Incidents pour les alertes basées sur les journaux

Un incident est un enregistrement du déclencheur d'une règle d'alerte. Cloud Monitoring ouvre un incident lorsqu'une condition d'une règle d'alerte est remplie.

Lorsque votre règle d'alerte basée sur les journaux est déclenchée pour la première fois par une entrée de journal correspondante, Monitoring ouvre un incident et vous envoie une notification.

Cette page explique comment afficher, examiner et gérer les incidents pour les règles d'alerte basées sur les journaux.

Rechercher des incidents

Pour afficher la liste des incidents, procédez comme suit:

  1. Dans la barre d'outils Cloud Console, cliquez sur  Menu de navigation, puis sélectionnez Surveillance :

    Accéder à Monitoring

  2. Dans le volet de navigation Monitoring, sélectionnez  Alertes:

    • Le volet Résumé répertorie le nombre d'incidents ouverts.
    • Le volet Incidents affiche les incidents les plus récents. Pour masquer les incidents fermés dans le tableau, cliquez sur Masquer les incidents fermés.

Rechercher des incidents plus anciens

Le volet Incidents de la page Alertes affiche les incidents ouverts les plus récents. Pour localiser les incidents plus anciens, effectuez l'une des opérations suivantes:

  • Pour parcourir les entrées de la table Incidents, cliquez sur  Plus récent ou  Plus anciens.

  • Pour accéder à la page Incidents, cliquez sur Voir tous les incidents. Sur la page Incidents, vous pouvez effectuer les opérations suivantes:

    • Masquer les incidents fermés: Pour ne répertorier que les incidents ouverts dans le tableau, cliquez sur Masquer les incidents fermés.
    • Filtrer les incidents: pour en savoir plus sur l'ajout de filtres, consultez la section Filtrer les incidents.
    • Confirmez ou fermez un incident : Pour accéder à ces options, cliquez sur  Plus d'options sur la ligne de l'incident, puis sélectionnez-en une dans le menu. Pour plus d'informations, consultez la section Gérer les incidents.

Filtrer les incidents

Lorsque vous saisissez une valeur dans la barre de filtre, seuls les incidents correspondant au filtre sont répertoriés dans le tableau Incidents. Si vous ajoutez plusieurs filtres, un incident ne s'affiche que s'il répond à tous les filtres.

Pour ajouter un filtre à la table des incidents, procédez comme suit:

  1. Sur la page Incidents, cliquez sur  Filtrer la table, puis sélectionnez une propriété de filtre. Les propriétés de filtrage incluent tous les éléments suivants:

    • État de l'incident
    • Nom de la règle d'alerte
    • Date d'ouverture ou de fermeture de l'incident
  2. Sélectionnez une valeur dans le menu secondaire ou saisissez une valeur dans la barre de filtre.

Examiner les incidents

Pour afficher les détails d'un incident, vous devez au minimum disposer du rôle Identity and Access Management roles/monitoring.viewer. Pour en savoir plus, consultez la section Impossible d'afficher les détails d'incident à cause d'une erreur d'autorisation.

Une fois que vous avez trouvé l'incident que vous souhaitez examiner, accédez à la page Détails de l'incident correspondant. Pour afficher les détails, cliquez sur le résumé des incidents dans le tableau des incidents sur la page Alertes ou Incidents.

Si vous avez reçu une notification incluant un lien vers l'incident, cliquez sur ce lien pour afficher les détails de l'incident.

La capture d'écran suivante montre la page de détails d'un incident:

Cette page fournit des informations récapitulatives et des outils d'investigation pour un incident.

La page Détails de l'incident fournit les informations suivantes:

  • Les informations d'état, y compris:

    • Nom: nom de la règle d'alerte à l'origine de cet incident.
    • État: état de l'incident: ouvert, confirmé ou fermé.
    • Duration: durée de l'ouverture de l'incident.
  • Informations sur la règle d'alerte à l'origine de l'incident:

