Incidentes para políticas de alertas basadas en métricas

Un incidente es un registro de cuándo se cumplen las condiciones o las condiciones de una política de alertas. Por lo general, cuando se cumplen las condiciones, Cloud Monitoring abre un incidente y envía una notificación. Sin embargo, los incidentes no se crean cuando la política se pospone o inhabilita, cuando hay demasiados incidentes abiertos para esa política o cuando se sabe que el recurso subyacente está inhabilitado. Además, cuando una política de alertas contiene varias condiciones, la política de alertas especifica si cumplir con una condición es suficiente para que se cree un incidente.

En este documento, se describe cómo puedes ver, investigar y administrar incidentes para políticas de alertas basadas en métricas.

Antes de comenzar

Asegúrate de contar con los permisos necesarios:

• Si quieres obtener los permisos que necesitas para ver incidentes con la consola de Google Cloud, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

  • Visualizador de incidentes de la consola de Cloud de Monitoring (roles/monitoring.cloudConsoleIncidentViewer)
  • Visualizador de cuentas de Stackdriver (roles/stackdriver.accounts.viewer)

  Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

  Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.

• Si quieres obtener los permisos que necesitas para administrar incidentes con la consola de Google Cloud, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

  • Editor de incidentes de la consola de Cloud para supervisar (roles/monitoring.cloudConsoleIncidentEditor)
  • Visualizador de cuentas de Stackdriver (roles/stackdriver.accounts.viewer)

  Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

  Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.

Para obtener más información sobre las funciones de Cloud Monitoring, consulta Controla el acceso con Identity and Access Management.

Buscar incidentes

Para ver una lista de incidentes, haz lo siguiente:

1. En el panel de navegación de la consola de Google Cloud, elige Monitoring y, luego, notifications Alertas:

   Ir a las Alertas

   • En el panel Resumen, se muestra la cantidad de incidentes abiertos.
   • En el panel Incidentes, se muestran los incidentes más recientes. Para enumerar los incidentes más recientes en la tabla, incluidos los que están cerrados, haz clic en Mostrar incidentes cerrados.

2. Opcional: Para ver los detalles de un incidente específico, selecciónalo en la lista. Se abrirá la página Detalles del incidente. Para obtener información sobre esta página, consulta la sección Investiga incidentes de esta página.

Buscar incidentes anteriores

En el panel Incidentes en Alertas, se muestran los incidentes abiertos más recientes. Para ubicar los incidentes más antiguos, realiza una de las siguientes acciones:

• Para desplazarte por las entradas de la tabla Incidentes, haz clic en arrow_back_ios Más reciente o arrow_forward_ios Más antiguo.

• Para navegar a la página Incidentes, haz clic en Ver todos los incidentes. En la página Incidentes, puedes hacer todo lo siguiente:

  • Mostrar incidentes cerrados: Para enumerar todos los incidentes en la tabla, haz clic en Mostrar incidentes cerrados.
  • Filtrar incidentes: Para obtener información sobre cómo agregar filtros, consulta Filtra incidentes.
  • Confirmar o cerrar un incidente, o posponer su política de alertas Para acceder a estas opciones, haz clic en more_vert Más opciones en la fila del incidente y selecciona una opción en el menú. Para obtener más información, consulta Administra incidentes.

Filtrar incidentes

Cuando ingresas un valor en la barra de filtros, solo los incidentes que coinciden con el filtro se enumeran en la tabla Incidentes. Si agregas varios filtros, un incidente solo se muestra si cumple con todos los filtros.

Para agregar un filtro a la tabla de incidentes, haz lo siguiente:

1. En la página Incidentes, haz clic en filter_list Filtrar tabla y, luego, selecciona una propiedad de filtro. Las propiedades de los filtros incluyen lo siguiente:

   • Estado del incidente
   • Nombre de la política de alertas
   • Cuando se abrió o cerró el incidente
   • Tipo de métrica
   • Tipo de recurso

2. Selecciona un valor del menú secundario o ingresa un valor en la barra de filtros.

   Por ejemplo, si seleccionas Tipo de métrica y, luego, ingresas usage_time, es posible que solo veas las siguientes opciones en el menú secundario:

   agent.googleapis.com/cpu/usage_time
   compute.googleapis.com/guest/container/cpu/usage_time
   container.googleapis.com/container/cpu/usage_time
   

Investigar incidentes

Después de encontrar el incidente que deseas investigar, ve a la página Detalles del incidente de ese incidente. Para ver los detalles, selecciona el resumen del incidente en la tabla de incidentes de la página Alertas o Incidentes.

