Questo documento descrive come utilizzare Cloud Monitoring per osservare le tendenze nei log e per ricevere una notifica quando si verificano le condizioni descritte. Per fornire a Cloud Monitoring i dati dei log, Logging supporta le seguenti funzionalità:
Puoi generare metriche personalizzate dalle voci di log. Queste metriche sono chiamate metriche basate su log. Puoi anche creare criteri di avviso basati su metriche per ricevere una notifica quando una metrica basata su log soddisfa una condizione. Per ulteriori informazioni, consulta la sezione Visualizzare i dati voce di log con le metriche basate su log.
Puoi utilizzare i criteri di avviso per monitorare, quasi in tempo reale, quando un messaggio viene visualizzato nelle voci del log. Questi criteri di avviso sono chiamati criteri di avviso basati su log. Per ulteriori informazioni, consulta Monitorare le singole voci di log per i messaggi.
Puoi scrivere una query SQL in Log Analytics e creare un criterio di avviso che monitora i risultati della query. Questi criteri di avviso sono chiamati criteri di avviso basati su SQL. Per ulteriori informazioni, consulta Monitorare i risultati delle query SQL.
I criteri di avviso basati su SQL sono in anteprima pubblica.
Il resto di questo documento descrive le differenze tra questi tre criteri di avviso e fornisce informazioni su autorizzazione, costi e limiti.
Visualizzare i dati voce di log con le metriche basate su log
Quando vuoi monitorare gli eventi ricorrenti nei log nel tempo, utilizza le metriche basate su log. Le metriche basate su log generano dati numerici dai log. Le metriche basate su log sono adatte quando vuoi eseguire una delle seguenti operazioni:
- Conta le occorrenze di un messaggio, ad esempio un avviso o un errore, nei log e ricevi una notifica quando il numero di occorrenze supera una soglia.
- Osserva le tendenze nei tuoi dati, ad esempio i valori di latenza nei log, e ricevi una notifica se i valori cambiano in modo inaccettabile.
- Crea grafici per visualizzare i dati numerici estratti dai log.
Poiché le metriche basate su log generano dati numerici dai log, puoi utilizzarle nei criteri di avviso e visualizzarle nei grafici. Per informazioni sulla creazione di criteri di avviso e grafici per le metriche basate su log, consulta Configurare le notifiche per le metriche basate su log.
Cloud Monitoring fornisce un insieme di metriche basate su log predefinite e puoi definirne di tue. Per visualizzare un elenco delle metriche basate su log definite dal sistema, fai clic sul seguente pulsante add_circle:
Metriche basate su log definite dall'utente
Puoi creare metriche basate su log per estrarre i dati numerici dai log. Le metriche basate su log definite dall'utente calcolano i valori sia dai log inclusi sia da quelli esclusi.
Per impostazione predefinita, le metriche basate su log definite dall'utente raccolgono i dati da tutti i log ricevuti dal Log Router nel tuo progetto Google Cloud, ma puoi definire metriche basate su log che raccolgono i dati dai log instradati in un bucket di log specifico.
- Per informazioni su come definire e utilizzare le metriche basate su log a livello di progetto, consulta Utilizzare le metriche basate su log.
- Per informazioni su come definire e utilizzare le metriche basate su log a livello di bucket, consulta Metriche basate su log per i bucket di log.
Se definisci le tue metriche basate su log, potresti incorrere in addebiti. Per ulteriori informazioni sui costi associati all'importazione delle metriche, consulta Metriche addebitabili.
Monitorare le singole voci dei log per i messaggi
Quando vuoi ricevere una notifica ogni volta che viene visualizzato un messaggio specifico in una voce di log, utilizza i criteri di avviso basati su log. I criteri di avviso basati su log sono utili per rilevare eventi correlati alla sicurezza nelle voci dei log, come i seguenti:
- Vuoi ricevere una notifica quando viene visualizzato un evento in un log di controllo, ad esempio quando un utente accede alla chiave di sicurezza di un account di servizio.
- L'applicazione scrive messaggi di deployment nei log e vuoi ricevere una notifica quando viene registrata una modifica di deployment.
