Incidenti per i criteri di avviso basati su log

Un incidente è un record del momento in cui vengono soddisfatte le condizioni o le condizioni di un criterio di avviso. In genere, quando le condizioni sono soddisfatte, Cloud Monitoring apre un incidente e invia una notifica alla ricezione di un log che corrisponde alla condizione del criterio di avviso basato su log. Tuttavia, gli incidenti non vengono creati nelle seguenti circostanze:

• Il criterio è stato posticipato o disattivato.
• Il numero massimo di notifiche supererebbe il limite di 1 notifica ogni 5 minuti per ogni avviso basato su log.
• Il totale giornaliero di notifiche supererebbe il limite di 20 notifiche al giorno per ogni avviso basato su log.

Questo documento descrive come visualizzare, esaminare e gestire gli incidenti per i criteri di avviso basati su log.

Prima di iniziare

Assicurati di disporre delle autorizzazioni necessarie:

• Per ottenere le autorizzazioni necessarie per visualizzare gli incidenti utilizzando la console Google Cloud, chiedi all'amministratore di concederti i seguenti ruoli IAM nel tuo progetto:

  • Monitoring Cloud Console Incident Viewer (roles/monitoring.cloudConsoleIncidentViewer) (Visualizzatore incidenti console Cloud Monitoring)
  • Visualizzatore account Stackdriver (roles/stackdriver.accounts.viewer)

  Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

  Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

• Per ottenere le autorizzazioni necessarie per gestire gli incidenti utilizzando la console Google Cloud, chiedi all'amministratore di concederti i seguenti ruoli IAM nel tuo progetto:

  • Editor incidenti console Cloud Monitoring (roles/monitoring.cloudConsoleIncidentEditor)
  • Visualizzatore account Stackdriver (roles/stackdriver.accounts.viewer)

  Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

  Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni sui ruoli di Cloud Monitoring, consulta Controllare l'accesso con Identity and Access Management.

Individua incidenti

Per visualizzare un elenco degli incidenti:

1. Nella console Google Cloud, vai alla pagina notifications Avvisi:

   Vai ad Avvisi

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

   • Il riquadro Riepilogo elenca il numero di incidenti aperti.
   • Il riquadro Incidenti mostra gli incidenti aperti più recenti. Per elencare gli incidenti più recenti nella tabella, inclusi quelli chiusi, fai clic su Mostra incidenti chiusi.

2. (Facoltativo) Per visualizzare i dettagli di un incidente specifico, seleziona l'incidente dall'elenco. Si apre la pagina Dettagli incidente. Per informazioni su questa pagina, consulta la sezione Esaminare gli incidenti di questa pagina.

Trovare incidenti meno recenti

Il riquadro Incidenti nella pagina Avvisi mostra gli incidenti aperti più recenti. Per individuare gli incidenti meno recenti, esegui una delle seguenti operazioni:

• Per scorrere le voci nella tabella Incidenti, fai clic su arrow_back_ios Più recenti o arrow_forward_ios Meno recenti.

• Per accedere alla pagina Incidenti, fai clic su Visualizza tutti gli incidenti. Nella pagina Incidenti puoi effettuare tutte le seguenti operazioni:

  • Mostra incidenti chiusi: per elencare tutti gli incidenti nella tabella, fai clic su Mostra incidenti chiusi.
  • Filtrare gli incidenti: per informazioni sull'aggiunta di filtri, consulta Filtrare gli incidenti.
  • Conferma o chiudi un incidente oppure posticipa il relativo criterio di avviso. Per accedere a queste opzioni, fai clic su more_vert Altre opzioni nella riga dell'incidente ed effettua una selezione dal menu. Per maggiori informazioni, consulta Gestire gli incidenti.

Filtra incidenti

Quando inserisci un valore nella barra dei filtri, solo gli incidenti che corrispondono al filtro vengono elencati nella tabella Incidenti. Se aggiungi più filtri, un incidente viene visualizzato solo se soddisfa tutti i filtri.