De manera alternativa, si recibiste una notificación que incluye un vínculo al incidente, puedes usar ese vínculo para ver los detalles del incidente.

En la página Detalles del incidente, se proporciona la siguiente información:

• Información de estado, incluida la siguiente:

  • Nombre: Es el nombre de la política de alertas que causó este incidente.
  • Estado: El estado del incidente (abierto, confirmado o cerrado)
  • Gravedad: La gravedad del incidente:
    • Sin gravedad
    • Crítica
    • Error
    • Con advertencias
  • Duración: Es el tiempo durante el que el incidente estuvo abierto.

• Información sobre la política de alertas que causó el incidente:

  • Panel Condición (Condition): Identifica la condición de la política de alertas que causó el incidente.

  • Panel Mensaje: Proporciona una breve explicación de la causa según la configuración de la condición en la política de alertas. Este panel siempre se propaga.

  • Panel Documentación: Se muestra la plantilla de documentación para las notificaciones que proporcionaste cuando creaste la política de alertas. Esta información puede incluir una descripción de lo que supervisa la política de alertas y sugerencias para la mitigación.

    Si omitiste este campo cuando creaste la política de alertas, en este panel se mostrará el mensaje “No se configuró ninguna documentación”.

• Etiquetas: Indica lo siguiente:

  • Las etiquetas y los valores del recurso supervisado y la métrica de las series temporales que causaron el incidente. Esta información puede ayudarte a identificar el recurso supervisado específico que causó el incidente.

    Cuando usas variables en la documentación para las etiquetas de métricas, Monitoring omite la etiqueta de las notificaciones cuando el valor de la etiqueta no comienza con un dígito, una letra, una barra diagonal (/) o un signo igual (=).

  • Cualquier etiqueta y valor especificados por el usuario que definiste en la política de alertas. Puedes usar estas etiquetas para organizar y, también, identificar las políticas de alertas. Las etiquetas asociadas con una política se enumeran en la sección Etiquetas de política, mientras que las etiquetas definidas como parte de una condición se enumeran en la sección Etiquetas de métricas. Las etiquetas de metadatos solo se muestran cuando hay un filtro o una agrupación que depende de la etiqueta. Para obtener más información, consulta Anota alertas con etiquetas.

En la página Detalles de incidentes, también se proporcionan herramientas para investigar el incidente:

• Cronograma del incidente: Se muestran dos representaciones visuales del incidente:

  • En el cronograma, una barra roja representa la hora de un incidente. La longitud y la posición de la barra reflejan la duración del incidente.
  • En un gráfico, se muestran los datos y el umbral de las series temporales que usó la política de alertas que causó el incidente. El incidente se abrió cuando algunas series temporales cumplieron con una condición de la política de alertas.

  El eje de tiempo indica la duración del incidente con dos puntos etiquetados. La posición de estos puntos en el eje de tiempo determina el rango de datos que se muestran en el gráfico que acompaña el cronograma del incidente. De forma predeterminada, se coloca un punto al comienzo del incidente y otro al cierre del incidente, o bien en la hora actual si el incidente aún está abierto.

  Puedes modificar el intervalo de tiempo en el cronograma del incidente y el gráfico:

  • Para cambiar el intervalo de tiempo que se muestra en el gráfico, arrastra cualquiera de los puntos del eje de tiempo. Con esta técnica, puedes enfocarte en intervalos específicos, por ejemplo, al comienzo o al final del incidente.

    Si cambias el gráfico mediante la arrastre de los puntos del eje, se configura un valor personalizado en el menú Período y se inhabilita el menú. Para habilitar el menú Período, haz clic en Restablecer.