I criteri di avviso basati su log sono utili per gli eventi che prevedi essere singolari e importanti. Non vuoi conoscere una tendenza o un modello, ma vuoi sapere che è successo qualcosa.
Per informazioni sulla creazione di criteri di avviso basati su log, consulta Configurare i criteri di avviso basati su log.
Puoi configurare un criterio di avviso basato su metriche per simulare un criterio di avviso basato su log. A tale scopo, definisci una metrica basata su log e utilizzala in un criterio di avviso basato su metriche con una soglia pari a 1. I criteri di avviso basati su log ti consentono di ottenere questo comportamento senza dover creare una metrica basata su log e configurare un criterio di avviso basato su metriche.
Monitorare i risultati delle query SQL
Puoi configurare criteri di avviso che utilizzano Log Analytics per eseguire query SQL sui dati voce di log. Questi tipi di criteri di avviso sono efficaci quando vuoi ricevere una notifica in base a pattern che non possono essere valutati dai criteri di avviso basati su log, ad esempio pattern complessi nelle voci di log o aggregazioni di dati dei log. Per ulteriori informazioni, consulta Monitorare i risultati delle query SQL con un criterio di avviso.
Confronto delle opzioni di avviso
Questa sezione mette a confronto i criteri di avviso basati su metriche basate su log, i criteri di avviso basati su log e i criteri di avviso basati su SQL.
Tabella riepilogativa
La tabella seguente riassume le tecniche di avviso e fornisce link a informazioni aggiuntive:
Criteri di avviso basati su metriche | Criteri di avviso basati su log | Criteri di avviso basati su SQL | Ulteriori informazioni |
---|---|---|---|
In base alle metriche ricavate dalle voci di log | In base alle stringhe nelle singole voci di log | In base alle tabelle restituite dalle query SQL sulle voci di log | Metriche basate su log Allerte basate su log Allerte basate su SQL |
Utilizzato per informarti sulle tendenze nel tempo | Utilizzato per inviare una notifica quando viene visualizzato un messaggio specifico in un log | Utilizzato per avvisarti di un pattern in una finestra di voci di log | Metriche basate su log Avvisi basati su log Avvisi basati su SQL |
Calcolata da
|
Corrispondenza solo con i log inclusi | Calcolata dalle voci di log in una finestra mobile | Log disponibili Avvisi basati su SQL |
Eseguire operazioni sulle metriche di tutti i progetti nell'ambito delle metriche del progetto di definizione dell'ambito | Esegui operazioni sui log solo nel progetto di definizione dell'ambito | Opera su tutti i log leggibili in qualsiasi progetto Google Cloud. | Monitora le metriche in più progetti |
L'incidente viene creato quando il valore di una metrica soddisfa una condizione per un periodo specificato | L'incidente viene creato ogni volta che una voce di log specifica corrisponde a un filtro | L'incidente viene creato quando la tabella dei risultati della querysoddisfa una condizione | Incidenti e notifiche |
Creati e gestiti in Monitoraggio | Creato in Logging; gestito in Monitoraggio |
Creato in Log Analytics; gestito in Monitoraggio | Creazione e gestione dei criteri di avviso Avvisi basati su SQL |
Visualizzato in Monitoring | Visualizzato in Monitoring | Visualizzato in Monitoring | Visualizzazione dei criteri di avviso |
Può utilizzare qualsiasi canale di notifica supportato in Monitoraggio | Può utilizzare qualsiasi canale di notifica supportato in Monitoraggio | Può utilizzare qualsiasi canale di notifica supportato in Monitoraggio | Canali di notifica |
Log disponibili
Le metriche basate su log definite dall'utente vengono calcolate da tutti i log ricevuti dall'API Logging per il progetto Google Cloud, indipendentemente da eventuali filtri di inclusione o filtri di esclusione che potrebbero essere applicati al progetto Google Cloud. Se crei un criterio di avviso basato su una metrica basata su log definita dall'utente, il criterio monitora i dati di tutti i log.
Le metriche basate su log definite dal sistema vengono calcolate solo dai log che sono stati archiviati nei bucket di log nel progetto Google Cloud. Se un log è stato esplicitamente escluso, non è incluso in queste metriche. Se crei un criterio di avviso basato su una metrica basata su log definita dal sistema, il criterio monitora i dati solo dai log inclusi.
