ログのモニタリング

このページでは、Cloud Monitoring を使用してログの傾向を確認し、記述した条件の発生時に通知する方法について説明します。Cloud Monitoring にログのデータを提供するため、ロギングには次の機能があります。

  • ログベースの指標で、次のように使用できます。
    • 経時的な変化を通知するアラート ポリシーを作成する。
    • 経時的な変化を表すグラフを作成する。
  • ログに特定のイベントが表示されるたびに通知する、ログベースのアラート。

一定期間内のログを評価するには、ログベースの指標に基づいたグラフやアラート ポリシーを使用します。

メッセージがログに表示されたときに、ほぼリアルタイムで通知が必要な場合は、ログベースのアラートを使用します。

このページの残りの部分では、ログベースの指標とアラートの選択方法と、それらの違いについて説明します。

ログベースの指標

一定期間内のログの繰り返しイベントをモニタリングする場合は、ログベースの指標を使用します。ログベースの指標は、ログから数値データを生成します。ログベースの指標は、次のいずれかを行う場合に適しています。

  • ログ内で警告やエラーなどのメッセージの発生回数をカウントし、しきい値を超えると通知を受け取る。
  • ログのレイテンシ値などのデータの傾向を監視し、許容できない値に変化した場合に通知を受け取る。
  • グラフを作成して、ログから抽出した数値データを表示する。

ログベースの指標はログから数値データを生成するため、アラート ポリシーでログベースの指標を使用して、グラフに表示できます。ログベースの指標のアラート ポリシーとグラフの作成については、グラフとアラートの作成をご覧ください。

Cloud Monitoring には、事前定義された一連のログベースの指標が用意されており、それで独自の指標を定義できます。システム定義のログベースの指標のリストを表示するには、次のボタンをクリックします。

ユーザー定義のログベースの指標

独自のログベースの指標を定義して使用する方法については、ログベースの指標をご覧ください。独自のログベースの指標を定義すると、料金が発生する可能性があります。指標の取り込みに関連する費用の詳細については、課金対象の指標をご覧ください。

ログベースのアラート

ログ内で特定のメッセージが発生するたびに通知を受け取るには、ログベースのアラートを使用します。ログに基づくアラートは、次のようにログ内でセキュリティ関連のイベントを検出するのに適しています。

  • 人間のユーザーがサービス アカウントのセキュリティ キーにアクセスするようなイベントが監査ログに表示されたとき。
  • アプリケーションがログにデプロイ メッセージを書き込み、デプロイの変更がログに記録されたとき。

ログベースのアラートは、まれなイベントまたは重要なイベントに最適です。トレンドやパターンではなく、何かが起こったことを知ることが大事です。

ログベースのアラートの作成方法については、ログベースのアラートの使用をご覧ください。

ログベースの指標を定義し、しきい値を 1 にしたアラート ポリシーを作成することによって、ログベースのアラートをシミュレートできます。ただし、ログベース アラートは、ログを作成しなくてもその動作を提供し、指標に基づくアラート ポリシーを構成します。

アラート オプションの比較

このセクションでは、ログベースの指標に基づいて構築されたアラート ポリシーが、ログベースのアラートと異なる主な点について説明します。

使用可能なログ

ユーザー定義のログベースの指標は、Cloud プロジェクトに適用されている包含フィルタまたは除外フィルタにかかわらず、Cloud プロジェクトの Logging API によって受信されたすべてのログから計算されます。ユーザー定義のログベースの指標に基づいてアラート ポリシーを作成すると、ポリシーはすべてのログからデータをモニタリングします。

システム定義のログベースの指標は、Cloud プロジェクトの Logging によって取り込まれたログからのみ計算されます。Logging によって取り込まれたログが明示的に除外されている場合、そのログはこれらの指標には含まれません。システム定義のログベースの指標に基づいてアラート ポリシーを作成すると、ポリシーは、含まれるログからのデータのみをモニタリングします。

ログベースのアラートは、含まれているログに対してのみ機能します。ログベースのアラートを使用して、除外されたログ内のメッセージについて通知することはできません。

ログベースの指標とログベースのアラートは、個々のバケットではなく、Cloud プロジェクトのスコープで動作します。

アラート ポリシーの作成と管理

Cloud Monitoring では、他の指標ベースのアラート ポリシーと同様に、ログベースの指標に基づいてアラート ポリシーの作成、変更、削除を行います。詳細については、ポリシーの管理をご覧ください。

ログベースのアラートは、ログ エクスプローラまたは Cloud Monitoring API を使用して作成できます。Monitoring でログベースの指標の変更と削除を行います。詳細については、ログベースのアラートの管理をご覧ください。

複数のプロジェクトにわたるアラート

指標スコープを構成することで、複数のプロジェクトの指標をモニタリングできます。指標スコープは、モニタリングするすべてのプロジェクトとアカウントを一覧表示し、スコープ対象プロジェクトによってホストされます。スコープ対象プロジェクトには、指標スコープ用に作成したアラート ポリシーとその他の構成が保存されます。指標スコープのスコープ対象プロジェクトは、Cloud Console プロジェクト選択ツールで選択したプロジェクトです。

ログベースの指標に基づくアラート ポリシー(他の指標に基づくアラート ポリシーなど)は、スコープ対象プロジェクトの指標スコープ内のすべてのプロジェクトに対して機能します。

ログベースのアラートは、指標スコープでは機能しません。プロジェクトのログは指標スコープに含まれません。ログベースのアラートは、スコープ対象プロジェクトにあるログのみを評価します。

