Configurer des alertes basées sur les journaux

Cette page explique comment configurer une alerte basée sur les journaux pour le service Backup and DR à l'aide de l'explorateur de journaux dans la console Google Cloud .

L'interface de l'explorateur de journaux permettant de créer et de modifier des alertes basées sur les journaux vous guide tout au long des étapes suivantes :

• Saisissez un nom et une description pour l'alerte.
• Choisissez les journaux pour lesquels vous souhaitez recevoir une notification.
• Définissez le délai entre les notifications.
• Définissez l'heure de fermeture automatique des incidents.

• Indiquez les personnes à avertir.

  Pour en savoir plus sur l'explorateur de journaux, consultez Afficher et analyser les journaux.

Autorisations et rôles

Pour créer et gérer des alertes basées sur les journaux dans l'explorateur de journaux, votre rôle Identity and Access Management (IAM) doit inclure l'ensemble des autorisations décrites dans Autorisations pour les alertes basées sur les journaux.

Créer une alerte basée sur les journaux

Pour recevoir une notification d'alerte, vous devez disposer d'un canal de notification. Vous pouvez créer le canal de notification avant ou pendant la création d'une alerte.

Pour créer une alerte basée sur les journaux, procédez comme suit :

1. Dans la console Google Cloud , sélectionnez Logging, puis Explorateur de journaux.

2. Utilisez le volet Requête pour définir l'événement pour lequel vous souhaitez recevoir une notification. Vous pouvez utiliser les exemples de requêtes affichés dans Exemples de requêtes dans le volet de requête pour configurer des alertes.

   Voici un exemple de requête permettant de recevoir une notification pour un événement avec un ID d'événement spécifique.

   logName="projects/PROJECT_ID/logs/backupdr.googleapis.com%2Fbackup_recovery_appliance_events"
   jsonPayload.eventId=10046
   

3. Dans l'en-tête du volet Résultats de la requête, cliquez sur Créer une alerte. Si votre fenêtre est trop étroite, l'option Créer une alerte s'affiche dans le menu Actions.

4. Dans le volet Détails de l'alerte, attribuez un nom et une description à l'alerte :

   1. Saisissez un nom pour l'alerte dans le champ Nom de la règle d'alerte. Ce nom s'affiche dans l'en-tête de la notification.
   2. Dans le champ Documentation, saisissez la description de l'alerte. Pour savoir comment mettre en forme et affiner le contenu de ce champ, consultez Utiliser Markdown et les variables dans les modèles de documentation. Incluez l'URL de la console de gestion dans le champ de documentation. Vous pouvez également ajouter la solution de contournement pour résoudre l'événement.

5. Cliquez sur Suivant.

6. Dans le volet Sélectionner les journaux à inclure dans l'alerte, procédez comme suit :

   1. Vérifiez la requête et les résultats en cliquant sur Prévisualiser les journaux. Si nécessaire, vous pouvez également modifier la requête dans ce volet.

   2. Vous pouvez ajouter des libellés pour personnaliser les notifications et les rendre plus informatives. Cliquez sur Ajouter un libellé, puis procédez comme suit :

      1. Saisissez un nom à afficher pour le libellé.
      2. Sélectionnez Nom du champ de journal dans la liste. Ces champs s'affichent en fonction du résultat de requête sélectionné.
      3. Saisissez Expression régulière pour extraire une valeur du champ. Elle doit contenir exactement un groupe d'expressions régulières.

7. Cliquez sur Suivant.

8. Sélectionnez le délai minimal entre les notifications. Cette valeur vous permet de contrôler le nombre de notifications que vous recevez de cette alerte si elle est déclenchée plusieurs fois. Par exemple, vous pouvez sélectionner l'option 5 min pour limiter les notifications à toutes les cinq minutes. Si vous le souhaitez, vous pouvez ajuster la durée de fermeture automatique de l'incident en sélectionnant une option dans le menu.

9. Cliquez sur Suivant.

10. Sélectionnez un ou plusieurs canaux de notification pour votre alerte (par exemple, un canal de notification par e-mail). Si vous avez déjà configuré un canal de notification par e-mail, vous pouvez le sélectionner dans la liste. Si ce n'est pas le cas, cliquez sur Gérer les canaux de notification et ajoutez un canal de notification par e-mail. Pour en savoir plus sur la création de canaux de notification, consultez Créer et gérer des canaux de notification.

11. Cliquez sur Enregistrer.

    Il est recommandé de configurer des alertes pour les ID d'événement importants.

