Incidents liés aux alertes basées sur les journaux

Un incident est un enregistrement du déclencheur d'une règle d'alerte. Cloud Monitoring ouvre un incident lorsqu'une condition d'une règle d'alerte est remplie. L'incident contient des informations que vous pouvez utiliser pour rechercher la cause de l'alerte.

Lorsqu'une entrée de journal correspondante déclenche pour la première fois votre règle d'alerte basée sur les journaux, Monitoring ouvre un incident et vous envoie une notification.

Ce document explique comment afficher, examiner et gérer les incidents des règles d'alertes basées sur les journaux.

Rechercher des incidents

Pour afficher la liste des incidents, procédez comme suit :

  1. Dans la barre d'outils Cloud Console, cliquez sur  Menu de navigation, puis sélectionnez Surveillance :

    Accéder à Monitoring

  2. Dans le volet de navigation Monitoring, sélectionnez  Alertes :

    • Le volet Résumé présente le nombre d'incidents ouverts.
    • Le volet Incidents affiche les incidents les plus récents. Pour masquer les incidents fermés dans le tableau, cliquez sur Masquer les incidents fermés.

Rechercher des incidents plus anciens

Le volet Incidents de la page Alertes affiche les derniers incidents ouverts. Pour localiser les incidents plus anciens, effectuez l'une des opérations suivantes:

  • Pour parcourir les entrées du tableau Incidents, cliquez sur Plus récents ou sur Plus anciens.

  • Pour accéder à la page Incidents, cliquez sur Afficher tous les incidents. Sur la page Incidents, vous pouvez effectuer toutes les opérations suivantes:

    • Masquer les incidents fermés : pour ne lister que les incidents ouverts du tableau, cliquez sur Masquer les incidents fermés.
    • Filtrer les incidents : pour en savoir plus sur l'ajout de filtres, consultez la section Filtrer les incidents.
    • Confirmer ou fermer un incident : pour accéder à ces options, cliquez sur  Autres options sur la ligne de l'incident et effectuez une sélection dans le menu. Pour en savoir plus, consultez la section Gérer les incidents.

Filtrer les incidents

Lorsque vous saisissez une valeur dans la barre de filtre, seuls les incidents correspondant au filtre sont présentés dans le tableau Incidents. Si vous ajoutez plusieurs filtres, un incident ne s'affiche que s'il répond à tous les filtres.

Pour ajouter un filtre au tableau des incidents, procédez comme suit :

  1. Sur la page Incidents, cliquez sur  Filtrer le tableau, puis sélectionnez une propriété de filtre. Les propriétés de filtrage incluent tous les éléments suivants:

    • État de l'incident
    • Nom de la règle d'alerte
    • Date d'ouverture ou de fermeture de l'incident
  2. Sélectionnez une valeur dans le menu secondaire ou saisissez une valeur dans la barre de filtre.

Examiner les incidents

Pour afficher les détails d'un incident, vous devez au moins disposer du rôle Identity and Access Management roles/monitoring.viewer. Pour en savoir plus, consultez la section Impossible d'afficher les détails de l'incident en raison d'une erreur d'autorisation.

Une fois que vous avez trouvé l'incident que vous souhaitez examiner, accédez à la page Détails de l'incident le concernant. Pour afficher les détails, cliquez sur le résumé des incidents dans le tableau des incidents sur la page Alertes ou sur la page Incidents.

Si vous avez reçu une notification contenant un lien vers l'incident, vous pouvez également utiliser ce lien pour afficher les détails de l'incident.

La capture d'écran suivante montre la page de détails d'un incident:

Cette page fournit des informations récapitulatives et des outils d'investigation pour un incident.

La page Détails de l'incident fournit les informations suivantes:

  • Les informations d'état, y compris:

    • Name (Nom) : nom de la règle d'alerte à l'origine de cet incident.
    • État: état de l'incident: ouvert, confirmé ou fermé.
    • Durée: durée pendant laquelle l'incident a été ouvert.
  • Un volet Logs, qui affiche les entrées de journal correspondant à la requête d'alerte. Le volet vous permet de filtrer ces entrées dans le cadre de votre enquête.

    Pour actualiser la liste des entrées de journal, cliquez sur  Actualiser. Pour afficher les journaux dans l'explorateur de journaux, cliquez sur  Afficher dans l'explorateur de journaux.

  • Informations sur la règle d'alerte à l'origine de l'incident:

    • Le volet Condition identifie la condition ayant entraîné l'incident dans la règle d'alerte. Pour les règles d'alertes basées sur les journaux créées à l'aide de l'explorateur de journaux, le nom de la condition est toujours "Condition de correspondance du journal".

      Ce volet indique également le délai entre les notifications et la durée de fermeture automatique de la règle d'alerte.