アラート ポリシーの表示

Monitoring の [ポリシー] ページには、Google Cloud プロジェクトのすべてのアラート ポリシーが表示されます。このリストには、ログベースの指標とログベースのアラートを使用するポリシーが含まれています。

ログベースの指標は、[タイプ] 列の値が Logs であるリストに表示されます。指標によるアラート(ログベースの指標を含む)は、[タイプ] 列の値が Metrics であるリストに表示されます。次のスクリーンショットは、ポリシーリストの抜粋を示しています。

アラート ポリシーのリストの **Type** 列を使用して、ログベースのアラートと指標ベースのアラートを区別する。

通知チャネル

指標ベースのアラートとログベースのアラートの両方を、Monitoring でサポートされている通知チャネルに送信できます。アラート ポリシーで使用する前に、これらのチャネルを構成する必要があります。

詳細については、通知チャンネルの管理をご覧ください。

インシデントと通知

アラート ポリシーがトリガーされると、Monitoring でインシデントが開き、選択したチャネルに通知が送信されます。インシデントの詳細を表示するには、通知メッセージの [インシデントを表示] をクリックするか、Monitoring の [インシデント] ページに直接移動します。

アラートの動作で説明しているように、ログベースの指標に基づくアラート ポリシーは、Monitoring の他のすべての指標ベースのアラート ポリシーと同様にインシデントと通知を作成します。指標ベースのアラート ポリシーのインシデント管理の詳細については、Monitoring ドキュメントの指標ベースのアラートのインシデントをご覧ください。

ログベースのアラートは、指標ベースのアラートではありません。ログベースのアラートでは、次のようにインシデントと通知が作成されます。

  • アラートクエリに一致するログエントリを初めて Cloud Logging が取り込むと、インシデントが作成され、通知が送信されます。その後、一致する別のログエントリが取り込まれると、前のインシデントがクローズされている場合にのみ新しいインシデントが作成されます。ただし、クローズされたインシデントが完全に削除されるまで、最大 3 分かかることがあります。インシデントを閉じてから 3 分以内に一致するログエントリを受け取った場合、システムは新しいインシデントを作成せずに、そのインシデントを再開する可能性があります。

  • 通知は、ログベースのアラートごとに 1 日あたり 20 件に制限されています。この上限に達した場合、その日の制限に達したというメッセージが通知に含まれます。

  • ログベースのアラートを作成する際、通知間の最小期間を指定することで、繰り返しの通知を削減できます。たとえば、通知間の期間として 10 分を選択していて、その期間内にログベースのアラートが 2 回トリガーされた場合は、受け取る通知は 1 つだけになります。

    ログベースのアラートごとに最大 1 つの通知が 5 分ごとに発生します。通知頻度はもっと低く構成することもできます。

  • 手動で閉じない限り、インシデントは 7 日後に自動的に閉じられます。

これらのインシデントの管理の詳細については、ログベースのアラートのインシデントの管理をご覧ください。

承認の要件

ログベースの指標またはログベースの指標を使用するには、Cloud Logging と Cloud Monitoring の両方の承認が必要です。

コストと制限

独自のログベースの指標を定義すると、以下が適用されます。

  • ユーザー定義のログベースの指標の数と構造には上限があります。これらの上限の詳細については、ログベースの指標の制限をご覧ください。
  • ユーザー定義のログベースの指標には料金が発生する場合があります。指標の取り込みに関連する費用の詳細については、課金対象の指標をご覧ください。

ログベースの指標に基づくアラート ポリシーの使用に伴う課金はありません。

アラート ポリシーに関連する次の Monitoring の上限が適用されます。

カテゴリ ポリシータイプ 1
指標スコープごとのアラート ポリシー(指標とログの合計)2 500 指標、ログ
1 アラート ポリシーあたりの条件数 6 指標
指標の不在条件が評価される
最大期間 3
1 日 指標
指標のしきい値条件が評価される
最大期間 3
23 時間 30 分 指標
1 アラート ポリシーあたりの通知チャンネル数 16 指標、ログ
通知の最大レート ログベースのアラートごとに 5 分あたり 1 件の通知 ログ
通知の最大数 ログベースのアラートごとに 1 日あたり 20 件の通知 ログ
1 アラート ポリシーあたりの
同時対応待ちインシデントの最大数
5000 指標
新規データのないインシデントが
自動的に終了するまでの期間
7 日 指標
手動で終了していない場合のインシデントの最長時間 7 日 ログ
終了したインシデントの保持 13 か月 該当なし
対応待ちのインシデント 期限なし 該当なし
指標スコープごとの通知チャネル 4000 該当なし
指標スコープごとの稼働時間チェック 4 100 該当なし
1指標: 指標データに基づくアラート ポリシー。ログ: ログメッセージに基づくアラート ポリシー(ログベースのアラート)
2ApigeeApigee ハイブリッドは Cloud Monitoring と緊密に統合されています。すべての Apigee サブスクリプション レベル(Standard、Enterprise、Enterprise Plus)のアラート数の上限は、Cloud Monitoring と同じで、1 指標スコープあたり 500 です。
3条件が評価する最大期間は、アライメント期間と期間時間枠の値の合計です。たとえば、アライメント期間が 15 時間、期間時間枠が 15 時間に設定されている場合、30 時間分のデータが条件を評価するために必要です。
4この上限は稼働時間チェックの構成の数に適用されます。稼働時間チェックの各構成には、指定されたリソースのステータスを確認する時間間隔が含まれます。詳細については、稼働時間チェックの管理をご覧ください。