Per aggiungere un filtro alla tabella degli incidenti:

1. Nella pagina Incidenti, fai clic su filter_list Filtra tabella e seleziona una proprietà di filtro. Le proprietà di filtro includono:

   • Stato dell'incidente
   • Nome del criterio di avviso
   • Quando l'incidente è stato aperto o chiuso

2. Seleziona un valore dal menu secondario o inserisci un valore nella barra dei filtri.

Esamina gli incidenti

Dopo aver trovato l'incidente su cui vuoi indagare, vai alla pagina Dettagli incidente corrispondente. Per visualizzare i dettagli, seleziona il riepilogo degli incidenti nella tabella degli incidenti della pagina Avvisi o Incidenti.

In alternativa, se hai ricevuto una notifica che include un link all'incidente, puoi utilizzare questo link per visualizzare i dettagli dell'incidente.

La pagina Dettagli incidente fornisce le seguenti informazioni:

• Informazioni sullo stato, tra cui:

  • Nome: il nome del criterio di avviso che ha causato questo incidente.
  • Stato: lo stato dell'incidente: aperto, confermato o chiuso.
  • Gravità: la gravità dell'incidente.
    • Nessuna gravità
    • Critico
    • Errore
    • Avviso
  • Durata: il periodo di tempo durante il quale l'incidente è stato aperto.

• Un riquadro Log in cui vengono visualizzate le voci di log corrispondenti alla query di avviso. Il riquadro consente di filtrare queste voci come parte dell'indagine.

  Per aggiornare l'elenco delle voci di log, fai clic su refresh Aggiorna. Per visualizzare i log in Esplora log, fai clic su open_in_new Visualizza in Esplora log.

• Informazioni sul criterio di avviso che ha causato l'incidente:

  • Riquadro Condizione: identifica la condizione nel criterio di avviso che ha causato l'incidente. Per i criteri di avviso basati su log che vengono creati mediante Esplora log, il nome della condizione è sempre "Condizione di corrispondenza dei log".

    Questo riquadro indica anche il tempo trascorso tra le notifiche e la durata della chiusura automatica del criterio di avviso.

  • Riquadro Messaggio: fornisce una breve spiegazione della causa in base alla configurazione della condizione nel criterio di avviso. Questo riquadro viene sempre compilato.

  • Riquadro Documentazione: mostra il modello di documentazione per le notifiche che hai fornito durante la creazione del criterio di avviso. Queste informazioni potrebbero includere una descrizione di ciò che viene monitorato dal criterio di avviso e includere suggerimenti per la mitigazione.

    Se hai ignorato questo campo durante la creazione del criterio di avviso, nel riquadro viene visualizzato il messaggio "Nessuna documentazione configurata".

• Etichette: riporta quanto segue.
  • Le etichette e i valori per la risorsa monitorata inclusi nella voce di log che ha causato l'incidente. Queste informazioni possono aiutarti a identificare la risorsa specifica monitorata che ha causato l'incidente. Queste etichette sono riportate anche nella stringa Message.
  • Qualsiasi etichetta e valore specificato dall'utente che hai definito nel criterio di avviso. Puoi utilizzare queste etichette per organizzare e identificare i criteri di avviso. Le etichette associate a un criterio sono elencate nella sezione Etichette dei criteri, mentre le etichette definite come parte di una condizione sono elencate nella sezione Etichette delle metriche. Le etichette dei metadati vengono visualizzate solo quando è presente un filtro o un raggruppamento che dipende dall'etichetta. Per maggiori informazioni, consulta Annotare gli avvisi con le etichette.

La pagina Dettagli incidenti fornisce inoltre strumenti per analizzare l'incidente:

• Link ad altri strumenti per la risoluzione dei problemi. La configurazione del progetto, il criterio di avviso e l'età dell'incidente determinano quali link sono disponibili.
  • Per visualizzare la pagina dei dettagli del criterio di avviso, fai clic su Visualizza criterio.
  • Per modificare la definizione del criterio di avviso, fai clic su Modifica criterio.
  • Per visualizzare le voci di log correlate in Esplora log, fai clic su Visualizza log. Per maggiori informazioni, consulta Visualizzare i log utilizzando Esplora log.
• Annotazioni: fornisce un log di risultati, risultati, suggerimenti o altri commenti dell'indagine sull'incidente.
  • Per aggiungere un'annotazione, inserisci il testo nel campo e fai clic su Aggiungi commento.
  • Per ignorare il commento, fai clic su Annulla.