    • Le volet Message: fournit une brève explication de la cause basée sur la configuration de la condition dans la règle d'alerte. Ce volet est toujours renseigné.

    • Le volet Documentation indique le modèle de documentation des notifications que vous avez fournies lors de la création de la règle d'alerte. Ces informations peuvent inclure une description de la surveillance de la règle d'alerte et des conseils pour l'atténuer.

      Si vous avez ignoré ce champ lors de la création de la règle d'alerte, ce volet indique "Aucune documentation configurée".

  • Libellés: permet de générer les rapports suivants :
    • Libellés et valeurs de la ressource surveillée incluse dans l'entrée de journal qui a déclenché la règle d'alerte. Ces informations peuvent vous aider à identifier la ressource surveillée spécifique qui a causé l'incident. Ces libellés sont également signalés dans la chaîne Message.
    • Toutes les valeurs et les libellés spécifiés par l'utilisateur que vous avez définis sur la règle d'alerte. Vous pouvez utiliser ces libellés pour organiser et identifier les règles d'alerte.

La page Détails de l'incident fournit également des outils permettant d'examiner l'incident:

  • Liens vers d'autres outils de dépannage La configuration de votre projet, votre règle d'alerte et l'âge de l'incident déterminent les liens disponibles.
    • Pour afficher la page de détails de la règle d'alerte, cliquez sur Afficher la règle.
    • Pour modifier la définition de la règle d'alerte, cliquez sur Modifier la règle.
    • Pour consulter les entrées de journaux associées dans l'explorateur de journaux, cliquez sur Afficher les journaux. Pour en savoir plus, consultez la page Utiliser l'explorateur de journaux.
  • Annotations : fournit un journal des résultats, suggestions ou autres commentaires issus de votre enquête sur l'incident.
    • Pour ajouter une annotation, saisissez du texte dans le champ, puis cliquez sur Ajouter un commentaire.
    • Pour supprimer le commentaire, cliquez sur Annuler.

Vous pouvez également confirmer ou ignorer les incidents à partir de la page Détails de l'incident. Pour en savoir plus, consultez la section Gérer les incidents.

Gérer les incidents

Les incidents se trouvent dans l'un des états suivants :

  • Ouvert : la règle d'alerte basée sur les journaux a été déclenchée et l'incident est toujours ouvert. Si la même alerte est à nouveau déclenchée et qu'un incident est déjà ouvert, aucun nouvel incident n'est ouvert.

  •  Confirmé : L'incident est ouvert et a été marqué comme confirmé manuellement. En général, cet état indique que l'incident est en cours d'examen.

  • Fermé : vous avez fermé manuellement l'incident, ou il a été automatiquement clôturé à la fin de la période de fermeture automatique.

Pour gérer les incidents, votre rôle doit inclure l'autorisation monitoring.alertPolicy.create ou monitoring.alertPolicy.update. Ces autorisations sont incluses dans le rôle Éditeur Monitoring, roles/monitoring.editor. Pour en savoir plus sur les rôles et les autorisations, consultez la page intitulée Contrôle des accès : rôles prédéfinis.

Confirmer des incidents

Lorsque vous commencez à enquêter sur la cause d'un incident, nous vous recommandons de le marquer comme confirmé.

Pour marquer un incident comme confirmé, procédez comme suit :

  • Dans le volet Incidents du tableau de bord Alertes, cliquez sur Voir tous les incidents.
  • Sur la page Incidents, recherchez l'incident que vous souhaitez confirmer, puis effectuez l'une des opérations suivantes :

    • Cliquez sur  Autres options, puis sélectionnez Confirmer.
    • Ouvrez la page de détails de l'incident, puis cliquez sur Confirmer l'incident.

Fermer des incidents

Vous pouvez laisser Monitoring fermer un incident à votre place ou vous pouvez le fermer.

Monitoring ferme automatiquement un incident à l'expiration de la durée de fermeture automatique de la règle d'alerte. Par défaut, la durée de la fermeture automatique est de sept jours. La durée minimale de la fermeture automatique est de 30 minutes.

Pour fermer un incident, procédez comme suit :

  1. Dans le volet Incidents du tableau de bord Alertes, cliquez sur Voir tous les incidents.
  2. Sur la page Incidents, recherchez l'incident que vous souhaitez fermer, puis effectuez l'une des opérations suivantes :

    • Cliquez sur  Plus d'options, puis sélectionnez Fermer cet incident.
    • Ouvrez la page de détails de l'incident, puis cliquez sur Fermer l'incident.
Si le message Unable to close incident s'affiche, réessayez dans quelques minutes. Vous ne pouvez pas fermer un nouvel incident immédiatement, car l'entrée de journal du déclencheur est toujours considérée comme active par le système d'alerte.

Étape suivante