Cette page a été traduite par l'API Cloud Translation.

Surveiller les résultats de vos requêtes SQL à l'aide d'une règle d'alerte

Ce document explique comment créer une règle d'alerte pour surveiller les résultats d'une requête que vous exécutez dans Log Analytics. Ces requêtes sont écrites en SQL et doivent interroger une vue de journal. La règle d'alerte vous avertit lorsque le résultat de la requête remplit les conditions que vous spécifiez. Par exemple, vous pouvez configurer une règle d'alerte afin d'être averti lorsque 25% au moins des entrées de journal d'une période donnée ont une gravité de ERROR.

Les règles d'alerte que vous créez depuis la page Analyse de journaux s'exécutent sur un moteur BigQuery. Par conséquent, les données interrogées doivent être accessibles via un ensemble de données BigQuery associé.

Pour en savoir plus sur l'Analyse de journaux, consultez Interroger et analyser les journaux avec l'Analyse de journaux.

Fonctionnement des règles d'alerte

Une règle d'alerte décrit les circonstances dans lesquelles vous souhaitez être averti d'un incident et de quelle manière. Vous pouvez utiliser trois approches différentes pour recevoir une notification lorsqu'un contenu ou un modèle apparaît dans vos données de journal:

Pour rechercher une expression spécifique dans des entrées de journal individuelles, créez une règle d'alerte basée sur les journaux. Utilisez ces règles d'alerte lorsque vous souhaitez être averti d'événements liés à la sécurité, par exemple.
Pour surveiller les événements dans les données d'entrée de journal, vous pouvez créer une métrique basée sur les journaux, puis une règle d'alerte pour la surveiller. Ces types de règles d'alerte sont efficaces lorsque vous souhaitez surveiller les tendances des données d'entrée de journal au fil du temps. Toutefois, elles ne sont pas aussi efficaces si vous ne prévoyez que quelques événements.
Pour surveiller l'analyse globale de vos données d'entrée de journal, combinez Log Analytics avec des règles d'alerte. Dans ce scénario, vous mettez à niveau un bucket de journaux pour utiliser l'Analyse de journaux et créez un ensemble de données BigQuery associé pour ce bucket de journaux. Ensuite, vous utilisez l'Analyse de journaux, qui est compatible avec les requêtes SQL, pour interroger une vue de journal sur le bucket de journaux. Enfin, vous créez la règle d'alerte pour surveiller les résultats de la requête SQL. Ce type de règle d'alerte est appelé règle d'alerte basée sur SQL.

Les règles d'alerte basées sur SQL sont les plus efficaces pour évaluer des valeurs exactes sur plusieurs entrées de journal. Si vous souhaitez évaluer des entrées de journal individuelles, créez une règle d'alerte basée sur les journaux.

Le reste de ce document explique comment utiliser les règles d'alerte basées sur SQL.

Composants des règles d'alerte

Une règle d'alerte basée sur SQL contient une condition et un calendrier:

La condition contient la requête, qui est une requête SQL qui interroge une vue de journal. La condition définit également les circonstances dans lesquelles le résultat de la requête entraîne la création d'un incident par Monitoring.
La planification définit la fréquence à laquelle la règle d'alerte exécute sa requête. La planification définit également la taille de la fenêtre d'analyse, qui est un filtre qui ne sélectionne que les entrées de journal reçues depuis la dernière évaluation de la requête. Par exemple, si vous définissez la planification sur 60 minutes, la requête est exécutée toutes les 60 minutes à l'aide d'une fenêtre d'analyse qui sélectionne les 60 dernières minutes d'entrées de journal.

Les règles d'alerte contiennent également une liste de canaux de notification. Lorsque la condition de la règle d'alerte est remplie, Cloud Monitoring crée un incident, puis envoie des notifications à son sujet via ces canaux. Un incident est un enregistrement des données ayant entraîné la satisfaction de la condition, ainsi que d'autres informations pertinentes. Ces informations peuvent vous aider à résoudre les problèmes à l'origine de l'incident. Vous pouvez consulter l'incident à l'aide de la console Google Cloud.

Types d'évaluation pour les règles d'alerte basées sur SQL

Les conditions qui surveillent un résultat SQL acceptent deux types d'évaluation:

Seuil de nombre de lignes: la condition est remplie lorsque le nombre de lignes dans le résultat de la requête est supérieur, égal ou inférieur à une valeur seuil.

