Ce document explique comment utiliser Cloud Monitoring pour observer les tendances dans vos journaux et vous avertir lorsque les conditions que vous décrivez apparaissent. Pour fournir à Cloud Monitoring des données provenant de vos journaux, Logging vous offre les avantages suivants :
- Les métriques basées sur les journaux, que vous pouvez utiliser comme suit :
- Créer des règles d'alerte qui vous informent des modifications au fil du temps.
- Créer des graphiques qui affichent les modifications au fil du temps.
- Des alertes basées sur les journaux, qui vous avertissent chaque fois qu'un événement spécifique apparaît dans un journal.
Pour surveiller vos journaux au fil du temps, utilisez des graphiques ou des règles d'alerte basées sur des métriques elles-mêmes basées sur les journaux.
Pour recevoir une notification presque en temps réel lorsqu'un message apparaît dans vos journaux, utilisez une alerte basée sur les journaux.
Le reste de ce document explique comment choisir entre les métriques basées sur les journaux et les alertes basées sur les journaux, décrit les différences entre ces deux fonctionnalités, et fournit des informations sur les autorisations, les coûts et les limites associés.
Métriques basées sur les journaux
Pour surveiller les événements récurrents dans vos journaux au fil du temps, utilisez des métriques basées sur les journaux. Les métriques basées sur les journaux génèrent des données numériques à partir de vos journaux. Les métriques basées sur les journaux sont adaptées si vous souhaitez effectuer l'une des opérations suivantes :
- Comptez les occurrences d'un message dans vos journaux comme un avertissement ou une erreur et recevez une notification lorsque le nombre d'occurrences dépasse un certain seuil.
- Observez les tendances dans vos données, telles que les valeurs de latence dans les journaux, et recevez une notification si les valeurs changent de manière inacceptable.
- Créez des graphiques affichant les données numériques extraites de vos journaux.
Les métriques basées sur les journaux génèrent des données numériques à partir de vos journaux. Vous pouvez donc les utiliser dans des règles d'alerte et les afficher dans des graphiques. Pour en savoir plus sur la création de règles d'alerte et de graphiques pour les métriques basées sur les journaux, consultez la page Créer des graphiques et des alertes.
Cloud Monitoring fournit un ensemble de métriques basées sur les journaux prédéfinies, et vous pouvez définir les vôtres. Pour afficher la liste des métriques basées sur les journaux définies par le système, cliquez sur le bouton add_circle suivant :
Métriques basées sur les journaux définies par l'utilisateur
Vous pouvez créer des métriques basées sur les journaux pour extraire des données numériques de vos journaux. Les métriques basées sur les journaux définies par l'utilisateur calculent les valeurs des journaux inclus et exclus.
Par défaut, les métriques basées sur les journaux définies par l'utilisateur collectent les données de tous les journaux reçus par le routeur de journaux dans votre projet Google Cloud. Toutefois, vous pouvez définir des métriques basées sur les journaux qui collectent les données des journaux acheminés vers un bucket de journaux spécifique.
- Pour en savoir plus sur la définition et l'utilisation de métriques basées sur les journaux au niveau du projet, consultez la section Utiliser des métriques basées sur les journaux.
- Pour en savoir plus sur la définition et l'utilisation de métriques basées sur les journaux au niveau du bucket, consultez la page Métriques basées sur les journaux sur les buckets de journaux.
Si vous définissez vos propres métriques basées sur les journaux, des frais peuvent vous être facturés. Pour en savoir plus sur les coûts associés à l'ingestion de métriques, consultez la section Métriques facturables.
Alertes basées sur les journaux
Pour être averti chaque fois qu'un message spécifique apparaît dans un journal, utilisez des alertes basées sur les journaux. Les alertes basées sur les journaux sont parfaitement adaptées pour intercepter les événements liés à la sécurité, par exemple :
- Vous souhaitez être averti lorsqu'un événement apparaît dans un journal d'audit (par exemple, un utilisateur humain accède à la clé de sécurité d'un compte de service).
- Votre application écrit des messages de déploiement dans les journaux et vous souhaitez être averti lorsqu'une modification de déploiement est enregistrée.
