Incidenti per i criteri di avviso basati su log

Un incidente è un record del momento in cui sono soddisfatte le condizioni o le condizioni di un criterio di avviso. In genere, se le condizioni sono soddisfatte, Cloud Monitoring apre un incidente e invia una notifica alla ricezione di un log che corrisponde alla condizione del criterio di avviso basato su log. Tuttavia, gli incidenti non vengono creati nelle seguenti circostanze:

• Il criterio è posticipato o disattivato.
• La frequenza massima di notifiche supererebbe il limite di 1 notifica ogni 5 minuti per ogni avviso basato su log.
• Il totale giornaliero delle notifiche supererebbe il limite di 20 notifiche al giorno per ogni avviso basato su log.

Questo documento descrive come visualizzare, esaminare e gestire gli incidenti per i criteri di avviso basati su log.

Prima di iniziare

Assicurati di disporre delle autorizzazioni necessarie:

• Per ottenere le autorizzazioni necessarie per visualizzare gli incidenti utilizzando la console Google Cloud, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

  • Monitoring Cloud Console Incident Viewer (roles/monitoring.cloudConsoleIncidentViewer)
  • Visualizzatore account Stackdriver (roles/stackdriver.accounts.viewer)

  Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

  Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

• Per ottenere le autorizzazioni necessarie per gestire gli incidenti utilizzando la console Google Cloud, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

  • Editor incidenti console Cloud Monitoring (roles/monitoring.cloudConsoleIncidentEditor)
  • Visualizzatore account Stackdriver (roles/stackdriver.accounts.viewer)

  Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

  Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni sui ruoli di Cloud Monitoring, consulta Controllare l'accesso con Identity and Access Management.

Trova incidenti

Per visualizzare un elenco degli incidenti:

1. Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi notifications Avvisi:

   Vai ad Avvisi

   • Il riquadro Riepilogo elenca il numero di incidenti aperti.
   • Il riquadro Incidenti mostra gli incidenti aperti più recenti. Per elencare gli incidenti più recenti nella tabella, inclusi quelli chiusi, fai clic su Mostra incidenti chiusi.

2. (Facoltativo) Per visualizzare i dettagli di un incidente specifico, seleziona l'incidente nell'elenco. Si apre la pagina Dettagli incidente. Per informazioni su questa pagina, consulta la sezione Indagare sugli incidenti di questa pagina.

Trova incidenti meno recenti

Il riquadro Incidenti nella pagina Avvisi mostra gli incidenti aperti più recenti. Per individuare gli incidenti meno recenti, esegui una delle seguenti operazioni:

• Per scorrere le voci nella tabella Incidenti, fai clic su arrow_back_ios Più recenti o arrow_forward_ios Meno recenti.

• Per accedere alla pagina Incidenti, fai clic su Visualizza tutti gli incidenti. Dalla pagina Incidenti, puoi fare quanto segue:

  • Mostra incidenti chiusi: per elencare tutti gli incidenti nella tabella, fai clic su Mostra incidenti chiusi.
  • Filtra incidenti: per informazioni sull'aggiunta di filtri, consulta Filtrare gli incidenti.
  • Conferma o chiudi un incidente oppure posticipa il relativo criterio di avviso. Per accedere a queste opzioni, fai clic su more_vert Altre opzioni nella riga dell'incidente e seleziona una voce dal menu. Per maggiori informazioni, consulta Gestire gli incidenti.

Filtra incidenti

Quando inserisci un valore nella barra dei filtri, nella tabella Incidenti vengono elencati solo gli incidenti corrispondenti al filtro. Se aggiungi più filtri, un incidente viene visualizzato solo se soddisfa tutti i filtri.

Per aggiungere un filtro alla tabella degli incidenti:

1. Nella pagina Incidenti, fai clic su filter_list Filtra tabella e seleziona una proprietà di filtro. Le proprietà di filtro includono quanto segue:

   • Stato dell'incidente
   • Nome del criterio di avviso
   • Quando l'incidente è stato aperto o chiuso.