Par exemple, supposons que vous souhaitiez recevoir une notification lorsque plus de 50 entrées de journal de la période d'analyse ont une gravité supérieure à 200. Vous créez une requête qui signale les entrées de journal dont la gravité est supérieure à 200. Vous configurez ensuite une condition, sélectionnez le seuil de nombre de lignes et définissez-le sur 50.
Booléen: la condition est remplie lorsqu'une colonne booléenne spécifique du tableau des résultats de la requête contient une ligne avec une valeur de true.

Par exemple, supposons que vous souhaitiez recevoir une notification lorsque plus de 25% des entrées de journal de la période d'analyse ont un niveau de gravité ERROR. Vous créez une requête qui calcule le pourcentage d'entrées de journal dont le niveau de gravité est ERROR. Les résultats de la requête écrivent true dans la colonne notify lorsque ce pourcentage dépasse 25%. Ensuite, créez une condition, définissez le type sur booléen et configurez la condition pour surveiller la colonne notify.

Les règles d'alerte qui surveillent le résultat d'une requête SQL ne doivent comporter qu'une seule condition.

Règles d'alerte et BigQuery

Lorsqu'une règle d'alerte exécute une requête SQL, cette requête est exécutée à l'aide d'emplacements BigQuery réservés dans le projet Google Cloud où la règle d'alerte est définie. Pour en savoir plus, consultez la page Utiliser des réservations d'emplacements.

Pour qu'une stratégie d'alerte utilise des emplacements BigQuery réservés pour interroger une vue de journal, le bucket de journaux qui héberge la vue de journal doit être configuré pour disposer d'un ensemble de données BigQuery associé. Les ensembles de données associés permettent à BigQuery de lire les données du bucket de journaux et de vous permettre d'exécuter des fonctions BigQuery sur les données renvoyées par votre requête SQL.

Avant de commencer

Pour obtenir les autorisations nécessaires pour utiliser Log Analytics, demandez à votre administrateur de vous accorder les rôles IAM suivants sur vos buckets de journaux ou vos vues de journaux:
- Pour interroger les buckets de journaux _Required et _Default : Visionneuse de journaux (roles/logging.viewer).
- Pour interroger toutes les vues de journaux d'un projet : Accesseur de vues de journaux (roles/logging.viewAccessor).
- Pour interroger les journaux dans une vue de journaux spécifique : Créez une stratégie IAM pour la vue de journaux ou limitez le rôle "Accesseur de vues de journaux" (roles/logging.viewAccessor) à une certaine vue de journaux. Pour en savoir plus, consultez Contrôler l'accès à une vue de journal.
Pour en savoir plus sur les rôles supplémentaires, consultez la section Rôles de journalisation.
Pour les vues de journaux que vous souhaitez interroger, accédez à la page Stockage des journaux et vérifiez que les buckets de journaux qui stockent ces vues de journaux sont mis à niveau pour utiliser l'Analyse de journaux. Si nécessaire, mettez à niveau le bucket de journaux.

Dans la console Google Cloud, accédez à la page Stockage des journaux.

Accéder à la page Stockage des journaux

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

Pour autoriser l'exécution de requêtes sur des emplacements BigQuery réservés, procédez comme suit :
1. Si le bucket de journaux que vous prévoyez d'interroger ne comporte pas d'ensemble de données associé, créez-en un.
2. Configurez des emplacements BigQuery réservés et attribuez-les à votre projet Google Cloud.

Pour obtenir les autorisations nécessaires pour créer et gérer des règles d'alerte basées sur SQL, demandez à votre administrateur de vous accorder les rôles IAM suivants:
- Éditeur Monitoring (roles/monitoring.editor) sur votre projet
- Journalisation de SqlAlertWriter (roles/logging.sqlAlertWriter) sur votre projet
- Utilisateur de job BigQuery (roles/bigquery.jobUser) sur votre projet
- Lecteur de données BigQuery (roles/bigquery.dataViewer) sur votre ensemble de données associé
Pour savoir comment accorder l'accès à un ensemble de données, consultez la section Accorder l'accès à un ensemble de données.
Assurez-vous que le compte de service Monitoring existe et qu'il dispose des rôles suivants:
1. Rôle Agent de service Monitoring (monitoring.notificationServiceAgent) sur votre projet.
2. Rôle Lecteur de données BigQuery (roles/bigquery.dataViewer) sur votre ensemble de données associé.
Si le compte de service de surveillance n'existe pas, consultez la section Dépannage: Aucun compte de service de surveillance.
Configurez les canaux de notification que vous souhaitez utiliser pour recevoir des notifications d'incidents. À des fins de redondance, nous vous recommandons de créer plusieurs types de canaux de notification. Pour en savoir plus, consultez la page Créer et gérer des canaux de notification.

