Risolvere i problemi relativi ai criteri di avviso basati su log

Questo documento fornisce informazioni per la risoluzione dei problemi relativi all'utilizzo delle policy di avviso basate su log.

Non sono disponibili log corrispondenti

Quando testi il filtro per una criterio di avviso basata sui log, non vengono restituiti log. Controlla i seguenti errori comuni:

• Stai cercando di filtrare i log esclusi. I criteri di avviso basati su log funzionano solo sui log inclusi.

• Stai tentando di filtrare in base ai bucket log o ad altre risorse Google Cloud come account di fatturazione Cloud o organizzazioni. I criteri di avviso basati su log operano a livello di progetto. Google Cloud

• La query è troppo restrittiva. Verifica che i nomi dei campi e le espressioni regolari siano corretti. Puoi utilizzare il riquadro Query in Esplora log o il pulsante Visualizza l'anteprima dei log nell'interfaccia di configurazione degli avvisi per convalidare la query. Per informazioni sulla creazione di query, consulta Linguaggio di query di Logging.

La policy di avviso non funziona

Hai creato un criterio di avviso basato su log, ma non funziona come ti aspettavi. Ad esempio:

• Cloud Monitoring non invia notifiche per il criterio di avviso.

  Se la tua criterio di avviso estrae le etichette, verifica che non estragga l'etichetta timestamp. L'estrazione di questa etichetta impedisce allacriterio di avvisoo di creare incidenti e inviare notifiche.

  Se hai smesso di ricevere notifiche, potresti aver raggiunto il limite di frequenza di 20 incidenti al giorno per ogni criterio di avviso basato sui log. Controlla la notifica più recente che hai ricevuto per questacriterio di avvisoo basata sui log e cerca un'affermazione che indichi che il limite di incidenti è stato superato per la giornata.

  Se non ricevi il numero di notifiche che ti aspetti, controlla la configurazione della criterio di avviso basata sui log. Potrebbe essere necessario modificare il valore dell'intervallo di tempo tra le notifiche.

• Cloud Monitoring non crea incidenti quando le condizioni dei criteri vengono soddisfatte.

  Se la tua criterio di avviso estrae le etichette, verifica che non estragga l'etichetta timestamp. L'estrazione di questa etichetta impedisce allacriterio di avvisoo di creare incidenti e inviare notifiche.

  Vai alla pagina Incidenti in Cloud Monitoring e filtra la tabella in base al nome della policy. I risultati mostrano gli avvisi attuali e passati:

  • Se non sono presenti incidenti, verifica che la query utilizzata trovi log corrispondenti. Verifica che i nomi dei campi e le espressioni regolari siano corretti. Puoi utilizzare il riquadro Query in Esplora log o il pulsante Visualizza l'anteprima dei log nell'interfaccia di configurazione degli avvisi per convalidare la query. Per informazioni sulla creazione di query, consulta Linguaggio di query di Logging.

  • Se ci sono stati incidenti passati, ma non di recenti per il giorno corrente, potresti aver raggiunto il limite di 20 incidenti al giorno per ogni criterio di avviso basato sui log. Controlla la notifica più recente che hai ricevuto per questa norma di avviso e cerca un'indicazione che il limite di incidenti è stato superato per la giornata.

• Cloud Monitoring crea incidenti per un numero maggiore di voci di log rispetto a quanto previsto:

  È possibile che la query dei log non sia sufficientemente restrittiva. Verifica che i nomi dei campi e le espressioni regolari siano corretti. Puoi utilizzare il riquadro Query in Esplora log o il pulsante Visualizza l'anteprima dei log nell'interfaccia di configurazione degli avvisi per convalidare la query. Per informazioni sulla creazione di query, consulta Linguaggio di query di Logging.

Gli incidenti non vengono chiusi

Se non chiudi un incidente, Cloud Logging lo chiude dopo che è trascorsa la durata di chiusura automatica per il criterio di avviso. La durata della chiusura automatica predefinita è di 7 giorni, ma puoi impostarla su un valore compreso tra 30 minuti e 7 giorni. Puoi anche chiudere manualmente gli incidenti in qualsiasi momento, come descritto in Chiusura degli incidenti.