使用提醒政策监控 SQL 查询结果

本文档介绍了如何创建提醒政策，以监控您在 Log Analytics 中运行的查询的结果。这些查询采用 SQL 编写，并且必须查询日志视图。当查询结果满足您指定的条件时，提醒政策会向您发出通知。例如，您可以配置提醒政策，以便在特定时间段内至少 25% 的日志条目的严重程度为 ERROR 时收到通知。

您在 Log Analytics 页面上创建的提醒政策会在 BigQuery 引擎上运行。因此，必须能够通过关联的 BigQuery 数据集访问要查询的数据。

如需大致了解 Log Analytics，请参阅使用 Log Analytics 查询和分析日志。

提醒政策的运作方式

提醒政策描述了您希望在哪些情况下收到提醒以及希望如何接收突发事件通知。您可以通过以下三种不同的方法，在日志数据中出现内容或模式时收到通知：

• 如需扫描各个日志条目以查找特定字词，请创建基于日志的提醒政策。当您希望收到与安全相关事件等方面的通知时，请使用这些提醒政策。

• 如需监控日志条目数据中的事件，您可以创建基于日志的指标，然后创建提醒政策来监控该指标。如果您想监控一段时间内日志条目数据的趋势，这类提醒政策非常有效。不过，如果您预计只有少量事件，这些方法的效果就不会那么理想。

• 如需监控日志条目数据的汇总分析，请将 Log Analytics 与提醒政策结合使用。在本场景中，您将升级日志存储桶以使用 Log Analytics，并为该日志存储桶创建关联的 BigQuery 数据集。接下来，您将使用支持 SQL 查询的 Log Analytics 查询日志存储桶中的日志视图。最后，您需要创建提醒政策来监控 SQL 查询结果。此类提醒政策称为基于 SQL 的提醒政策。

基于 SQL 的提醒政策最适合评估多个日志条目的确切值。如果您想评估各个日志条目，请创建基于日志的提醒政策。

本文档的其余部分介绍了如何使用基于 SQL 的提醒政策。

提醒政策组成部分

基于 SQL 的提醒政策包含一个条件和一个时间表：

• 条件包含查询，即用于查询日志视图的 SQL 查询。该条件还定义了在什么情况下查询结果会导致 Monitoring 创建突发事件。

• 时间安排用于定义提醒政策运行其查询的频率。该时间表还定义了回溯期的大小，这是一个过滤条件，用于仅选择自上次评估查询以来收到的日志条目。例如，如果您将时间安排设置为 60 分钟，则系统会每 60 分钟运行一次查询，并使用选择最近 60 分钟日志条目的回溯期。

提醒政策还包含通知渠道列表。当满足提醒政策的条件时，Cloud Monitoring 会创建突发事件，然后通过这些渠道发送有关突发事件的通知。突发事件是指导致满足条件的数据以及其他相关信息的记录。这些信息可帮助您排查导致突发事件的问题。您可以使用 Google Cloud 控制台查看相应事故。

基于 SQL 的提醒政策的评估类型

用于监控 SQL 结果的条件支持两种类型的评估：

• 行数阈值：当查询结果中的行数大于、等于或小于阈值时，则满足此条件。

  例如，假设您希望在回溯期内超过 50 条日志条目的严重程度大于 200 时收到通知。您创建一个查询，用于报告严重性级别高于 200 的日志条目。然后，您可以配置条件，选择行数阈值，并将阈值设置为 50。

• 布尔值：当查询结果表中的特定布尔值列包含值为 true 的任何行时，则满足此条件。

  例如，假设您希望在回溯期内超过 25% 的日志条目严重级别为 ERROR 时收到通知。您创建一个查询，用于计算严重级别为 ERROR 的日志条目的百分比。如果该百分比超过 25%，查询结果会将 true 写入 notify 列。接下来，您需要创建一个条件，将类型设置为 Boolean，并将该条件配置为监控 notify 列。

