Incidentes para las alertas basadas en registros

Un incidente es un registro de la activación de una política de alertas. Cloud Monitoring abre un incidente cuando se cumple una condición de una política de alertas. El incidente contiene información que puedes usar para investigar la causa de la alerta.

Cuando una entrada de registro coincidente activa por primera vez tu política de alertas basada en registros, Monitoring abre un incidente y te envía una notificación.

En este documento, se describe cómo puedes ver, investigar y administrar incidentes para las políticas de alertas basadas en registros.

Encuentra incidentes

Para ver una lista de incidentes, haz lo siguiente:

  1. En la barra de herramientas de Cloud Console, haz clic en el  Menú de navegación y, luego, selecciona Monitoring:

    Ir a Monitoring

  2. En el panel de navegación de Monitoring, selecciona  Alertas.

    • En el panel Resumen, se muestra la cantidad de incidentes abiertos.
    • En el panel Incidentes, se muestran los incidentes más recientes. Para ocultar los incidentes cerrados en la tabla, haz clic en Ocultar incidentes cerrados.

Encuentra incidentes más antiguos

En el panel Incidentes en Alertas, se muestran los incidentes abiertos más recientes. Para ubicar los incidentes más antiguos, realiza una de las siguientes acciones:

  • Para desplazarte por las entradas de la tabla Incidentes, haz clic en  Más reciente o  Más antiguo.

  • Para navegar a la página Incidentes, haz clic en Ver todos los incidentes. En la página Incidentes, puedes hacer lo siguiente:

    • Ocultar incidentes cerrados: para enumerar solo los incidentes abiertos en la tabla, haz clic en Ocultar incidentes cerrados.
    • Filtrar incidentes: si deseas obtener información para agregar filtros, consulta Filtrar incidentes.
    • Confirma o cierra un incidente: para acceder a estas opciones, haz clic en  Más opciones en la fila del incidente y selecciona el menú. Para obtener más información, consulta Administra incidentes.

Filtra incidentes

Cuando ingresas un valor en la barra de filtros, solo los incidentes que coinciden con el filtro se enumeran en la tabla Incidentes. Si agregas varios filtros, solo se mostrará un incidente si cumple con todos los filtros.

Para agregar un filtro a la tabla de incidentes, haz lo siguiente:

  1. En la página Incidentes, haz clic en  Filtrar tabla y, luego, selecciona una propiedad de filtro. Las propiedades de filtro incluyen lo siguiente:

    • Estado del incidente
    • Nombre de la política de alertas
    • Cuando se abrió o cerró el incidente
  2. Selecciona un valor del menú secundario o ingresa un valor en la barra de filtros.

Investiga incidentes

Para ver los detalles de un incidente, debes tener, como mínimo, la función de administración de identidades y accesos de roles/monitoring.viewer. Para obtener más información, consulta No se pueden ver los detalles del incidente debido a un error de permiso.

Una vez que encuentres el incidente que deseas investigar, ve a la página Detalles del incidente correspondiente. Para ver los detalles, haz clic en el resumen del incidente en la tabla de incidentes en la página Alertas o Incidentes.

Como alternativa, si recibiste una notificación que incluye un vínculo al incidente, puedes usar ese vínculo para ver los detalles del incidente.

En la siguiente captura de pantalla, se muestra la página de detalles de un incidente:

En la página de detalles, se proporciona información resumida y herramientas de investigación para un incidente.

En la página Detalles del incidente, se proporciona la siguiente información:

  • Información de estado, incluida la siguiente:

    • Nombre: El nombre de la política de alertas que causó este incidente.
    • Estado: El estado del incidente: abierto, confirmado o cerrado.
    • Duración: Es el período durante el cual el incidente estuvo abierto.
  • Un panel Registros (Logs), que muestra entradas de registro que coinciden con la consulta de alerta. El panel te permite filtrar estas entradas como parte de tu investigación.

    Para actualizar la lista de entradas de registro, haz clic en  Actualizar. Para ver los registros en el Explorador de registros, haz clic en  Ver en el Explorador de registros.

  • Información sobre la política de alertas que causó el incidente:

    • Panel Condición: Identifica la condición en la política de alertas que causó el incidente. Para las políticas de alertas basadas en registros que se crean mediante el Explorador de registros, el nombre de la condición siempre es “Condición de coincidencia de registros”.

      En este panel, también se muestra el tiempo entre las notificaciones y la duración del cierre automático de la política de alertas.

