Monitoraggio dei log

Questo documento descrive come utilizzare Cloud Monitoring per osservare le tendenze nei log e per informarti quando si verificano le condizioni descritte. Per fornire a Cloud Monitoring i dati dei tuoi log, Logging ti offre quanto segue:

Metriche basate su log, che puoi utilizzare come segue:
- Per creare criteri di avviso che ti informino delle modifiche apportate nel tempo.
- Per creare grafici che mostrano le variazioni nel tempo.
Avvisi basati su log, che ti avvisano ogni volta che un evento specifico viene visualizzato in un log.

Per monitorare i log nel tempo, utilizza grafici o criteri di avviso basati su metriche basate su log.

Utilizza un avviso basato su log per ricevere, quasi in tempo reale, una notifica relativa alla visualizzazione di un messaggio nei tuoi log.

Il resto del documento descrive come scegliere tra metriche basate su log e avvisi basati su log, illustra le differenze tra loro e fornisce informazioni su autorizzazione, costi e limiti.

Metriche basate su log

Per monitorare nel tempo gli eventi ricorrenti nei log, utilizza le metriche basate su log. Le metriche basate su log generano dati numerici dai log. Le metriche basate su log sono adatte quando vuoi eseguire una delle seguenti operazioni:

Conta le occorrenze di un messaggio, ad esempio un avviso o un errore, nei log e ricevi una notifica quando il numero di occorrenze supera una soglia.
Osserva le tendenze nei dati, ad esempio i valori di latenza nei log, e ricevi una notifica se i valori cambiano in un modo inaccettabile.
Crea grafici per visualizzare i dati numerici estratti dai tuoi log.

Poiché le metriche basate su log generano dati numerici dai log, puoi utilizzare queste metriche nei criteri di avviso e mostrarle nei grafici. Per informazioni sulla creazione di criteri e grafici di avviso per le metriche basate su log, consulta Creazione di grafici e avvisi.

Cloud Monitoring fornisce un set di metriche basate su log predefinite, puoi definirne di personalizzate. Per visualizzare un elenco delle metriche basate su log definite dal sistema, fai clic sul seguente pulsante :

Metriche basate su log definite dal sistema

Le stringhe "tipo di metrica" in questa tabella devono avere il prefisso logging.googleapis.com/. Il prefisso è stato omesso dalle voci della tabella. Quando esegui una query su un'etichetta, utilizza il prefisso metric.labels., ad esempio metric.labels.LABEL="VALUE".