监控 SQL 查询结果的提醒政策只能有一个条件。

提醒政策和 BigQuery

当提醒政策运行 SQL 查询时，该查询会使用定义提醒政策的 Google Cloud 项目中预留的 BigQuery 槽运行。如需了解详情，请参阅使用槽预留。

如需让提醒政策使用预留的 BigQuery 槽查询日志视图，必须将托管日志视图的日志存储桶配置为具有关联的 BigQuery 数据集。借助关联的数据集，BigQuery 可以读取日志存储桶中的数据，并且您可以对 SQL 查询返回的数据执行 BigQuery 函数。

准备工作

1. 如需获得使用 Log Analytics 所需的权限，请让您的管理员向您授予日志存储分区或日志视图的以下 IAM 角色：

   • 如需查询 _Required 和 _Default 日志存储分区，请执行以下操作： 日志查看器 (roles/logging.viewer)。
   • 如需查询项目中的所有日志视图，请使用以下角色： Logs View Accessor (roles/logging.viewAccessor)。
   • 如需查询特定日志视图中的日志，请执行以下操作： 为日志视图创建 IAM 政策，或将 Logs View Accessor (roles/logging.viewAccessor) 角色限制为特定日志视图。如需了解详情，请参阅控制对日志视图的访问权限。
   如需了解其他角色，请参阅日志记录角色。
2. 对于您要查询的日志视图，请前往日志存储页面，并验证存储这些日志视图的日志存储分区是否已升级为使用 Log Analytics。如有必要，请升级日志存储桶。

在 Google Cloud 控制台中，转到日志存储页面：

前往日志存储

如果您使用搜索栏查找此页面，请选择子标题为 Logging 的结果。

3. 如需允许在预留的 BigQuery 槽上运行查询，请执行以下操作：
   1. 如果您计划查询的日志存储桶没有关联的数据集，请为其创建关联的数据集。
   2. 配置预留的 BigQuery 槽，并将其分配给您的 Google Cloud 项目。

4. 如需获得创建和管理基于 SQL 的提醒政策所需的权限，请让管理员向您授予以下 IAM 角色：

   • 您项目的 Monitoring Editor (roles/monitoring.editor)
   • 针对项目的 Logging SqlAlertWriter (roles/logging.sqlAlertWriter)
   • 针对项目的 BigQuery Job User (roles/bigquery.jobUser)
   • 关联数据集的 BigQuery Data Viewer (roles/bigquery.dataViewer) 角色

   如需了解如何授予对数据集的访问权限，请参阅授予对数据集的访问权限。

5. 确保监控服务账号存在且具有以下角色：

   1. 项目的 Monitoring Service Agent (monitoring.notificationServiceAgent) 角色。
   2. 关联数据集的 BigQuery Data Viewer (roles/bigquery.dataViewer) 角色。

   如果监控服务账号不存在，请参阅问题排查：没有监控服务账号。

6. 配置您要用于接收突发事件通知的通知渠道。为实现冗余，我们建议您创建多种类型的通知渠道。如需了解详情，请参阅创建和管理通知渠道。

创建基于 SQL 的提醒政策

如需创建基于 SQL 的提醒政策，请执行以下操作：

限制

当提醒政策运行定期 SQL 查询时，提醒政策会延迟 15 分钟，以便日志条目有时间传播到日志存储桶。如果日志条目需要超过 15 分钟才能到达，则提醒政策不会对其进行评估。

引入 15 分钟延迟会影响日志条目生成与监控检测到满足条件之间的时间。例如，假设您有一个 SQL 查询，已安排每 30 分钟运行一次。当提醒政策定期评估条件时，它会查询时间戳介于 15 到 45 分钟之间的日志条目。

如需了解与提醒政策相关的限制，请参阅Monitoring 限制。

价格

如需了解价格信息，请参阅以下文档：

• BigQuery 价格
• Google Cloud Observability 价格文档中的 Cloud Logging
• Google Cloud Observability 价格文档中的 Cloud Monitoring

后续步骤

• 如需了解如何根据 Log Analytics 数据创建图表，请参阅使用 Log Analytics 绘制查询结果图表。

• 如需了解如何管理这些提醒政策的突发事件，请参阅基于 SQL 的提醒政策的突发事件。