Gestisci incidenti

Gli incidenti si verificano in uno dei seguenti stati:

• error Aperto: la condizione del criterio di avviso basato su log è stata soddisfatta e l'incidente è ancora aperto. Se la stessa condizione viene soddisfatta di nuovo e un incidente è già aperto, non viene aperto un nuovo incidente.

• warning Confermato: l'incidente è aperto ed è stato contrassegnato manualmente come confermato. In genere, questo stato indica che l'incidente è in fase di indagine.

• check_circle Chiuso: hai chiuso manualmente l'incidente oppure è stato chiuso automaticamente dopo la scadenza del periodo di chiusura automatica.

Conferma degli incidenti

Ti consigliamo di contrassegnare un incidente come confermato quando inizi a esaminarne la causa.

Per contrassegnare un incidente come confermato:

• Nel riquadro Incidenti della pagina Avvisi, fai clic su Visualizza tutti gli incidenti.

• Nella pagina Incidenti, trova l'incidente che vuoi confermare ed esegui una delle seguenti operazioni:

  • Fai clic su more_vert Altre opzioni, quindi seleziona Accetta.
  • Apri la pagina dei dettagli dell'incidente e fai clic su Accetta l'incidente.

Posticipare un criterio di avviso

Per impedire a Monitoring di creare incidenti e inviare notifiche durante un periodo di tempo specifico, posticipa il relativo criterio di avviso. Quando posticipi un criterio di avviso, gli incidenti relativi a quel criterio rimangono aperti, ma non generano ulteriori notifiche. Gli incidenti si chiudono in base alla durata della chiusura automatica del criterio di avviso.

Per creare una posticipazione per un incidente che stai visualizzando:

1. Nella pagina Dettagli incidente, fai clic su Posticipa.

2. Seleziona la durata della posticipazione. Una volta selezionata la durata, la posticipazione inizia immediatamente.

Quando visualizzi la pagina dei dettagli di un incidente, puoi creare una posticipazione per il criterio di avviso correlato facendo clic su Posticipa e scegliendo una durata. La posticipazione inizia immediatamente. Puoi anche posticipare un criterio di avviso dalla pagina Incidenti cercando l'incidente da posticipare, facendo clic su more_vert Altre opzioni e selezionando Posticipa. Puoi posticipare i criteri di avviso durante le interruzioni per impedire ulteriori notifiche durante la procedura di risoluzione dei problemi.

Chiudi incidenti

Puoi consentire a Monitoring di chiudere un incidente per te oppure puoi chiuderlo.

Monitoring chiude automaticamente un incidente alla scadenza della durata di chiusura automatica del criterio di avviso. Per impostazione predefinita, la chiusura automatica è di 7 giorni. La durata minima della chiusura automatica è di 30 minuti.

Per chiudere un incidente:

1. Nel riquadro Incidenti della pagina Avvisi, fai clic su Visualizza tutti gli incidenti.

2. Nella pagina Incidenti, trova l'incidente che vuoi chiudere ed esegui una delle seguenti operazioni:

   • Fai clic su more_vert Visualizza altro e seleziona Chiudi incidente.
   • Apri la pagina dei dettagli dell'incidente e fai clic su Chiudi incidente.

Se viene visualizzato il messaggio Unable to close incident, riprova tra qualche minuto. Non puoi chiudere immediatamente un nuovo incidente perché le condizioni che lo hanno causato sono ancora considerate attive dal sistema di avviso.

Conservazione dei dati e limiti

Per informazioni sui limiti e sul periodo di conservazione degli incidenti, consulta Limiti per gli avvisi.

Passaggi successivi

• Per creare e gestire i criteri di avviso con l'API Cloud Monitoring o dalla riga di comando, vedi Gestire i criteri di avviso per API.