Les alertes basées sur les journaux sont bien adaptées aux événements qui, selon vous, sont rares et importants. Vous ne voulez pas connaître une tendance ou un modèle, mais savoir qu'un événement s'est produit.
Pour en savoir plus sur la création d'alertes basées sur les journaux, consultez la page Utiliser des alertes basées sur les journaux.
Vous pouvez simuler une alerte basée sur les journaux en définissant une métrique basée sur les journaux et en l'utilisant dans une règle d'alerte avec un seuil de 1. Les alertes basées sur les journaux vous donnent ce comportement sans nécessiter de créer une métrique basée sur les journaux et de configurer une règle d'alerte basée sur les métriques.
Comparaison des options d'alerte
Cette section compare les règles d'alerte basées sur des métriques basées sur les journaux aux alertes basées sur les journaux.
Tableau récapitulatif
Le tableau suivant récapitule les techniques d'alerte et fournit des liens vers des informations supplémentaires dans le présent document :
Alertes sur les métriques basées sur les journaux | Alertes basées sur des journaux | En savoir plus |
---|---|---|
Basées sur des métriques dérivées des entrées de journal | Basées sur des chaînes dans des entrées de journal individuelles | Métriques basées sur les journaux et Alertes basées sur les journaux |
Utilisées pour vous informer des tendances au fil du temps | Utilisées pour vous avertir lorsqu'un message spécifique apparaît dans un journal | Métriques basées sur les journaux et Alertes basées sur les journaux |
Calculées à partir de
|
Correspondance uniquement avec les journaux inclus | Journaux disponibles |
Exploiter les métriques de tous les projets dans le champ d'application des métriques du projet de champ d'application | Travailler uniquement sur les journaux dans le projet de champ d'application | Créer des alertes pour plusieurs projets |
Déclenchées lorsque la valeur d'une métrique remplit une condition pendant une période spécifiée. | Déclenchées chaque fois qu'une entrée de journal spécifique correspond à un filtre | Incidents et notifications |
Créées et gérées dans Monitoring | Créées dans Logging ; gérées dans Monitoring |
Créer et gérer des règles d'alerte |
Consultées dans Monitoring | Consultées dans Monitoring | Afficher les règles d'alerte |
Peut utiliser n'importe quel canal de notification compatible avec Monitoring | Peut utiliser n'importe quel canal de notification compatible avec Monitoring | Canaux de notification |
Journaux disponibles
Les métriques basées sur les journaux définies par l'utilisateur sont calculées à partir de tous les journaux reçus par l'API Logging pour le projet Google Cloud, quels que soient les filtres d'inclusion ou les filtres d'exclusion qui peuvent s'appliquer au projet Google Cloud. Si vous créez une règle d'alerte basée sur une métrique basée sur les journaux définie par l'utilisateur, la règle surveille les données de tous les journaux.
Les métriques basées sur les journaux définies par le système ne sont calculées qu'à partir des journaux stockés dans des buckets de journaux du projet Google Cloud. Si un journal a été explicitement exclu, il n'est pas inclus dans ces métriques. Si vous créez une règle d'alerte basée sur une métrique basée sur les journaux définie par le système, la règle ne surveille que les données des journaux inclus.
Les alertes basées sur les journaux ne fonctionnent que sur les journaux inclus. Vous ne pouvez pas utiliser d'alertes basées sur les journaux pour être averti des messages dans les journaux exclus.
Les métriques basées sur les journaux et les alertes basées sur les journaux s'appliquent au champ d'application du projet Google Cloud, et non sur des buckets individuels.
Créer des alertes pour plusieurs projets
Vous pouvez surveiller les métriques de plusieurs projets en configurant un champ d'application des métriques. Un champ d'application des métriques répertorie tous les projets et comptes qu'il surveille. Un projet de champ d'application héberge le champ d'application des métriques. Le projet de champ d'application stocke les règles d'alerte et d'autres configurations que vous créez pour le champ d'application des métriques. Le projet effectuant une surveillance pour un champ d'application de métriques est le projet sélectionné par l'outil de sélection de projets de la console Google Cloud.