2. Seleziona un valore dal menu secondario o inserisci un valore nella barra dei filtri.

Indagare gli incidenti

Dopo aver individuato l'incidente da esaminare, vai alla relativa pagina Dettagli incidente. Per visualizzare i dettagli, seleziona il riepilogo degli incidenti nella tabella degli incidenti nella pagina Avvisi o nella pagina Incidenti.

In alternativa, se hai ricevuto una notifica che include un link all'incidente, puoi utilizzare quel link per visualizzare i dettagli dell'incidente.

La pagina Dettagli incidente fornisce le seguenti informazioni:

• Informazioni sullo stato, tra cui:

  • Nome: il nome del criterio di avviso che ha causato l'incidente.
  • Stato: lo stato dell'incidente: aperto, confermato o chiuso.
  • Gravità: la gravità dell'incidente.
    • Nessuna gravità
    • Critico
    • Errore
    • Avviso
  • Durata: il periodo di tempo in cui l'incidente è stato aperto.

• Un riquadro Log in cui vengono visualizzate le voci di log corrispondenti alla query di avviso. Il riquadro consente di filtrare queste voci nell'ambito dell'indagine.

  Per aggiornare l'elenco delle voci di log, fai clic su refresh Aggiorna. Per visualizzare i log in Esplora log, fai clic su open_in_new Visualizza in Esplora log.

• Informazioni sul criterio di avviso che ha causato l'incidente:

  • Riquadro Condizione: identifica la condizione nel criterio di avviso che ha causato l'incidente. Per i criteri di avviso basati su log creati utilizzando Esplora log, il nome della condizione è sempre "Condizione di corrispondenza dei log".

    Questo riquadro riporta anche l'intervallo di tempo tra le notifiche e la durata della chiusura automatica dal criterio di avviso.

  • Riquadro Messaggio: fornisce una breve spiegazione della causa in base alla configurazione della condizione nel criterio di avviso. Questo riquadro viene sempre compilato.

  • Riquadro Documentazione: mostra il modello di documentazione per le notifiche che hai fornito durante la creazione del criterio di avviso. Queste informazioni potrebbero includere una descrizione di ciò che viene monitorato dal criterio di avviso e includere suggerimenti per la mitigazione.

    Se hai saltato questo campo durante la creazione del criterio di avviso, questo riquadro indicherà "Nessuna documentazione configurata".

• Etichette: segnala quanto segue:
  • Le etichette e i valori per la risorsa monitorata inclusi nella voce di log che ha causato l'incidente. Queste informazioni possono aiutarti a identificare la specifica risorsa monitorata che ha causato l'incidente. Queste etichette sono riportate anche nella stringa Message.
  • Qualsiasi etichetta e valore specificato dall'utente che hai definito nel criterio di avviso. Puoi utilizzare queste etichette per organizzare e identificare i criteri di avviso. Le etichette associate a un criterio sono elencate nella sezione Etichette dei criteri, mentre le etichette definite come parte di una condizione sono elencate nella sezione Etichette delle metriche. Le etichette dei metadati vengono visualizzate solo quando esiste un filtro o un raggruppamento che dipende dall'etichetta. Per maggiori informazioni, consulta Aggiungere annotazioni agli avvisi con etichette.

La pagina Dettagli incidente fornisce anche gli strumenti per indagare sull'incidente:

• Link ad altri strumenti per la risoluzione dei problemi. La configurazione del progetto e del criterio di avviso e l'età dell'incidente determinano i collegamenti disponibili.
  • Per visualizzare la pagina dei dettagli del criterio di avviso, fai clic su Visualizza criterio.
  • Per modificare la definizione del criterio di avviso, fai clic su Modifica criterio.
  • Per visualizzare le voci di log correlate in Esplora log, fai clic su Visualizza log. Per maggiori informazioni, consulta Visualizzare i log utilizzando Esplora log.
• Annotazioni: fornisce un log dei risultati, dei risultati, dei suggerimenti o di altri commenti della tua indagine sull'incidente.
  • Per aggiungere un'annotazione, inserisci il testo nel campo e fai clic su Aggiungi commento.
  • Per ignorare il commento, fai clic su Annulla.