    • Panel Message: proporciona una explicación breve de la causa según la configuración de la condición en la política de alertas. Este panel siempre se propaga.

    • Panel Documentation: Muestra la plantilla de documentación para las notificaciones que proporcionaste cuando creaste la política de alertas. Esta información podría incluir una descripción de lo que supervisa la política de alertas y, además, incluir sugerencias para su mitigación.

      Si omitiste este campo cuando creaste la política de alertas, este panel mostrará el mensaje “No se configuró ninguna documentación”.

  • Labels (Etiquetas): Informa lo siguiente:
    • Las etiquetas y los valores del recurso supervisado incluidos en la entrada de registro que activó la política de alertas Esta información puede ayudarte a identificar el recurso supervisado específico que causó el incidente. Estas etiquetas también se informan en la string de Mensaje.
    • Cualquier etiqueta y valor especificados por el usuario que hayas definido en la política de alertas Puedes usar estas etiquetas para organizar e identificar políticas de alertas.

En la página Detalles de incidentes, también se proporcionan herramientas para investigar el incidente:

  • Vínculos a otras herramientas de solución de problemas La configuración de tu proyecto y la política de alertas, y la antigüedad del incidente, determinan qué vínculos están disponibles.
    • Para ver la página de detalles de la política de alertas, haz clic en Ver política.
    • Para editar la definición de la política de alertas, haz clic en Editar política.
    • Para ver las entradas de registro relacionadas en el explorador de registros, haz clic en Ver registros. Para obtener más información, consulta Usa el Explorador de registros.
  • Anotaciones: Proporciona un registro de tus hallazgos, resultados, sugerencias y otros comentarios provenientes de tu investigación del incidente.
    • Para agregar una anotación, ingresa texto en el campo y haz clic en Agregar comentario.
    • Para descartar el comentario, haz clic en Cancelar.

También puedes confirmar o cerrar incidentes desde la página Detalles del incidente. Para obtener más información, consulta Administra incidentes.

Administra los incidentes

Los incidentes están en uno de los siguientes estados:

  •  Abierto: La política de alertas basadas en registros se activó y el incidente aún está abierto. Si la misma alerta se vuelve a activar y ya hay un incidente abierto, no se abre un incidente nuevo.

  • Confirmado: El incidente está abierto y se marcó de forma manual como confirmado. Por lo general, este estado indica que se investiga el incidente.

  • Cerrado: Cierra el incidente de forma manual o se cerró automáticamente después del vencimiento del período de cierre automático.

Para administrar los incidentes, la función debe incluir el permiso monitoring.alertPolicy.create o monitoring.alertPolicy.update. Estos permisos están incluidos en la función de editor de Monitoring, roles/monitoring.editor. Para obtener información detallada sobre las funciones y los permisos, consulta Control de acceso: funciones predefinidas.

Confirma incidentes

Te recomendamos que marques un incidente como confirmado cuando comiences a investigar la causa del incidente.

Para marcar un incidente como confirmado, haz lo siguiente:

  • En el panel Incidentes en Alertas, haz clic en Ver todos los incidentes.
  • En la página Incidentes, busca el incidente que deseas confirmar y, luego, realiza una de las siguientes acciones:

    • Haz clic en  Más opciones y, luego, selecciona Confirmar.
    • Abre la página de detalles del incidente y, luego, haz clic en Confirmar incidente.

Cierra incidentes

Puedes permitir que Monitoring cierre un incidente por ti o puedes cerrar el incidente.

Monitoring cierra un incidente de forma automática cuando vence la duración del cierre automático de la política de alertas. De forma predeterminada, la duración del cierre automático es de 7 días. La duración mínima del cierre automático es de 30 minutos.

Para cerrar un incidente, haz lo siguiente:

  1. En el panel Incidentes en Alertas, haz clic en Ver todos los incidentes.
  2. En la página Incidentes, busca el incidente que deseas cerrar y, luego, realiza una de las siguientes acciones:

    • Haz clic en  Más opciones y, luego, selecciona Cerrar este incidente.
    • Abre la página de detalles del incidente y, luego, haz clic en Cerrar incidente.
Si ves el mensaje Unable to close incident, vuelve a intentarlo en unos minutos. No puedes cerrar un incidente nuevo de inmediato porque el sistema de alertas aún considera activa la entrada de registro de activación.

¿Qué sigue?