Gérer les incidents pour les règles d'alerte basées sur SQL

Un incident est un enregistrement du moment où la condition d'une règle d'alerte est remplie. En règle générale, Cloud Monitoring ouvre un incident et envoie une notification lorsque la condition de la règle d'alerte est remplie. Toutefois, les incidents ne sont pas créés dans les cas suivants :

• La règle est mise en veille ou désactivée.
• Le nombre de règles d'alerte ou d'incidents dépasse les limites existantes pour les alertes.

Pour chaque incident, Monitoring crée une page Détails de l'incident qui vous permet de le gérer et qui fournit des informations pouvant vous aider à résoudre le problème. Par exemple, la page Détails de l'incident affiche des listes de résumés des résultats de requêtes SQL et des incidents associés.

Ce document explique comment trouver vos incidents. Elle explique également comment utiliser la page Détails de l'incident pour gérer les incidents liés aux règles d'alerte basées sur SQL, qui évaluent les résultats d'une requête SQL exécutée sur des données provenant de groupes d'entrées de journal.

Cette fonctionnalité n'est disponible que pour les projets Google Cloud . Pour les configurations App Hub, sélectionnez le projet hôte App Hub ou le projet de gestion du dossier compatible avec les applications.

Avant de commencer

Pour obtenir les autorisations nécessaires pour afficher et gérer les incidents à l'aide de la console Google Cloud , demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

• Affichez les incidents à l'aide de la console Google Cloud  :
  • Lecteur d'incidents de la console cloud Monitoring (roles/monitoring.cloudConsoleIncidentViewer)
  • Lecteur de comptes Stackdriver (roles/stackdriver.accounts.viewer)
• Gérez les incidents à l'aide de la console Google Cloud  :
  • Éditeur d'incidents Monitoring (via la console Cloud) (roles/monitoring.cloudConsoleIncidentEditor)
  • Lecteur de comptes Stackdriver (roles/stackdriver.accounts.viewer)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les rôles Cloud Monitoring, consultez Contrôler l'accès avec Identity and Access Management.

Rechercher des incidents

Pour afficher la liste des incidents dans votre projet Google Cloud  :

1. Dans la console Google Cloud , accédez à la page notifications Alertes :

   Accéder à l'interface des alertes

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

2. Dans la barre d'outils de la console Google Cloud , sélectionnez votre projet Google Cloud . Pour les configurations App Hub, sélectionnez le projet hôte App Hub ou le projet de gestion du dossier compatible avec les applications.

   La page Alertes affiche des informations sur vos règles d'alerte, vos mises en veille et vos incidents :

   • Le volet Résumé présente le nombre d'incidents ouverts.
   • Le volet Incidents affiche les incidents ouverts les plus récents. Pour afficher les incidents les plus récents dans le tableau, y compris ceux qui sont fermés, cliquez sur Afficher les incidents fermés.

3. Pour afficher les détails d'un incident spécifique, sélectionnez-le dans la liste.

   La page Détails de l'incident s'ouvre. Pour en savoir plus sur la page Détails de l'incident, consultez la section Examiner un incident de cette page.

Rechercher des incidents plus anciens

Le volet Incidents de la page Alertes affiche les derniers incidents ouverts. Pour localiser les incidents plus anciens, effectuez l'une des opérations suivantes:

• Pour parcourir les entrées du tableau Incidents, cliquez sur arrow_back_ios Plus récents ou sur arrow_forward_ios Plus anciens.

• Pour accéder à la page Incidents, cliquez sur Afficher tous les incidents. Sur la page Incidents, vous pouvez effectuer les opérations suivantes :

  • Afficher les incidents fermés : pour lister tous les incidents du tableau, cliquez sur Afficher les incidents fermés.
  • Filtrer les incidents : pour en savoir plus sur l'ajout de filtres, consultez Filtrer les incidents.
  • Confirmez ou fermez un incident, ou mettez en veille sa règle d'alerte. Pour accéder à ces options, cliquez sur more_vert Autres options sur la ligne de l'incident et effectuez une sélection dans le menu. Pour en savoir plus, consultez Gérer les incidents.

Filtrer les incidents

Lorsque vous saisissez une valeur dans la barre de filtre, seuls les incidents correspondant au filtre sont présentés dans le tableau Incidents. Si vous ajoutez plusieurs filtres, un incident ne s'affiche que s'il répond à tous les filtres définis.

Pour ajouter un filtre au tableau des incidents, procédez comme suit :

1. Sur la page Incidents, cliquez sur filter_list Filtrer le tableau, puis sélectionnez une propriété de filtre. Les propriétés de filtre incluent tous les éléments suivants :

   • État de l'incident
   • Nom de la règle d'alerte
   • Date d'ouverture ou de fermeture de l'incident

2. Sélectionnez une valeur dans le menu secondaire ou saisissez une valeur dans la barre de filtre.

Examiner un incident

La page Détails de l'incident contient des informations qui peuvent vous aider à identifier la cause d'un incident.

Explorer les résultats de la requête

Le volet Temps total d'emplacement consommé par jour indique le temps passé par vos emplacements BigQuery réservés à exécuter les requêtes SQL pour la règle d'alerte au cours des dernières 24 heures.