  • Para cambiar el intervalo de tiempo que se muestra en el cronograma, selecciona un intervalo en el menú Período.
• Vínculos a otras herramientas de solución de problemas La configuración de tu proyecto y la política de alertas, y la antigüedad del incidente, determinan qué vínculos están disponibles.
  • Para ver la página de detalles de la política de alertas, haz clic en Ver política.
  • Para editar la definición de la política de alertas, haz clic en Editar política.
  • Para ir a un panel de información de rendimiento del recurso, haz clic en Ver detalles del recurso.
  • Para ver las entradas de registro relacionadas en el explorador de registros, haz clic en Ver registros. Para obtener más información, consulta Visualiza los registros con el Explorador de registros.
  • Para investigar los datos del gráfico, haz clic en Ver en el Explorador de métricas.
• Anotaciones: Proporciona un registro de tus hallazgos, resultados, sugerencias y otros comentarios provenientes de tu investigación del incidente.
  • Para agregar una anotación, ingresa texto en el campo y haz clic en Agregar comentario.
  • Para descartar el comentario, haz clic en Cancelar.

Administración de incidentes

Los incidentes están en uno de los siguientes estados:

• error Abierto: Se cumple el conjunto de condiciones de la política de alertas o no hay datos que indiquen que ya no se cumple la condición. Si una política de alertas contiene varias condiciones, se abren los incidentes según cómo se combinen esas condiciones. Para obtener más información, consulta Políticas con varias condiciones.

• warning Confirmado: El incidente está abierto y se marcó de forma manual como confirmado. Por lo general, este estado indica que se investiga el incidente.

• check_circle Cerrado: El sistema observó que dejó de cumplirse la condición, cerraste el incidente o pasaron 7 días sin una observación de que se siguió cumpliendo la condición.

Cuando configures una política de alertas, asegúrate de que el estado estable proporcione una señal cuando todo esté bien. Esto es necesario para garantizar que se pueda identificar el estado sin errores y, si un incidente está abierto, para que se cierre. Si no hay señales que indiquen que se detuvo una condición de error, después de que se abre un incidente, permanece abierto durante 7 días después de que se activa la política de alertas.

Por ejemplo, si creas una política de alertas que te notifica cuando el recuento de errores es mayor que 0, asegúrate de que produzca un recuento de 0 cuando no haya errores. Si la política de alertas muestra un resultado nulo o vacío en el estado sin errores, no hay señal para indicar cuándo se detuvieron los errores. En algunas situaciones, el lenguaje de consulta de Monitoring (MQL) te permite especificar un valor predeterminado que se usa cuando no hay un valor medido disponible. Para ver un ejemplo, consulta Usa la proporción.

Confirma incidentes

Te recomendamos que marques un incidente como confirmado cuando comiences a investigar la causa del incidente.

Para marcar un incidente como confirmado, haz lo siguiente:

• En el panel Incidentes de la página Alertas, haz clic en Ver todos los incidentes.

• En la página Incidentes, busca el incidente que deseas confirmar y, luego, realiza una de las siguientes acciones:

  • Haz clic en more_vert Más opciones y, luego, selecciona Confirmar.
  • Abre la página de detalles del incidente y, luego, haz clic en Confirmar incidente.

Si tu política de alertas está configurada para enviar notificaciones repetidas, confirmar un incidente no detiene las notificaciones. Para detenerlos, realiza una de las siguientes acciones:

• Crea una alerta pospuesta para la política de alertas.
• Inhabilita la política de alertas.

Pospón una política de alertas

Para evitar que Monitoring cree incidentes y envíe notificaciones durante un período específico, pospone la política de alertas relacionada. Cuando pospones una política de alertas, Monitoring también cierra todos los incidentes relacionados con ella.

Para crear una alerta pospuesta para un incidente que estás viendo, haz lo siguiente:

1. En la página Detalles del incidente, haz clic en Posponer.

2. Selecciona la duración de la posposición. Después de seleccionar la duración de la posposición, la alerta comienza de inmediato.