Créer une règle d'alerte basée sur SQL

Pour créer une règle d'alerte basée sur SQL, procédez comme suit:

Console Google Cloud

Dans la console Google Cloud, accédez à la page Analyse de journaux:
Accéder à l'Analyse de journaux

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sur la page Log Analytics, dans l'éditeur de requête, saisissez une requête SQL pour une vue des journaux.

Remarque :Lorsque vous configurez une requête pour une règle d'alerte, n'utilisez pas la clause WHERE pour filtrer les entrées de journal par code temporel. Lorsque Log Analytics évalue la requête, il applique automatiquement le filtre de code temporel approprié à chaque entrée de journal évaluée.

Pour en savoir plus sur l'écriture de requêtes SQL pour les vues de journaux, consultez la section Interroger une vue de journaux.
Dans la barre d'outils, cliquez sur Exécuter dans BigQuery.

Log Analytics exécute votre requête sur le moteur BigQuery et affiche les résultats dans le tableau Résultats.

Si l'option Exécuter sur BigQuery ne s'affiche pas, cliquez sur Sélectionner un moteur de requêtes, puis sur BigQuery. Le bouton Exécuter la requête est remplacé par Exécuter dans BigQuery.
Dans le tableau Résultats de la page Log Analytics, cliquez sur Créer une alerte.

La page Log Analytics affiche la fenêtre Créer une règle d'alerte SQL, qui affiche votre requête sous la section Requête SQL.
Dans la section Condition d'alerte, configurez la condition et la planification de votre règle d'alerte.
Configurez les détails de l'alerte de votre règle d'alerte.
1. Facultatif: Ajoutez des libellés de règles d'alerte et de la documentation.
2. Ajoutez des canaux de notification, puis cliquez sur Suivant.
Examinez votre règle d'alerte, puis créez-la en cliquant sur Enregistrer.

API Cloud Monitoring

Utilisez la méthode alertPolicies.create pour créer des règles d'alerte par programmation. Le type Condition de votre règle d'alerte doit être conditionSql, qui est une instance de SqlCondition. Ce type de condition permet de définir les conditions de votre règle d'alerte avec SQL.

Pour définir la planification, définissez une valeur periodicity pour l'un des champs minutes, hours ou days. Par exemple, si vous souhaitez que la requête s'exécute toutes les 12 heures, définissez la périodicité du champ hours sur 12.

Pour définir la condition, utilisez les champs suivants:

boolean_test: configure la stratégie d'alerte afin que sa condition soit remplie lorsqu'une ligne d'une colonne booléenne dans le tableau des résultats de la requête contient une valeur "true".
row_count_test: configure la stratégie d'alerte afin que sa condition soit remplie lorsque le nombre de lignes dans le tableau des résultats de la requête atteint un certain seuil.

Pour obtenir la liste complète des champs et des définitions, consultez SqlCondition dans la documentation de l'API Cloud Monitoring.

Pour plus d'informations sur l'API Monitoring pour les règles d'alerte, consultez la page Gérer des règles d'alerte à l'aide d'API.

Limites

Lorsqu'une règle d'alerte exécute une requête SQL planifiée, elle introduit un délai de 15 minutes pour permettre aux entrées de journal de se propager vers le bucket de journaux. Si l'arrivée des entrées de journal prend plus de 15 minutes, la règle d'alerte ne les évalue pas.

L'introduction d'un délai de 15 minutes a un impact sur le temps écoulé entre le moment où une entrée de journal est générée et celui où la surveillance détecte qu'une condition est remplie. Par exemple, supposons que vous ayez une requête SQL planifiée pour s'exécuter toutes les 30 minutes. Lorsque la règle d'alerte évalue périodiquement la condition, elle interroge les entrées de journal dont le code temporel date d'il y a entre 15 et 45 minutes.

Pour connaître les limites associées aux règles d'alerte, consultez la section Limites de surveillance.

Tarifs

Pour en savoir plus sur les tarifs, consultez les documents suivants:

Tarifs de BigQuery
Cloud Logging dans la documentation sur les tarifs de Google Cloud Observability
Cloud Monitoring dans la documentation sur les tarifs de l'observabilité Google Cloud

Étape suivante

Pour en savoir plus sur la création de graphiques à partir de vos données Log Analytics, consultez Graphiquer les résultats de requête avec Log Analytics.
Pour en savoir plus sur la gestion des incidents pour ces règles d'alerte, consultez la section Incidents pour les règles d'alerte basées sur SQL.