I criteri di avviso basati su log si applicano solo ai log inclusi provenienti da un progetto. Non puoi utilizzare i criteri di avviso basati sui log per ricevere notifiche sui messaggi nei log esclusi o nei log di altre risorse, come cartelle o organizzazioni.
Sia le metriche basate su log sia i criteri di avviso basati su log operano nell'ambito del progetto Google Cloud, non nei singoli bucket.
I criteri di avviso basati su SQL eseguono query sulle visualizzazioni dei log nei bucket di log. Per questi bucket dei log è necessario eseguire l'upgrade per utilizzare Log Analytics e poi collegarli a un set di dati BigQuery. Per saperne di più sui criteri di avviso basati su SQL, consulta Monitorare i risultati delle query SQL con un criterio di avviso.
Monitora le metriche in più progetti
Puoi monitorare le metriche di più progetti configurando un ambito delle metriche. Un ambito delle metriche elenca tutti i progetti e gli account monitorati. Un progetto di definizione dell'ambito ospita l'ambito delle metriche. Il progetto di definizione dell'ambito memorizza i criteri di avviso e altre configurazioni che crei per l'ambito delle metriche. Il progetto di ambito per un ambito delle metriche è il progetto selezionato dal selettore di progetti della console Google Cloud.
I criteri di avviso basati su metriche basate su log, come i criteri di avviso basati su altre metriche, funzionano in tutti i progetti nell'ambito delle metriche del progetto di definizione dell'ambito.
I criteri di avviso basati su log non operano sugli ambiti delle metriche; i log nei progetti non fanno parte di un ambito delle metriche. I criteri di avviso basati su log valutano le voci di log che hanno origine nel progetto Google Cloud corrente o vengono instradate al progetto corrente e poi archiviate in un bucket di log.
I criteri di avviso basati su SQL non operano sugli ambiti delle metriche.
Per ulteriori informazioni sugli ambiti delle metriche, inclusi gli ambiti delle metriche per più progetti, e sui progetti di definizione dell'ambito, consulta quanto segue:
Incidenti e notifiche
Quando la condizione di un criterio di avviso è soddisfatta, il monitoraggio apre un incidente e invia notifiche ai canali di notifica del criterio di avviso. Per visualizzare i dettagli dell'incidente, fai clic su Visualizza incidente nel messaggio di notifica o vai direttamente alla pagina Incidenti in Monitoraggio.
Incidenti per i criteri di avviso basati su metriche
I criteri di avviso basati su metriche basate su log creano incidenti e notifiche come tutti gli altri criteri di avviso basati su metriche in Monitoraggio, come descritto in Comportamento degli avvisi. Per ulteriori informazioni sulla gestione degli incidenti per i criteri di avviso basati su metriche, consulta Incidenti per i criteri di avviso basati su metriche.
Incidenti per i criteri di avviso basati su log
I criteri di avviso basati su log non sono criteri di avviso basati su metriche. Quando una voce di log soddisfa la condizione di un criterio di avviso basato su log, Monitoring crea incidenti e notifiche come segue:
La prima volta che Cloud Logging scrive una voce di log corrispondente alla query di avviso in un bucket dei log, viene creato un incidente e viene inviata una notifica. Se viene scritta un'altra voce di log corrispondente, viene creato un nuovo incidente solo se l'incidente precedente è stato chiuso. Tuttavia, l'eliminazione di un incidente chiuso potrebbe richiedere fino a tre minuti. Quando viene ricevuta una voce di log corrispondente nei tre minuti successivi alla chiusura di un incidente, il sistema potrebbe riaprirlo anziché crearne uno nuovo.
Quando crei un criterio di avviso basato su log, puoi specificare il tempo minimo tra le notifiche. Ad esempio, seleziona 10 minuti come tempo tra le notifiche. Se la condizione del criterio di avviso basato su log viene soddisfatta due volte entro questo periodo, riceverai una sola notifica.