Cuando veas la página de detalles de un incidente, puedes crear una alerta pospuesta para la política de alertas relacionada si haces clic en Posponer y, luego, eliges una duración. La función para posponer comienza de inmediato. También puedes posponer una política de alertas desde la página Incidentes. Para ello, busca el incidente que deseas posponer, haz clic en more_vert Más opciones y selecciona Posponer. Puedes posponer políticas de alertas durante las interrupciones para evitar notificaciones adicionales durante el proceso de solución de problemas.

Cerrar incidentes

Puedes permitir que Monitoring cierre un incidente por ti o puedes cerrarlo cuando dejen de llegar las observaciones. Si cierras un incidente y, luego, llegan datos que indican que se cumple la condición, se crea un incidente nuevo. Cuando cierras un incidente, esa acción no cierra ningún otro incidente que esté abierto para la misma condición. Si pospones una política de alertas, los incidentes abiertos se cierran cuando comienza la función de posponer.

La supervisión cierra un incidente de forma automática cuando se produce alguna de las siguientes situaciones:

• Condiciones de umbral de métrica:

  • Llega una observación que indica que no se infringió el umbral.

  • No llegan observaciones, la condición se configura para cerrar incidentes cuando estas dejan de llegar y el estado del recurso subyacente es desconocido o no está inhabilitado.

  • No llegan observaciones durante la duración del cierre automático de la política de alertas y la condición no está configurada para cerrar incidentes automáticamente cuando dejan de llegar las observaciones. Para configurar la duración del cierre automático, puedes usar la consola de Google Cloud o la API de Cloud Monitoring. De forma predeterminada, el cierre automático dura siete días. La duración mínima del cierre automático es de 30 minutos.

• Condiciones de ausencia de métricas:

  • Se produce una observación.
  • No llegan observaciones durante 24 horas después de que venza la duración del cierre automático de la política de alertas. Para configurar la duración del cierre automático, puedes usar la consola de Google Cloud o la API de Cloud Monitoring. De forma predeterminada, el cierre automático dura siete días.

• Condiciones de previsión:

  • Se produce una previsión y predice que la serie temporal no incumplirá el umbral dentro del período de previsión.

  • No llegan observaciones durante 10 minutos, la condición se configura para cerrar incidentes cuando estas dejan de llegar y el estado del recurso subyacente es desconocido o no está inhabilitado.

  • No llegan observaciones durante la duración del cierre automático de la política de alertas y la condición no está configurada para cerrar incidentes automáticamente cuando dejan de llegar las observaciones.

Por ejemplo, una política de alertas generó un incidente porque la latencia de respuesta HTTP fue mayor de 2 segundos por 10 minutos consecutivos. Si la siguiente medición de la latencia de la respuesta HTTP es menor o igual que dos segundos, se cierra el incidente. De manera similar, si no se reciben datos en absoluto durante siete días, el incidente se cierra.

Para cerrar un incidente, haz lo siguiente:

1. En el panel Incidentes de la página Alertas, haz clic en Ver todos los incidentes.

2. En la página Incidentes, busca el incidente que deseas cerrar y, luego, realiza una de las siguientes acciones:

   • Haz clic en more_vert Ver más y, luego, selecciona Cerrar incidente.
   • Abre la página de detalles del incidente y, luego, haz clic en Cerrar incidente.

Si ves el mensaje Unable to close incident with active conditions, significa que no se puede cerrar el incidente porque se recibieron datos dentro del período de alerta más reciente.

Si ves el mensaje Unable to close incident. Please try again in a few minutes., significa que no se pudo cerrar el incidente debido a un error interno.

Retención y límites de datos

Para obtener más información sobre los límites y el período de retención de incidentes, consulta Límites de las alertas.

¿Qué sigue?

• Para crear y administrar políticas de alertas con la API de Cloud Monitoring o desde la línea de comandos, consulta Administra las políticas de alertas con la API.

* Para obtener un tratamiento conceptual detallado de las políticas de alertas, consulta Comportamiento de las políticas de alertas basadas en métricas.