Tipo di metrica ^{Fase di lancio} Nome visualizzato
Tipo, tipo, unità Risorse monitorate	Descrizione Etichette
`billing/bytes_ingested` ^GA Byte trasmessi in bucket di log
`DELTA`, `INT64`, `By` globale	Numero di byte trasferiti nei bucket di log per l'indicizzazione, le query e l'analisi; include fino a 30 giorni di archiviazione. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 300 secondi. `resource_type`: tipo di risorsa monitorata per la voce di log.
`billing/bytes_stored` ^BETA Conservazione di Logging
`GAUGE`, `INT64`, `By` globale	Volume di log conservati oltre i 30 giorni predefiniti. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 300 secondi. `data_type`: Questo campo indica che al volume di log segnalato qui viene addebitato il costo di conservazione dopo i 30 giorni predefiniti. data_type per tutte le conservazioni segnalate è impostato su "CHARGED". `log_bucket_location`: la località in cui si trova il bucket di log. `log_bucket_id`: l'ID del bucket di log.
`billing/log_bucket_bytes_ingested` ^BETA Byte trasmessi in bucket di log
`DELTA`, `INT64`, `By` globale	Numero di byte trasferiti nei bucket di log per l'indicizzazione, le query e l'analisi; include fino a 30 giorni di archiviazione. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 300 secondi. `log_source`: il container di risorse da cui proviene il log. `resource_type`: tipo di risorsa monitorata per i log trasmessi in flussi nei bucket di log. `log_bucket_location`: la località in cui si trova il bucket di log. `log_bucket_id`: l'ID del bucket di log.
`billing/log_bucket_monthly_bytes_ingested` ^BETA Byte trasmessi in bucket di log mensilmente
`GAUGE`, `INT64`, `By` globale	Numero di byte inviati in flussi nei bucket di log per l'indicizzazione, le query e l'analisi per il periodo corrente da inizio mese; includono fino a 30 giorni di archiviazione. Campionamento eseguito ogni 1800 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 6000 secondi. `log_source`: il container di risorse da cui proviene il log. `resource_type`: tipo di risorsa monitorata per i log trasmessi in flussi nei bucket di log. `log_bucket_location`: la località in cui si trova il bucket di log. `log_bucket_id`: l'ID del bucket di log.
`billing/monthly_bytes_ingested` ^GA Byte mensili trasmessi nei bucket di log
`GAUGE`, `INT64`, `By` globale	Numero di byte inviati in streaming da inizio mese ai bucket di log per l'indicizzazione, le query e l'analisi; include fino a 30 giorni di archiviazione. Campionamento eseguito ogni 1800 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 6000 secondi. `resource_type`: tipo di risorsa monitorata per la voce di log.
`byte_count` ^GA Byte di log
`DELTA`, `INT64`, `By`	Numero di byte nelle voci di log trasferiti nei bucket di log. I log esclusi non vengono conteggiati. Campionamento eseguito ogni 60 secondi. `log`: nome del log. `severity`: gravità della voce di log.
`dropped_log_entry_count` ^OBSOLETO Errori delle metriche basate su log (deprecato)
`DELTA`, `INT64`, `1`	Utilizza invece "logging.googleapis.com/logs_based_metrics_error_count". Campionamento eseguito ogni 60 secondi. `log`: nome del log.
`exports/byte_count` ^GA Byte di log esportati
`DELTA`, `INT64`, `By` logging_sink	Numero di byte nelle voci di log esportate. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 420 secondi.
`exports/error_count` ^GA Errori nelle voci di log esportate
`DELTA`, `INT64`, `1` logging_sink	Numero di voci di log che non è stato possibile esportare. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 420 secondi.
`exports/log_entry_count` ^GA Voci di log esportate
`DELTA`, `INT64`, `1` logging_sink	Numero di voci di log esportate. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 420 secondi.
`log_entry_count` ^GA Voci di log
`DELTA`, `INT64`, `1`	Numero di voci di log trasferite nei bucket di log. Per impostazione predefinita, le voci di log vengono archiviate per 30 giorni. I log esclusi non vengono conteggiati. Campionamento eseguito ogni 60 secondi. `log`: nome del log. `severity`: gravità della voce di log.
`logs_based_metrics_error_count` ^GA Errori delle metriche basate su log
`DELTA`, `INT64`, `1`	Numero di voci di log trasferite in bucket di log che non vengono conteggiate nelle metriche basate su log definite dall'utente o di sistema. Questa condizione può verificarsi se il timestamp di una voce di log risale a più di 24 ore fa o 10 minuti più recente rispetto all'ora di ricezione effettiva. Campionamento eseguito ogni 60 secondi. `log`: nome del log.
`metric_label_cardinality` ^BETA Conteggio della cardinalità attiva della metrica basata su log per etichetta
`GAUGE`, `INT64`, `1` metrica	Stima della cardinalità per ogni etichetta di una metrica basata su log. La stima viene calcolata su circa 25 ore. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 270 secondi. `label`: nome dell'etichetta della metrica.
`metric_label_throttled` ^BETA Stato limitato dell'etichetta delle metriche basata su log
`GAUGE`, `BOOL`, metrica	Indica se le etichette delle metriche vengono eliminate per le metriche basate su log a causa del superamento dei limiti di cardinalità. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 270 secondi. `label`: nome dell'etichetta della metrica.
`metric_throttled` ^GA Stato limitato della metrica basata su log
`GAUGE`, `BOOL`, metrica	Indica se le etichette o i punti vengono eliminati per le metriche basate su log a causa del superamento dei limiti di serie temporali attive (cardinalità). Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 270 secondi.
`time_series_count` ^BETA Conteggio di serie temporali attive con metriche basate su log (cardinalità)
`GAUGE`, `INT64`, `1` metrica	Stime di serie temporali attive (cardinalità) per le metriche basate su log. Vengono conteggiate solo le etichette delle metriche e la stima viene calcolata in circa 25 ore. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 270 secondi.

Tabella generata alle ore 19:12:46 UTC del 11-04-2024.

Metriche basate su log definite dall'utente

Puoi creare metriche basate su log per estrarre dati numerici dai log. Le metriche basate su log definite dall'utente calcolano i valori dei log inclusi ed esclusi.