Le volet Résultats de la requête SQL affiche la liste des résumés des résultats de la requête chaque fois que l'analyse de journaux a exécuté la requête SQL à partir de la condition de la règle d'alerte. Par défaut, la liste est filtrée pour n'afficher que les requêtes correspondant à la condition de la règle d'alerte.

• Pour afficher la requête et le tableau des résultats de la requête à un moment précis où Log Analytics a exécuté la requête, cliquez sur une valeur de la colonne Heure d'exécution de la requête.
• Pour afficher uniquement les résultats de requête correspondant à la condition de la règle d'alerte ou toutes les requêtes exécutées par Log Analytics à partir de la règle d'alerte, cliquez sur Afficher uniquement les requêtes correspondant aux conditions d'alerte.

Afficher des informations supplémentaires

La section Documentation affiche le modèle de documentation pour les notifications que vous avez fourni lors de la création de la règle d'alerte. Ces informations peuvent inclure une description de ce que la règle d'alerte surveille et des conseils pour l'atténuer. Pour en savoir plus, consultez Annoter les notifications avec une documentation définie par l'utilisateur.

Si vous n'avez pas configuré de documentation pour votre règle d'alerte, le volet Documentation affiche "Aucune documentation n'est configurée".

Explorer les incidents associés

Pour vous aider à découvrir les problèmes sous-jacents dans votre application, vous pouvez explorer les incidents liés à d'autres conditions de règles d'alerte.

La section Incidents associés affiche la liste des autres incidents créés lorsque la condition de la règle d'alerte a été remplie.

Gérer les incidents

Les incidents se trouvent dans l'un des états suivants :

• error Ouvert : la condition de la règle d'alerte basée sur SQL a été remplie et l'incident est toujours ouvert. Si la même condition est à nouveau remplie et qu'un incident est déjà ouvert, aucun nouvel incident n'est ouvert.

• warning Confirmé : L'incident est ouvert et a été marqué comme confirmé manuellement. En général, cet état indique que l'incident est en cours d'examen.

• check_circle Fermé : Vous avez fermé manuellement l'incident ou il a été fermé automatiquement après l'expiration de la période de fermeture automatique.

Confirmer des incidents

Lorsque vous commencez à enquêter sur la cause d'un incident, nous vous recommandons de le marquer comme confirmé.

Pour marquer un incident comme confirmé, procédez comme suit :

1. Dans le volet Incidents de la page Alertes, cliquez sur Voir tous les incidents.

2. Sur la page Incidents, recherchez l'incident que vous souhaitez confirmer, puis effectuez l'une des opérations suivantes :

   • Cliquez sur more_vert Autres options, puis sélectionnez Confirmer.
   • Ouvrez la page de détails de l'incident, puis cliquez sur Confirmer l'incident.

Mettre en veille une règle d'alerte

Pour empêcher Monitoring de créer des incidents et d'envoyer des notifications pendant une période spécifique, mettez en veille la règle d'alerte associée. Lorsque vous mettez en veille une règle d'alerte, les incidents associés à cette règle restent ouverts, mais ne génèrent plus de notifications. Les incidents sont fermés en fonction de la durée de fermeture automatique de la règle d'alerte.

Pour créer une mise en veille pour un incident que vous consultez :

1. Sur la page Détails de l'incident, cliquez sur Mettre en veille la règle.

2. Sélectionnez la durée de la mise en veille. Une fois la durée de la mise en veille sélectionnée, elle commence immédiatement.

Vous pouvez également mettre en veille une règle d'alerte depuis la page Incidents. Pour cela, recherchez l'incident que vous souhaitez mettre en veille, cliquez sur more_vert Autres options, puis sélectionnez Mettre en veille. Vous pouvez mettre en veille les règles d'alerte en cas de panne pour éviter de recevoir d'autres notifications pendant le processus de dépannage.

Fermer des incidents

Vous pouvez laisser Monitoring fermer un incident ou le fermer vous-même.

Monitoring ferme automatiquement un incident lorsque la durée de fermeture automatique de la règle d'alerte expire. Par défaut, la durée de fermeture automatique est de sept jours. La durée minimale de la fermeture automatique est de 30 minutes.

La durée de fermeture automatique spécifie le temps qui doit s'écouler, sans répétition de la cause de l'incident, avant que l'incident ne soit clôturé. C'est pourquoi, lorsqu'un incident est ouvert et que sa cause se reproduit, il peut rester ouvert plus longtemps que la durée de clôture automatique.

Pour fermer un incident, procédez comme suit :

1. Dans le volet Incidents de la page Alertes, cliquez sur Voir tous les incidents.

2. Sur la page Incidents, recherchez l'incident que vous souhaitez fermer, puis effectuez l'une des opérations suivantes :

   • Cliquez sur more_vert Afficher plus, puis sélectionnez Fermer l'incident.
   • Ouvrez la page Détails de l'incident pour cet incident, puis cliquez sur Fermer l'incident.

Si le message Unable to close incident s'affiche, réessayez dans quelques minutes. Vous ne pouvez pas fermer immédiatement un nouvel incident, car les conditions qui l'ont provoqué sont toujours considérées comme actives par le système d'alerte.

Conservation et limites des données

Pour en savoir plus sur les limites et la période de conservation des incidents, consultez Limites pour les alertes.

Étapes suivantes

• Pour créer et gérer des règles d'alerte avec l'API Cloud Logging ou depuis la ligne de commande, consultez Gérer les règles d'alerte avec l'API.