ログベースのアラートのインシデント

インシデントは、アラート ポリシーのトリガーの記録です。Cloud Monitoring は、アラート ポリシーの条件が満たされたときにインシデントを開きます。

一致するログエントリによってログベースのアラート ポリシーが初めてトリガーされると、Monitoring によってインシデントが開かれ、通知が送信されます。

このページでは、ログベースのアラート ポリシーのインシデントを表示、調査、管理する方法について説明します。

インシデントの検出

インシデントを一覧表示するには、次のようにします。

  1. Cloud Console のツールバーで、[ナビゲーション メニュー] をクリックし、[モニタリング] を選択します。

    [Monitoring] に移動

  2. [Monitoring] のナビゲーション ペインで、 [アラート] を選択します。

    • [Summary] ペインには、対応待ちのインシデントの数が一覧表示されます。
    • [Incidents] ペインには、最新のインシデントが表示されます。表で終了したインシデントを非表示にするには、[HIDE CLOSED INCIDENTS] をクリックします。

古いインシデントの検出

[アラート] ページの [インシデント] ペインに、最新の対応待ちのインシデントが表示されます。古いインシデントを見つけるには、次のいずれかを行います。

  • [Incidents] テーブルで、 [Newer] または [Older] をクリックすることでページを切替えてエントリを確認する。

  • [See all incidents] をクリックして [インシデント] ページに移動する。[インシデント] ページでは、次の操作を行えます。

    • 終了したインシデントを非表示にする: テーブルに対応待ちのインシデントのみを表示するには、[HIDE CLOSED INCIDENTS] をクリックします。
    • インシデントをフィルタする: フィルタの追加については、インシデントのフィルタリングをご覧ください。
    • インシデントを確認またはクローズする: これらのオプションにアクセスするには、インシデントの行で [その他のオプション] をクリックし、メニューから選択します。詳細については、インシデントの管理をご覧ください。

インシデントのフィルタリング

フィルタバーに値を入力すると、フィルタに一致するインシデントのみが [Incidents] テーブルに表示されます。複数のフィルタを追加すると、すべてのフィルタを満たすインシデントのみが表示されます。

Incidents テーブルのフィルタを追加するには、次のようにします。

  1. [インシデント] ページで [表をフィルタリング] をクリックし、つづいてフィルタ プロパティを選択します。フィルタ プロパティには、次のものがあります。

    • インシデントの状態
    • アラート ポリシーの名前
    • インシデントの開始日、終了日
  2. サブメニューの値を選択するか、フィルタバーに値を入力します。

インシデントの調査

インシデントの詳細を表示するには、少なくとも roles/monitoring.viewer の Identity and Access Management ロールが必要です。詳細については、権限エラーのため、インシデントの詳細を表示できないをご覧ください。

調査するインシデントが見つかったら、そのインシデントの[インシデントの詳細]ページに移動します。詳細を表示するには、[アラート] ページまたは [インシデント] ページのインシデントの表でインシデントの概要をクリックします。

インシデントへのリンクが含まれた通知を受信した場合は、そのリンクをクリックしてインシデントの詳細を表示します。

次のスクリーンショットは、インシデントの詳細ページを示しています。

詳細ページには、インシデントの概要情報と調査ツールが表示されます。

[インシデントの詳細] ページには、次の情報が表示されます。

  • 次のようなステータス情報:

    • 名前: このインシデントを引き起こしたアラート ポリシーの名前。
    • ステータス: インシデントのステータス(対応待ち、確認済み、終了)。
    • 期間: インシデントが開かれていた期間。
  • インシデントを引き起こしたアラート ポリシーに関する情報。

    • 条件: インシデントを引き起こしたアラート ポリシーの条件。 ログ エクスプローラを使用してログベースのアラート ポリシーを作成する場合、条件は常に「Log match condition」です。
    • メッセージ: アラート ポリシーの条件構成に基づいた原因の簡単な説明。このペインには常に値が入力されます。 ログベースのアラート ポリシーの場合、メッセージは常に「Log matching query-filter with labels {} alert started」という構造になっています。
    • ドキュメント: アラート ポリシーの作成時に記述する通知のドキュメント(オプション)。この情報には、アラート ポリシーがモニタリングする内容の説明と、対策のヒントを含めることができます。アラート ポリシーを作成するときにこのフィールドを省略した場合、このペインのテキストは「No documentation is configured」になります。
    • ラベル: アラート ポリシーをトリガーしたログエントリに含まれる、モニタリング対象リソースのラベルと値。この情報は、インシデントの原因となった具体的なモニタリング対象リソースの特定に役立ちます。

    • インシデントがログベース アラートから発生したことを通知する情報ボックス。このボックスには、「このインシデントはログメッセージから直接生成された」というテキストが常に含まれます。

    [インシデント詳細] ページには、インシデント調査用のツールもあります。

    • 他のトラブルシューティング ツールへのリンク。利用可能なリンクは、プロジェクトとアラート ポリシーの構成、インシデントの期間によって決まります。
      • アラート ポリシーの定義を編集するには、[ポリシーを編集] をクリックします。
      • ログ エクスプローラで関連するログエントリを表示するには、[ログを表示] をクリックします。詳細については、ログ エクスプローラの使用をご覧ください。
    • アノテーション: インシデント調査による、知見、結果、提案、その他のコメントのログを提供します。
      • アノテーションを追加するには、フィールドにテキストを入力して、[コメントを追加] をクリックします。
      • コメントを破棄するには、[キャンセル] をクリックします。

    また、[インシデントの詳細] ページでインシデントの承認や終了を行うことができます。詳細については、インシデントの管理をご覧ください。

    インシデントの管理

    インシデントは次のいずれかの状態になります。

    • 対応待ち: ログベースのアラート ポリシーがトリガーされ、インシデントは未解決です。同じアラートが再度トリガーされ、インシデントがすでに開かれている場合、新しいインシデントは開かれません。

    • 確認済み: インシデントが対応待ちの状態であり、手動で確認済みとしてマークされています。通常、このステータスは、そのインシデントが調査中であることを示します。

    • 終了: インシデントをユーザーが手動でクローズしたか、7 日後に自動的にクローズしました。

    インシデントを管理するには、役割に monitoring.alertPolicy.create 権限または monitoring.alertPolicy.update 権限を含める必要があります。これらの権限は、モニタリング編集者の役割 roles/monitoring.editor に含まれています。役割と権限の詳細については、アクセス制御: 事前定義された役割をご覧ください。

    インシデントの確認

    インシデントの原因調査を開始するときは、インシデントに確認済みのマークを付けることをおすすめします。

    インシデントに確認済みのマークを付けるには、次の手順を行います。

    • [アラート] ダッシュボードの [インシデント] ペインで [See all incidents] をクリックします。
    • [インシデント] ページで、確認するインシデントを見つけて、次のいずれかを行います。

      • [More options]()をクリックし、つづいて [Acknowledge] を選択します。
      • インシデントの詳細ページを開いて、[ACKNOWLEDGE INCIDENT] をクリックします。

インシデントのクローズ

インシデントをクローズする手順は次のとおりです。

  1. [アラート] ダッシュボードの [インシデント] ペインで [See all incidents] をクリックします。
  2. [インシデント] ページで、クローズするインシデントを見つけて、次のいずれかを行います。

    • [More options] をクリックし、[Close this incident] を選択します。
    • インシデントの詳細ページを開いて、[Close incident] をクリックします。
Unable to close incident というメッセージが表示される場合は、数分後にもう一度お試しください。新しいインシデントをクローズするには、3 分待つ必要があります。新しいインシデントをすぐにクローズすることはできません。