Les règles d'alerte basées sur les métriques basées sur les journaux, telles que les règles d'alerte basées sur d'autres métriques, fonctionnent sur tous les projets de champ d'application des métriques du projet de champ d'application.
Les alertes basées sur les journaux ne fonctionnent pas avec les champs d'application des métriques. Les journaux des projets ne font pas partie du champ d'application des métriques. Une alerte basée sur les journaux évalue uniquement les journaux provenant du projet actuel ou acheminés vers le projet actuel.
Pour plus d'informations sur les champs d'application des métriques, y compris les champs d'application de métriques multiprojets et les projets de champ d'application, consultez les pages suivantes :
Incidents et notifications
Lorsqu'une règle d'alerte est déclenchée, elle ouvre un incident dans Monitoring et envoie des notifications à tous les canaux que vous avez sélectionnés. Pour afficher les détails de l'incident, cliquez sur Afficher l'incident dans le message de notification, ou accédez directement à la page Incidents dans Monitoring.
Les règles d'alerte basées sur des métriques basées sur les journaux créent des incidents et des notifications comme toutes les autres règles d'alerte basées sur les métriques dans Cloud Monitoring, comme décrit sur la page Comportement des alertes. Pour en savoir plus sur la gestion des incidents pour les règles d'alerte basées sur des métriques, consultez la page Incidents pour les alertes basées sur des métriques.
Les alertes basées sur les journaux ne sont pas des alertes basées sur des métriques. Les alertes basées sur les journaux créent des incidents et des notifications de la manière suivante :
La première fois que Cloud Logging écrit une entrée de journal correspondant à votre requête d'alerte sur un bucket de journaux, un incident est créé et une notification est envoyée. Si une autre entrée de journal correspondante est ensuite écrite, un incident n'est créé que si l'incident précédent a été fermé. Toutefois, la suppression définitive d'un incident peut prendre jusqu'à trois minutes. Si une entrée de journal correspondante est reçue dans les trois minutes suivant la fermeture d'un incident, le système peut rouvrir l'incident plutôt que d'en créer un nouveau.
Chaque alerte basée sur les journaux est limitée à 20 notifications par jour. Si vous atteignez cette limite, la notification inclut un message indiquant que vous avez atteint la limite pour la journée.
Lorsque vous créez une alerte basée sur les journaux, vous pouvez spécifier le délai minimal entre les notifications afin de réduire le nombre de notifications répétées. Par exemple, si vous sélectionnez un intervalle de 10 minutes entre les notifications et que votre alerte basée sur les journaux se déclenche deux fois au cours de cette période, vous ne recevez qu'une seule notification.
Le nombre maximal de notifications est d'une notification toutes les cinq minutes pour chaque alerte basée sur les journaux.
Les incidents sont automatiquement fermés après sept jours, sauf si vous configurez une période plus courte ou que vous les fermez manuellement.
Pour en savoir plus sur la gestion de ces incidents, consultez la section Gérer les incidents pour les alertes basées sur les journaux.
Créer et gérer des règles d'alerte
Vous créez, modifiez et supprimez des règles d'alerte basées sur les métriques basées sur les journaux dans Cloud Monitoring, comme toute autre règle d'alerte basée sur les métriques. Pour plus d'informations, consultez la section Gérer les règles.
Vous pouvez créer des alertes basées sur les journaux à l'aide de l'explorateur de journaux ou de l'API Cloud Monitoring. Vous pouvez modifier et supprimer les alertes basées sur les journaux dans Monitoring. Pour en savoir plus, consultez la page Gérer les alertes basées sur les journaux.
Afficher les règles d'alerte
La page Règles de Monitoring répertorie toutes les règles d'alerte de votre projet Google Cloud. Cette liste inclut les règles qui utilisent les métriques basées sur les journaux et les alertes basées sur les journaux.
-
Dans le panneau de navigation de la console Google Cloud, sélectionnez Monitoring, puis notifications Alertes :
- Sélectionnez Afficher toutes les règles.