Gestisci incidenti

Gli incidenti hanno uno dei seguenti stati:

• error Aperto: La condizione del criterio di avviso basato su log è stata soddisfatta e l'incidente è ancora aperto. Se la stessa condizione si verifica di nuovo e un incidente è già aperto, non viene aperto un nuovo incidente.

• warning Confermato: l'incidente è aperto ed è stato contrassegnato manualmente come confermato. In genere, questo stato indica che l'incidente è in fase di indagine.

• check_circle Chiuso: hai chiuso manualmente l'incidente o è stato chiuso automaticamente dopo la scadenza del periodo di chiusura automatica.

Riconoscere gli incidenti

Ti consigliamo di contrassegnare un incidente come confermato quando inizi a ricercare la causa.

Per contrassegnare un incidente come confermato:

• Nel riquadro Incidenti della pagina Avvisi, fai clic su Visualizza tutti gli incidenti.

• Nella pagina Incidenti, trova l'incidente che vuoi confermare, quindi esegui una delle seguenti operazioni:

  • Fai clic su more_vert Altre opzioni, quindi seleziona Accetta.
  • Apri la pagina dei dettagli dell'incidente, quindi fai clic su Accetta incidente.

Posticipare un criterio di avviso

Per impedire a Monitoring di creare incidenti e inviare notifiche durante un periodo di tempo specifico, posticipa il criterio di avviso correlato. Quando posticipi un criterio di avviso, gli incidenti correlati rimangono aperti, ma non causano ulteriori notifiche. Gli incidenti vengono chiusi in base alla durata della chiusura automatica del criterio di avviso.

Per creare una posticipazione per un incidente che stai visualizzando:

1. Nella pagina Dettagli incidente, fai clic su Posticipa.

2. Seleziona la durata del posticipo. Dopo aver selezionato la durata della posticipazione, la posticipazione inizia immediatamente.

Quando visualizzi la pagina dei dettagli di un incidente, puoi creare un posticipo per il criterio di avviso correlato facendo clic su Posticipa e scegliendo una durata. La posticipazione inizia immediatamente. Puoi anche posticipare un criterio di avviso dalla pagina Incidenti individuando l'incidente che vuoi posticipare, facendo clic su more_vert Altre opzioni e selezionando Posticipa. Puoi posticipare i criteri di avviso durante le interruzioni per evitare ulteriori notifiche durante la procedura di risoluzione dei problemi.

Chiudi incidenti

Puoi consentire a Monitoring di chiudere un incidente per conto tuo.

Il monitoraggio chiude automaticamente un incidente quando scade la durata di chiusura automatica del criterio di avviso. Per impostazione predefinita, la durata della chiusura automatica è di 7 giorni. La durata minima della chiusura automatica è di 30 minuti.

Per chiudere un incidente:

1. Nel riquadro Incidenti della pagina Avvisi, fai clic su Visualizza tutti gli incidenti.

2. Nella pagina Incidenti, trova l'incidente che vuoi chiudere, quindi esegui una delle seguenti operazioni:

   • Fai clic su more_vert Visualizza altro e seleziona Chiudi incidente.
   • Apri la pagina dei dettagli dell'incidente e fai clic su Chiudi incidente.

Se viene visualizzato il messaggio Unable to close incident, riprova tra qualche minuto. Non puoi chiudere immediatamente un nuovo incidente perché le condizioni che lo hanno causato sono ancora considerate attive dal sistema di avviso.

Conservazione e limiti dei dati

Per informazioni sui limiti e sul periodo di conservazione degli incidenti, consulta Limiti per gli avvisi.

Passaggi successivi

• Per creare e gestire i criteri di avviso con l'API Cloud Monitoring o dalla riga di comando, consulta Gestire i criteri di avviso tramite API.