La frequenza massima delle notifiche per i criteri di avviso basati su log è di 1 notifica ogni 5 minuti per ogni criterio di avviso basato su log. Tuttavia, se la query del criterio di avviso basato su log estrae i valori delle etichette, ogni combinazione di valori estratti rappresenta la propria sequenza temporale di notifica. Ad esempio, supponiamo che un criterio di avviso basato su log estragga i valori di un'etichetta. Supponiamo che l'etichetta possa avere due valori. Con questa configurazione, potresti ricevere due notifiche, una per ciascun valore dell'etichetta, negli stessi 5 minuti.
Esiste un limite di 20 notifiche al giorno per ogni criterio di avviso basato su log. Se raggiungi questo limite, la notifica include un messaggio che ti informa che hai raggiunto il limite per la giornata.
Gli incidenti vengono chiusi automaticamente dopo 7 giorni, a meno che non configuri un periodo più breve o non li chiudi manualmente.
Per ulteriori informazioni sulla gestione degli incidenti per i criteri di avviso basati su log, consulta Gestire gli incidenti per i criteri di avviso basati su log.
Incidenti per i criteri di avviso basati su SQL
Per i criteri di avviso basati su SQL, Cloud Monitoring crea un incidente la prima volta che il risultato della query SQL soddisfa la condizione specificata nel criterio. Ogni criterio di avviso ha un solo incidente aperto. Mentre l'incidente è aperto, se la condizione viene soddisfatta di nuovo, il monitoraggio non crea ulteriori incidenti né invia notifiche aggiuntive. Il monitoraggio chiude gli incidenti basati su SQL dopo sette giorni, a meno che non configuri un periodo di chiusura degli incidenti più breve o non chiuda l'incidente autonomamente.
Per ulteriori informazioni sulla gestione degli incidenti per i criteri di avviso basati su SQL, consulta Gestire gli incidenti per i criteri di avviso basati su SQL.
Creazione e gestione dei criteri di avviso
Puoi creare, modificare ed eliminare i criteri di avviso basati su metriche basate su log in Cloud Monitoring, come qualsiasi altro criterio di avviso basato su metriche. Per saperne di più, consulta Gestire i criteri.
Puoi creare criteri di avviso basati su log utilizzando Esplora log o l'API Cloud Monitoring. Modifica ed elimina i criteri di avviso basati su log in Monitoring o con l'API Cloud Monitoring. Per ulteriori informazioni, consulta Gestire i criteri di avviso basati su log.
Puoi creare criteri di avviso basati su SQL utilizzando Log Analytics o l'API Cloud Monitoring. Puoi modificare ed eliminare i criteri di avviso basati su SQL in Monitoring o utilizzando l'API Cloud Monitoring. Per ulteriori informazioni, consulta Monitorare i risultati delle query SQL con un criterio di avviso.
Visualizzazione dei criteri di avviso
La pagina Criteri in Monitoraggio elenca tutti i criteri di avviso nel progetto Google Cloud. Questo elenco include i criteri che utilizzano metriche basate su log e criteri di avviso basati su log.
-
Nella console Google Cloud, vai alla pagina notifications Avvisi:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
- Seleziona Visualizza tutte le norme.
I criteri di avviso basati su log vengono visualizzati nell'elenco con il valore Logs
nella colonna
Tipo. I criteri di avviso basati su metriche, tra cui le metriche basate sui log, vengono visualizzati nell'elenco con il valore Metrics
nella colonna Tipo.
I criteri di avviso basati su SQL vengono visualizzati nell'elenco con il valore SQL
nella colonna Tipi.
Lo screenshot seguente mostra un estratto di un elenco di norme:
Canali di notifica
Puoi inviare notifiche da qualsiasi tipo di criterio di avviso a uno qualsiasi dei canali di notifica supportati da Monitoring. Devi configurare questi canali prima di poterli utilizzare nei criteri di avviso.
Per saperne di più, consulta la pagina relativa alla gestione dei canali di notifica.
Requisiti di autorizzazione
L'utilizzo di metriche o criteri di avviso basati su log richiede l'autorizzazione sia per Cloud Logging sia per Cloud Monitoring.
Per le metriche basate su log definite dall'utente, consulta Autorizzazioni per le metriche basate su log.