Per impostazione predefinita, le metriche basate su log definite dall'utente raccolgono i dati da tutti i log ricevuti dal router dei log nel progetto Google Cloud, ma puoi definire metriche basate su log che raccolgono i dati dai log con routing a un bucket di log specifico.

Per informazioni sulla definizione e sull'utilizzo delle metriche basate su log a livello di progetto, consulta Utilizzo delle metriche basate su log.
Per informazioni sulla definizione e sull'utilizzo delle metriche basate su log a livello di bucket, consulta Metriche basate su log sui bucket di log.

Se definisci le tue metriche basate su log, potrebbero esserti addebitati costi. Per ulteriori informazioni sui costi associati all'importazione delle metriche, consulta Metriche addebitabili.

Avvisi basati su log

Se vuoi ricevere una notifica ogni volta che viene visualizzato un messaggio specifico in un log, utilizza gli avvisi basati su log. Gli avvisi basati su log sono particolarmente adatti per rilevare gli eventi relativi alla sicurezza nei log, come i seguenti:

Vuoi ricevere una notifica quando viene visualizzato un evento in un audit log, ad esempio quando un utente umano accede al token di sicurezza di un account di servizio.
L'applicazione scrive i messaggi relativi al deployment nei log e vuoi ricevere una notifica quando viene registrata una modifica al deployment.

Gli avvisi basati su log sono particolarmente adatti per eventi che prevedi siano rari e importanti. Non vuoi sapere di una tendenza o di un pattern ma che è accaduto qualcosa.

Per informazioni sulla creazione di avvisi basati su log, consulta Utilizzo degli avvisi basati su log.

Puoi simulare un avviso basato su log definendo una metrica basata su log e utilizzandola in un criterio di avviso con una soglia pari a 1. Gli avvisi basati su log consentono di avere questo comportamento senza la necessità di creare una metrica basata su log e configurare un criterio di avviso basato su metriche.

Confronto delle opzioni di avviso

Questa sezione confronta i criteri di avviso basati su metriche basate su log con gli avvisi basati su log.

Tabella riepilogativa

La seguente tabella riassume le tecniche di avviso e fornisce link a informazioni aggiuntive in questo documento:

Avvisi sulle metriche basate su log	Avvisi basati su log	Ulteriori informazioni
In base alle metriche derivate dalle voci di log	In base alle stringhe nelle singole voci di log	Metriche basate su log e Avvisi basati su log
Utilizzato per notificare le tendenze nel tempo	Utilizzato per notificare quando un messaggio specifico viene visualizzato in un log	Metriche basate su log e Avvisi basati su log
Calcolo in base a: Log inclusi (metriche basate su log definite dal sistema) Log inclusi ed esclusi (metriche basate su log definite dall'utente)	Abbina solo i log inclusi	Log disponibili
Usare le metriche di tutti i progetti nell'ambito delle metriche del progetto di definizione dell'ambito	Utilizza solo i log nel progetto di definizione dell'ambito	Avvisi su più progetti
Si attiva quando il valore di una metrica soddisfa una condizione per un periodo specificato	Si attiva ogni volta che una voce di log specifica corrisponde a un filtro	Incidenti e notifiche
Creata e gestita in Monitoring	Creata in Logging; gestita in Monitoring	Creazione e gestione dei criteri di avviso
Visualizzato in Monitoring	Visualizzato in Monitoring	Visualizzazione dei criteri di avviso
Può utilizzare qualsiasi canale di notifica supportato in Monitoring	Può utilizzare qualsiasi canale di notifica supportato in Monitoring	Canali di notifica

Log disponibili

Le metriche basate su log definite dall'utente vengono calcolate da tutti i log ricevuti dall'API Logging per il progetto Google Cloud, indipendentemente da eventuali filtri di inclusione o filtri di esclusione applicabili al progetto Google Cloud. Se crei un criterio di avviso basato su una metrica basata su log definita dall'utente, il criterio monitora i dati di tutti i log.

Le metriche basate su log definite dal sistema vengono calcolate solo dai log archiviati nei bucket di log nel progetto Google Cloud. Se un log è stato esplicitamente escluso, non viene incluso in queste metriche. Se crei un criterio di avviso basato su una metrica basata su log definita dal sistema, il criterio monitora i dati solo dai log inclusi.