Les alertes basées sur les journaux apparaissent dans la liste avec la valeur Logs
dans la colonne Type. Les alertes basées sur les métriques, y compris les métriques basées sur les journaux, apparaissent dans la liste avec la valeur Metrics
dans la colonne Type.
La capture d'écran suivante montre un extrait d'une liste de règles :
Canaux de notification
Vous pouvez envoyer des notifications à partir d'alertes basées sur les métriques et basées sur les journaux à n'importe quel canal de notification compatible avec Monitoring. Vous devez configurer ces canaux pour pouvoir les utiliser dans les règles d'alerte.
Pour plus d'informations, consultez la page Gérer les canaux de notification.
Exigences concernant les autorisations
L'utilisation de métriques basées sur les journaux ou d'alertes basées sur les journaux nécessite une autorisation pour Cloud Logging et Cloud Monitoring.
Pour les métriques basées sur les journaux définies par l'utilisateur, consultez Autorisations pour les métriques basées sur les journaux.
Pour les alertes basées sur les journaux, consultez Autorisations pour les alertes basées sur les journaux.
Coûts et limites
Si vous définissez vos propres métriques basées sur les journaux, les critères suivants s'appliquent :
- Le nombre et la structure des métriques basées sur les journaux définies par l'utilisateur sont limités. Pour en savoir plus sur ces limites, consultez la section Limites des métriques basées sur les journaux.
- Des frais peuvent être facturés pour les métriques basées sur les journaux définies par l'utilisateur. Pour en savoir plus sur les coûts associés à l'ingestion de métriques, consultez la section Métriques facturables.
L'utilisation de règles d'alerte basées sur des métriques basées sur les journaux est gratuite.
Les limites de surveillance suivantes liées aux règles d'alerte s'appliquent :
Catégorie | Valeur | Type de règle1 |
---|---|---|
Règles d'alerte (somme des métriques et des journaux) par champ d'application des métriques2 | 500 | Métrique, journal |
Conditions par règle d'alerte | 6 | Métrique |
Période maximale qu'une condition d'absence de métrique évalue3 |
1 jour | Métrique |
Période maximale qu'une condition de seuil de métrique évalue3 |
23 heures 30 minutes | Métrique |
Longueur maximale du filtre utilisé dans une condition de seuil de métrique |
2 048 caractères Unicode | Métrique |
Nombre maximal de séries temporelles surveillées par une condition de prévision |
64 | Métrique |
Période de prévision minimale | 1 heure (3 600 secondes) | Métrique |
Fenêtre de prévision maximale | 2,5 jours (216 000 secondes) | Métrique |
Canaux de notification par règle d'alerte | 16 | Métrique, journal |
Taux maximal de notifications | Une notification toutes les cinq minutes pour chaque alerte basée sur les journaux | Journal |
Nombre maximal de notifications | 20 notifications par jour pour chaque alerte basée sur les journaux | Journal |
Nombre maximal d'incidents ouverts simultanément par règle d'alerte |
1 000 | Métrique |
Période après laquelle un incident sans nouvelle donnée est automatiquement fermé |
7 jours | Métrique |
Durée maximale d'un incident s'il n'est pas fermé manuellement | 7 jours | Journal |
Conservation des incidents fermés | 13 mois | Non applicable |
Conservation des incidents ouverts | Indéfiniment | Non applicable |
Canaux de notification par champ d'application des métriques | 4 000 | Non applicable |
Nombre maximal de règles d'alerte par mise en pause | 16 | Métrique, journal |
Rétention d'une répétition | 13 mois | Non applicable |
2 Apigee et Apigee hybrid sont étroitement intégrés à Cloud Monitoring. La limite d'alerte pour tous les niveaux d'abonnements Apigee (Standard, Enterprise et Enterprise Plus) est la même que pour Cloud Monitoring : 500 par champ d'application de métriques.
3 La période maximale qu'une condition évalue est la somme de la période d'alignement et des valeurs d'intervalle de temps. Par exemple, si la période d'alignement est définie sur 15 heures et que l'intervalle de temps est défini sur 15 heures, 30 heures de données sont nécessaires pour évaluer la condition.