Tester l'alerte basée sur les journaux

Pour tester l'alerte basée sur les journaux que vous avez créée, vous pouvez écrire manuellement une entrée de journal correspondant à la requête. Pour rédiger l'entrée de journal, procédez comme suit :

1. Accédez à la page de référence logEntries.write ou cliquez sur le bouton suivant :

   Accéder à logEntries.write

2. Configurez l'entrée de journal suivante en remplaçant la variable PROJECT_ID par l'ID de votre projet. Si votre règle d'alerte inclut ou exclut des ID d'événement spécifiques, vous devez également modifier l'ID d'événement :

     "entries": [
     {
       "jsonPayload": {
         "eventId": 10046,
         "errorMessage": "this is a manually generated error message created for testing"
       },
       "resource": {
         "type": "backupdr.googleapis.com/BackupRecoveryAppliance",
       },
       "severity": "ERROR",
       "logName": "projects/PROJECT_ID/logs/backupdr.googleapis.com%2Fbackup_recovery_appliance_events",
     }
     ]
   

3. Copiez l'entrée de journal que vous avez configurée précédemment.

4. Dans le volet Essayer cette API, procédez comme suit :

   1. Remplacez le contenu du champ Corps de la requête dans APIs Explorer par l'entrée de journal que vous avez copiée à l'étape précédente.
   2. Cliquez sur Exécuter. Si vous y êtes invité, suivez la procédure d'authentification.

   Si l'appel logEntries.write aboutit, vous obtenez un code de réponse HTTP 200 et un corps de réponse vide, {}. Pour en savoir plus sur APIs Explorer, consultez Utiliser APIs Explorer. L'explorateur d'API fonctionne de la même manière avec l'API Cloud Logging.

   L'entrée de journal correspond au filtre spécifié pour l'alerte comme suit :

   • La valeur logName spécifie la connexion à l'événement de l'appliance de sauvegarde/récupération pour votre projet Cloud.
   • La valeur de gravité de cette entrée de journal est "ERROR" (ERREUR).
   • jsonPayload contient un événement 10046 "pool full".

   Une fois l'entrée de journal écrite, la séquence suivante se produit :

   1. La nouvelle entrée de journal apparaît dans l'explorateur de journaux et déclenche l'alerte.
   2. Un incident est ouvert dans Cloud Monitoring.
   3. Vous recevez une notification pour l'incident. Si vous avez configuré un canal de notification par e-mail, la notification s'affiche.

Vous pouvez cliquer sur Afficher l'incident dans l'e-mail pour afficher l'incident dans Cloud Monitoring. Pour en savoir plus sur les incidents, y compris sur la façon de les confirmer et de les clôturer, consultez Gérer les incidents pour les alertes basées sur les journaux.

Créer plusieurs règles d'alerte

Vous pouvez créer des règles d'alerte en fonction de la priorité et de l'urgence des événements. Du point de vue des alertes, les événements peuvent être classés dans les catégories suivantes :

1. Événements auxquels vous devez assister de toute urgence et pour lesquels vous avez besoin de notifications plus fréquentes. Par exemple, l'ID d'événement 43901 (échec de la tâche d'instantané) doit être signalé toutes les 30 minutes. Utilisez la requête suivante pour créer l'alerte.

       Policyname = 'Snapshot job has failed'
       Notification rate limit = 30 min
       logName="projects/PROJECT_ID/logs/backupdr.googleapis.com%2Fbackup_recovery_appliance_events" AND jsonPayload.eventId=43901
   

2. Événements moins urgents qui nécessitent des notifications moins fréquentes. Par exemple, l'ID d'événement 10085 (non-respect du plan de sauvegarde) ne doit être signalé qu'une fois par jour. Utilisez la requête suivante pour créer l'alerte.

       Policyname = 'Backup Plan Violation has occurred'
       Notification rate limit = 1 day
       logName="projects/PROJECT_ID/logs/backupdr.googleapis.com%2Fbackup_recovery_appliance_events" AND jsonPayload.eventId=10085
   

3. Événements sans impact pouvant être ignorés. Par exemple, les ID d'événement 10229 (erreurs de dépassement de l'espace de stockage) et 42356 (des modifications de fichiers ont été détectées) peuvent être ignorés, car il s'agit de faux positifs. Utilisez la requête suivante pour créer l'alerte.

       Policyname = 'Backup/DR event has occurred'
       Notification rate limit = 6 hr
       logName="projects/PROJECT_ID/logs/backupdr.googleapis.com%2Fbackup_recovery_appliance_events" AND NOT jsonPayload.eventId=(10085 OR 10229 OR 42356 OR 43901)