Gli avvisi basati su log funzionano solo sui log inclusi. Non è possibile utilizzare avvisi basati su log per ricevere notifiche sui messaggi nei log esclusi.

Sia le metriche basate su log sia gli avvisi basati su log operano nell'ambito del progetto Google Cloud, non in singoli bucket.

Avvisi su più progetti

Puoi monitorare le metriche di diversi progetti configurando un ambito delle metriche. Un ambito delle metriche elenca tutti i progetti e gli account che monitora. Un progetto di ambito ospita l'ambito delle metriche. Il progetto di definizione dell'ambito archivia i criteri di avviso e altre configurazioni create per l'ambito delle metriche. Il progetto di definizione dell'ambito per un ambito delle metriche è il progetto selezionato dal selettore di progetti della console Google Cloud.

I criteri di avviso basati su metriche basate su log, ad esempio quelli basati su altre metriche, funzionano in tutti i progetti nell'ambito delle metriche del progetto di definizione dell'ambito.

Gli avvisi basati su log non funzionano negli ambiti delle metriche; i log nei progetti non fanno parte di un ambito delle metriche. Un avviso basato su log valuta solo i log che hanno origine nel progetto attuale o che sono instradati al progetto attuale.

Per ulteriori informazioni sugli ambiti delle metriche, inclusi gli ambiti delle metriche multiprogetto, e sulla definizione dell'ambito dei progetti, consulta quanto segue:

Incidenti e notifiche

Quando viene attivato un criterio di avviso, apre un incidente in Monitoring e invia notifiche a tutti i canali selezionati. Per visualizzare i dettagli dell'incidente, fai clic su Visualizza incidente nel messaggio di notifica o vai direttamente alla pagina Incidenti in Monitoring.

I criteri di avviso basati su metriche basate su log creano incidenti e notifiche come tutti gli altri criteri di avviso basati su metriche in Monitoring, come descritto in Comportamento degli avvisi. Per saperne di più sulla gestione degli incidenti per i criteri di avviso basati su metriche, consulta Incidenti per gli avvisi basati su metriche.

Gli avvisi basati su log non sono quelli basati su metriche. Gli avvisi basati su log creano incidenti e notifiche come segue:

La prima volta che Cloud Logging scrive una voce di log che corrisponde alla tua query di avviso in un bucket di log, viene creato un incidente e viene inviata una notifica. Se viene scritta un'altra voce di log corrispondente, viene creato un nuovo incidente solo se l'incidente precedente è stato chiuso. Tuttavia, l'eliminazione definitiva di un incidente chiuso potrebbe richiedere fino a tre minuti. Quando viene ricevuta una voce di log corrispondente nei tre minuti successivi alla chiusura di un incidente, il sistema potrebbe riaprire l'incidente anziché crearne uno nuovo.
Esiste un limite di 20 notifiche al giorno per ogni avviso basato su log. Se raggiungi questo limite, la notifica include un messaggio che ti informa che hai raggiunto il limite per il giorno.
Quando crei un avviso basato su log, puoi specificare il tempo minimo tra le notifiche per ridurre le notifiche ripetute. Ad esempio, se selezioni 10 minuti come intervallo di tempo tra le notifiche e l'avviso basato su log viene attivato due volte in questo periodo, riceverai una sola notifica.

La frequenza massima di notifiche è una notifica ogni 5 minuti per ogni avviso basato su log.
Gli incidenti vengono chiusi automaticamente dopo 7 giorni, a meno che non configuri un periodo più breve o chiudi gli incidenti manualmente.

Per ulteriori informazioni sulla gestione di questi incidenti, consulta Gestione degli incidenti per gli avvisi basati su log.

Creazione e gestione dei criteri di avviso

Puoi creare, modificare ed eliminare i criteri di avviso in base alle metriche basate su log in Cloud Monitoring, come qualsiasi altro criterio di avviso basato su metriche. Per ulteriori informazioni, vedi Gestione dei criteri.

Puoi creare avvisi basati su log utilizzando Esplora log o l'API Cloud Monitoring. Puoi modificare ed eliminare gli avvisi basati su log in Monitoring. Per ulteriori informazioni, consulta Gestire gli avvisi basati su log.

Visualizzazione dei criteri di avviso

La pagina Criteri in Monitoring elenca tutti i criteri di avviso nel tuo progetto Google Cloud. Questo elenco include i criteri che utilizzano metriche e avvisi basati su log.

Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi Avvisi:
Vai ad Avvisi
Seleziona Visualizza tutti i criteri.

Gli avvisi basati su log vengono visualizzati nell'elenco con il valore Logs nella colonna Tipo. Gli avvisi basati sulle metriche, incluse le metriche basate su log, vengono visualizzati nell'elenco con il valore Metrics nella colonna Tipo. Il seguente screenshot mostra un estratto di un elenco di norme:

Per distinguere gli avvisi basati su log e quelli basati su metriche, utilizza la colonna **Tipo**
nell'elenco dei criteri di avviso.

Canali di notifica

Puoi inviare notifiche sia da avvisi basati su metriche che su log a qualsiasi canale di notifica supportato da Monitoring. Devi configurare questi canali prima di poterli utilizzare nei criteri di avviso.

Per ulteriori informazioni, consulta Gestione dei canali di notifica.

Requisiti di autorizzazione

L'utilizzo di metriche o avvisi basati su log richiede l'autorizzazione sia per Cloud Logging che per Cloud Monitoring.

Per le metriche basate su log definite dall'utente, consulta Autorizzazioni per le metriche basate su log.
Per gli avvisi basati su log, vedi Autorizzazioni per gli avvisi basati su log.

Costi e limiti

Se definisci le tue metriche basate su log, si applica quanto segue:

Esistono dei limiti al numero e alla struttura delle metriche basate su log definite dall'utente. Per ulteriori informazioni su questi limiti, consulta i limiti per le metriche basate su log.
Potrebbero esserti addebitati costi per le metriche basate su log definite dall'utente. Per ulteriori informazioni sui costi associati all'importazione delle metriche, consulta Metriche addebitabili.

Non sono previsti addebiti associati all'uso di criteri di avviso basati su metriche basate su log.

Si applicano i seguenti limiti di Monitoring relativi ai criteri di avviso:

Categoria	Valore	Tipo di criterio¹
Criteri di avviso (somma della metrica e del log) per ambito delle metriche ²	500	Metrica, log
Condizioni per criterio di avviso	6	Metrica
Periodo di tempo massimo valutato da una condizione di assenza metrica³	1 giorno	Metrica
Periodo di tempo massimo valutato da una condizione di soglia di metrica³	23 ore 30 minuti	Metrica
Lunghezza massima del filtro utilizzato in una condizione di soglia di metriche	2048 caratteri Unicode	Metrica
Numero massimo di serie temporali monitorate da una condizione di previsione	64	Metrica
Finestra di previsione minima	1 ora (3600 secondi)	Metrica
Finestra di previsione massima	2,5 giorni (216.000 secondi)	Metrica
Canali di notifica per criterio di avviso	16	Metrica, log
Frequenza massima delle notifiche	1 notifica ogni 5 minuti per ogni avviso basato su log	Log
Numero massimo di notifiche	20 notifiche al giorno per ogni avviso basato su log	Log
Numero massimo di incidenti aperti contemporaneamente per criterio di avviso	1000	Metrica
Periodo dopo il quale viene chiuso automaticamente un incidente senza nuovi dati	7 giorni	Metrica
Durata massima di un incidente se non è chiuso manualmente	7 giorni	Log
Conservazione degli incidenti chiusi	13 mesi	Non applicabile
Conservazione degli incidenti aperti	Indeterminata	Non applicabile
Canali di notifica per ambito delle metriche	4000	Non applicabile
Numero massimo di criteri di avviso per posticipazione	16	Metrica, log
Conservazione di una posticipazione	13 mesi	Non applicabile

¹Metrica: un criterio di avviso basato su dati di metriche; Log: un criterio di avviso basato su messaggi di log (avvisi basati su log)
²Apigee e Apigee hybrid sono profondamente integrati con Cloud Monitoring. Il limite di avvisi per tutti i livelli di abbonamento Apigee (Standard, Enterprise ed Enterprise Plus) è lo stesso di Cloud Monitoring: 500 per ambito delle metriche .
³ Il periodo di tempo massimo valutato da una condizione è la somma del periodo di allineamento e dei valori della finestra di durata. Ad esempio, se il periodo di allineamento è impostato su 15 ore e la finestra di durata è impostata su 15 ore, sono necessarie 30 ore di dati per valutare la condizione.