    • Condition: condition de la règle d'alerte à l'origine de l'incident. Pour les règles d'alerte basées sur les journaux créées à l'aide de l'explorateur de journaux, la condition est toujours "Condition de correspondance du journal".
    • Message: brève explication de la cause basée sur la configuration de la condition dans la règle d'alerte. Ce volet est toujours renseigné. Pour les règles d'alerte basées sur les journaux, le message a toujours la structure "Correspondance de journal".query-filter l'alerte {} a été activée."
    • Documentation: documentation (facultative) des notifications fournies lors de la création de la règle d'alerte. Ces informations peuvent inclure une description de ce que la règle d'alerte surveille et des conseils pour l'atténuer. Si vous avez ignoré ce champ lors de la création de la règle d'alerte, le texte de ce volet est "Aucune documentation configurée".
    • Étiquettes: étiquettes et valeurs de la ressource surveillée, incluses dans l'entrée de journal qui a déclenché la règle d'alerte. Ces informations peuvent vous aider à identifier la ressource surveillée spécifique qui a provoqué l'incident.

    • Une zone d'information qui vous rappelle que l'incident provient d'une alerte basée sur les journaux. Cette case inclut toujours le texte "Cet incident a été généré directement à partir des messages de journalisation".

    La page Détails de l'incident fournit également des outils permettant d'examiner l'incident:

    • Liens vers d'autres outils de dépannage La configuration de votre projet, de votre règle d'alerte et de l'âge de l'incident détermine les liens disponibles.
      • Pour modifier la définition de la règle d'alerte, cliquez sur Modifier la règle.
      • Pour afficher les entrées de journal associées dans l'explorateur de journaux, cliquez sur Afficher les journaux. Pour en savoir plus, consultez la page Utiliser l'explorateur de journaux.
    • Annotations: fournit un journal de vos résultats, résultats, suggestions ou autres commentaires de l'enquête concernant l'incident.
      • Pour ajouter une annotation, saisissez du texte dans le champ correspondant, puis cliquez sur Ajouter un commentaire.
      • Pour supprimer le commentaire, cliquez sur Annuler.

    Vous pouvez également accepter ou fermer des incidents à partir de la page Détails de l'incident. Pour plus d'informations, consultez la section Gérer les incidents.

    Gérer les incidents

    Les incidents sont associés à l'un des états suivants:

    • Ouverte : la règle d'alerte basée sur les journaux a été déclenchée, et l'incident est toujours ouvert. Si la même alerte est de nouveau déclenchée et qu'un incident est déjà ouvert, un nouvel incident n'est pas ouvert.

    •  Confirmé : L'incident est ouvert et a été marqué comme confirmé manuellement. En général, cet état indique que l'incident est en cours d'examen.

    • Fermé : Vous avez fermé manuellement l'incident, ou celui-ci a été fermé automatiquement après sept jours.

    Pour gérer les incidents, votre rôle doit inclure l'autorisation monitoring.alertPolicy.create ou monitoring.alertPolicy.update. Ces autorisations sont incluses dans le rôle Éditeur de surveillance, roles/monitoring.editor. Pour obtenir des informations détaillées sur les rôles et les autorisations, consultez la section Rôles prédéfinis.

    Confirmer des incidents

    Nous vous recommandons de marquer un incident comme confirmé lorsque vous commencez à examiner les causes de l'incident.

    Pour marquer un incident comme confirmé, procédez comme suit :

    • Dans le volet Incidents du tableau de bord Alertes, cliquez sur Voir tous les incidents.
    • Sur la page Incidents, recherchez l'incident que vous souhaitez accepter, puis effectuez l'une des opérations suivantes:

      • Cliquez sur  Autres options, puis sélectionnez Acknowledge.
      • Ouvrez la page de détails de l'incident, puis cliquez sur Acknowledge incident (Confirmer l'incident).

Fermer des incidents

Pour fermer un incident, procédez comme suit:

  1. Dans le volet Incidents du tableau de bord Alertes, cliquez sur Voir tous les incidents.
  2. Sur la page Incidents, recherchez l'incident que vous souhaitez fermer, puis effectuez l'une des opérations suivantes:

    • Cliquez sur  Autres options, puis sélectionnez Fermer cet incident.
    • Ouvrez la page de détails de l'incident, puis cliquez sur Fermer l'incident.
Si le message Unable to close incident s'affiche, réessayez dans quelques minutes. Vous devez attendre trois minutes avant de pouvoir fermer un nouvel incident. Vous ne pouvez pas fermer un nouvel incident immédiatement.