Per i criteri di avviso basati su log, consulta Autorizzazioni per i criteri di avviso basati su log.
Per i criteri di avviso basati su SQL, consulta Autorizzazioni per i criteri di avviso basati su SQL.
Costi e limiti
Se definisci le tue metriche basate su log, si applicano le seguenti regole:
- Esistono limiti per il numero e la struttura delle metriche basate su log definite dall'utente. Per ulteriori informazioni su questi limiti, consulta i limiti per le metriche basate su log.
- Potrebbero essere addebitati costi per le metriche basate su log definite dall'utente. Per ulteriori informazioni sui costi associati all'importazione delle metriche, consulta Metriche addebitabili.
- I criteri di avviso basati su SQL vengono eseguiti in una prenotazione BigQuery nel tuo progetto Google Cloud. Potresti dover pagare degli addebiti per una prenotazione BigQuery. Per ulteriori informazioni sui costi associati alle prenotazioni BigQuery, consulta Prezzi di BigQuery.
Non sono previsti costi associati all'utilizzo di criteri di avviso basati su metriche basate su log.
Si applicano i seguenti limiti di monitoraggio relativi ai criteri di avviso:
Categoria | Valore | Tipo di norma1 |
---|---|---|
Criteri di avviso (somma di metriche e log) per ambito delle metriche 2 | 500 | Metrica, log |
Condizioni per il criterio di avviso basato su metriche | 6 | Metrica |
Condizioni per i policy di avviso basati su SQL (anteprima pubblica) | 1 | SQL |
Periodo di tempo massimo valutato da una condizione di assenza metrica3 |
1 giorno | Metrica |
Periodo di tempo massimo valutato da una condizione di soglia metrica3 |
23 ore 30 minuti | Metrica |
Lunghezza massima del filtro utilizzato in una condizione di soglia metrica |
2048 caratteri Unicode | Metrica |
Numero massimo di serie temporali monitorate da una condizione di previsione |
64 | Metrica |
Finestra di previsione minima | 1 ora (3600 secondi) | Metrica |
Finestra di previsione massima | 2,5 giorni (216.000 secondi) | Metrica |
Canali di notifica per criterio di avviso | 16 | Metrica, log |
Frequenza massima delle notifiche4 | 1 notifica ogni 5 minuti per ogni criterio di avviso basato su log | Log |
Numero massimo di notifiche | 20 notifiche al giorno per ogni criterio di avviso basato su log | Log |
Numero massimo di incidenti aperti contemporaneamente per criterio di avviso |
1000 | Metrica |
Periodo dopo il quale un incidente senza nuovi dati viene chiuso automaticamente |
7 giorni | Metrica |
Durata massima di un incidente se non viene chiuso manualmente | 7 giorni | Log |
Conservazione degli incidenti chiusi | 13 mesi | Non applicabile |
Conservazione degli incidenti aperti | Indeterminata | Non applicabile |
Canali di notifica per ambito delle metriche | 4000 | Non applicabile |
Numero massimo di criteri di avviso per posticipazione | 16 | Metrica, log |
Mantenimento di una posticipazione | 13 mesi | Non applicabile |
2Apigee e Apigee hybrid sono profondamente integrati con Cloud Monitoring. Il limite di avvisi per tutti i livelli di abbonamento Apigee (Standard, Enterprise ed Enterprise Plus) è lo stesso di Cloud Monitoring: 500 per ambito delle metriche .
3Il periodo di tempo massimo valutato da una condizione è la somma del periodo di allineamento e dei valori della finestra di durata. Ad esempio, se il periodo di allineamento è impostato su 15 ore e la finestra di durata è impostata su 15 ore, sono necessari 30 ore di dati per valutare la condizione.
4Se la query del criterio di avviso basato su log estrae i valori delle etichette, ogni combinazione di valori estratti rappresenta la propria sequenza temporale di notifica. Ad esempio, supponiamo che un criterio di avviso basato su log estragga i valori di un'etichetta. Supponiamo che l'etichetta possa avere due valori. Con questa configurazione, potresti ricevere due notifiche, una per ogni valore dell'etichetta, negli stessi 5 minuti.