toutes les cinq minutes pour chaque alerte basée sur les journaux.
Les incidents sont automatiquement fermés après sept jours, sauf si vous configurez une période plus courte ou que vous les fermez manuellement.

Pour en savoir plus sur la gestion de ces incidents, consultez la section Gérer les incidents pour les alertes basées sur les journaux.

Créer et gérer des règles d'alerte

Vous créez, modifiez et supprimez des règles d'alerte basées sur les métriques basées sur les journaux dans Cloud Monitoring, comme toute autre règle d'alerte basée sur les métriques. Pour plus d'informations, consultez la section Gérer les règles.

Vous pouvez créer des alertes basées sur les journaux à l'aide de l'explorateur de journaux ou de l'API Cloud Monitoring. Vous pouvez modifier et supprimer les alertes basées sur les journaux dans Monitoring. Pour en savoir plus, consultez la page Gérer les alertes basées sur les journaux.

Afficher les règles d'alerte

La page Règles de Monitoring répertorie toutes les règles d'alerte de votre projet Google Cloud. Cette liste inclut les règles qui utilisent les métriques basées sur les journaux et les alertes basées sur les journaux.

Dans le panneau de navigation de la console Google Cloud, sélectionnez Monitoring, puis Alertes :
Accéder à l'interface des alertes
Sélectionnez Afficher toutes les règles.

Les alertes basées sur les journaux apparaissent dans la liste avec la valeur Logs dans la colonne Type. Les alertes basées sur les métriques, y compris les métriques basées sur les journaux, apparaissent dans la liste avec la valeur Metrics dans la colonne Type. La capture d'écran suivante montre un extrait d'une liste de règles :

Pour distinguer les alertes basées sur les journaux des alertes basées sur les métriques, utilisez la colonne **Type** de la liste des règles d'alerte.

Canaux de notification

Vous pouvez envoyer des notifications à partir d'alertes basées sur les métriques et basées sur les journaux à n'importe quel canal de notification compatible avec Monitoring. Vous devez configurer ces canaux pour pouvoir les utiliser dans les règles d'alerte.

Pour plus d'informations, consultez la page Gérer les canaux de notification.

Exigences concernant les autorisations

L'utilisation de métriques basées sur les journaux ou d'alertes basées sur les journaux nécessite une autorisation pour Cloud Logging et Cloud Monitoring.

Pour les métriques basées sur les journaux définies par l'utilisateur, consultez Autorisations pour les métriques basées sur les journaux.
Pour les alertes basées sur les journaux, consultez Autorisations pour les alertes basées sur les journaux.

Coûts et limites

Si vous définissez vos propres métriques basées sur les journaux, les critères suivants s'appliquent :

Le nombre et la structure des métriques basées sur les journaux définies par l'utilisateur sont limités. Pour en savoir plus sur ces limites, consultez la section Limites des métriques basées sur les journaux.
Des frais peuvent être facturés pour les métriques basées sur les journaux définies par l'utilisateur. Pour en savoir plus sur les coûts associés à l'ingestion de métriques, consultez la section Métriques facturables.

L'utilisation de règles d'alerte basées sur des métriques basées sur les journaux est gratuite.

Les limites de surveillance suivantes liées aux règles d'alerte s'appliquent :

Catégorie	Valeur	Type de règle¹
Règles d'alerte (somme des métriques et des journaux) par champ d'application des métriques²	500	Métrique, journal
Conditions par règle d'alerte	6	Métrique
Période maximale qu'une condition d'absence de métrique évalue³	1 jour	Métrique
Période maximale qu'une condition de seuil de métrique évalue³	23 heures 30 minutes	Métrique
Longueur maximale du filtre utilisé dans une condition de seuil de métrique	2 048 caractères Unicode	Métrique
Nombre maximal de séries temporelles surveillées par une condition de prévision	64	Métrique
Période de prévision minimale	1 heure (3 600 secondes)	Métrique
Fenêtre de prévision maximale	2,5 jours (216 000 secondes)	Métrique
Canaux de notification par règle d'alerte	16	Métrique, journal
Taux maximal de notifications	Une notification toutes les cinq minutes pour chaque alerte basée sur les journaux	Journal
Nombre maximal de notifications	20 notifications par jour pour chaque alerte basée sur les journaux	Journal
Nombre maximal d'incidents ouverts simultanément par règle d'alerte	1 000	Métrique
Période après laquelle un incident sans nouvelle donnée est automatiquement fermé	7 jours	Métrique
Durée maximale d'un incident s'il n'est pas fermé manuellement	7 jours	Journal
Conservation des incidents fermés	13 mois	Non applicable
Conservation des incidents ouverts	Indéfiniment	Non applicable
Canaux de notification par champ d'application des métriques	4 000	Non applicable
Nombre maximal de règles d'alerte par mise en pause	16	Métrique, journal
Rétention d'une répétition	13 mois	Non applicable

¹ Métrique : règle d'alerte basée sur des données de métriques ; Journal : règle d'alerte basée sur des messages de journal (alertes basées sur les journaux)
² Apigee et Apigee hybrid sont étroitement intégrés à Cloud Monitoring. La limite d'alerte pour tous les niveaux d'abonnements Apigee (Standard, Enterprise et Enterprise Plus) est la même que pour Cloud Monitoring : 500 par champ d'application de métriques.
³ La période maximale qu'une condition évalue est la somme de la période d'alignement et des valeurs d'intervalle de temps. Par exemple, si la période d'alignement est définie sur 15 heures et que l'intervalle de temps est défini sur 15 heures, 30 heures de données sont nécessaires pour évaluer la condition.