本文說明如何使用 Cloud Monitoring 觀察記錄資料的趨勢,並在發生您指定的情況時收到通知。如要將記錄資料中的資料提供給 Cloud Monitoring,Logging 支援下列功能:
您可以從記錄檔項目產生自訂指標。這些指標稱為「記錄指標」。您也可以建立以指標為基礎的快訊政策,在記錄指標符合條件時收到通知。詳情請參閱「使用記錄指標將記錄項目資料視覺化」一文。
您可以透過快訊政策,近乎即時地監控記錄項目中是否出現特定訊息。這類快訊政策稱為「記錄檔快訊政策」。詳情請參閱「監控郵件的個別記錄項目」。
您可以在記錄檔分析中撰寫 SQL 查詢,並建立監控查詢結果的警報政策。這類警告政策稱為「以 SQL 為準的警告政策」。詳情請參閱「監控 SQL 查詢結果」。
以 SQL 為基礎的警告政策目前為公開預先發布版。
本文的其餘部分會說明這三項快訊政策的差異,並提供授權、費用和限制的相關資訊。
使用記錄指標以視覺化方式呈現記錄項目資料
如要監控記錄資料中一段時間內重複發生的事件,請使用記錄指標。記錄指標會從記錄資料產生數值資料,適合用於下列用途:
- 計算記錄資料中訊息 (例如警告或錯誤) 的出現次數,並在次數超過門檻時收到通知。
- 觀察資料趨勢,例如記錄資料中的延遲值,並在值發生無法接受的變化時收到通知。
- 建立圖表,顯示擷取的數值資料。
由於記錄指標會根據記錄資料產生數值資料,因此您可以在快訊政策中使用這些指標,並在圖表中顯示這些指標。如要瞭解如何為記錄指標建立快訊政策和圖表,請參閱「設定記錄指標的通知」。
Cloud Monitoring 提供一組預先定義的記錄指標,您也可以自行定義。如要查看系統定義的記錄指標清單,請按一下下列 add_circle 按鈕:
使用者定義的記錄指標
您可以建立記錄指標,從記錄資料中擷取數值資料。使用者定義的記錄指標會根據納入和排除的記錄項目計算值。
根據預設,使用者定義的記錄指標會從 Google Cloud 專案中記錄檔路由器收到的所有記錄項目收集資料,但您可以定義記錄指標,從轉送至特定記錄檔 bucket 的記錄項目收集資料。
- 如要瞭解如何定義及使用專案層級的記錄指標,請參閱「使用記錄指標」。
- 如要瞭解如何定義及使用記錄儲存空間層級的記錄指標,請參閱「記錄儲存空間的記錄指標」。
如果您定義自己的記錄指標,可能會產生費用。如要進一步瞭解指標擷取相關費用,請參閱「Google Cloud Observability 定價」。
監控個別記錄項目中的訊息
如要在記錄項目中出現特定訊息時收到通知,請使用記錄式快訊政策。記錄式快訊政策有助於在記錄項目中找出安全性相關事件,例如:
- 您希望在稽核記錄中出現事件時收到通知,例如人類使用者存取服務帳戶的安全金鑰。
- 您的應用程式會將部署訊息寫入記錄,您希望系統在記錄部署變更時通知您。
記錄式警告政策適用於您預期會很少發生,但非常重要的事件。您不想瞭解趨勢或模式,而是想知道發生了什麼事。
記錄型快訊政策是在專案中定義,且會在符合下列條件時掃描記錄項目:
- 已啟用計費功能。
- 記錄項目來自專案。
記錄項目來源專案或記錄項目轉送至的專案中的接收器,會將記錄項目轉送至記錄 bucket。
舉例來說,假設記錄項目源自專案
A。如果專案A中的記錄接收器將記錄項目轉送至記錄 bucket,則專案A中定義的記錄指標警告政策會掃描該記錄項目。再舉一個例子,假設記錄項目源自專案
X,且專案X中的記錄接收器將記錄項目轉送至專案Y。如果專案Y中的接收器將記錄項目轉送至記錄 bucket,則專案X和專案Y中定義的記錄檔式警告政策會掃描該記錄項目。
您無法使用記錄檔快訊政策,監控源自資料夾、帳單帳戶或機構的記錄項目,也無法監控未儲存在記錄檔 bucket 中的記錄項目。如果您建立匯總接收器,這些接收器可能會攔截記錄項目,並防止記錄項目轉送至記錄項目來源專案中的接收器。
如要瞭解如何建立以記錄為基礎的快訊政策,請參閱「設定以記錄為基礎的快訊政策」。
監控 SQL 查詢結果
您可以設定警報政策,使用記錄檔分析工具對記錄項目資料執行 SQL 查詢。如果想根據記錄警報政策無法評估的模式 (例如記錄項目中的複雜模式或記錄資料的匯總) 接收通知,這類警報政策就非常實用。詳情請參閱「使用快訊政策監控 SQL 查詢結果」。
比較警報選項
本節將比較以記錄指標為基礎的警告政策、以記錄為基礎的警告政策,以及以 SQL 為基礎的警告政策。
摘要表格
下表彙整了各種快訊技術,並提供其他資訊的連結:
| 以指標為準的快訊政策 | 以記錄為準的快訊政策 | 以 SQL 為基礎的快訊政策 | 更多資訊 |
|---|---|---|---|
| 根據從記錄項目衍生的指標 | 根據個別記錄項目的字串 | 根據對記錄檔項目執行的 SQL 查詢傳回的資料表 | 記錄指標 記錄警報 以 SQL 為基礎的警報 |
| 用於通知您隨時間變化的趨勢 | 用於在記錄檔中出現特定訊息時通知您 | 用於在記錄檔項目視窗中通知您某種模式 | 記錄指標 記錄警報 以 SQL 為基礎的警報 |
計算依據:
|
僅比對包含的記錄項目 | 根據滑動區間中的記錄項目計算 | 可用的記錄檔項目 以 SQL 為基礎的警報 |
| 對限定範圍專案指標範圍內所有專案的指標執行作業 | 對符合下列條件的記錄項目執行作業:
|
對可透過連結資料集存取的記錄檢視畫面執行作業。連結的資料集可位於任何專案中。 | 指標範圍 已連結的資料集 |
| 當指標值在指定時間內符合條件時,系統就會建立事件 | 每當特定記錄項目符合篩選條件時,系統就會建立事件 | 查詢結果資料表符合條件時,系統會建立事件 | 事件和通知 |
| 在「監控」中建立及管理 | 在 Logging 中建立, 在 Monitoring 中管理 |
在記錄檔分析中建立,在監控中管理 | 建立及管理快訊政策 以 SQL 為基礎的快訊 |
| 在 Monitoring 中查看 | 在 Monitoring 中查看 | 在 Monitoring 中查看 | 查看快訊政策 |
| 可以使用 Monitoring 支援的任何通知管道 | 可以使用 Monitoring 支援的任何通知管道 | 可以使用 Monitoring 支援的任何通知管道 | 通知管道 |
可用的記錄項目
使用者定義的記錄指標是根據 Logging API 為 Google Cloud 專案接收的所有記錄項目計算而得,不論 Google Cloud 專案是否套用任何納入篩選器或排除篩選器。如果您根據使用者定義的記錄指標建立快訊政策,該政策就會監控所有記錄項目的資料。
系統定義的記錄指標只會根據Google Cloud 專案中記錄 bucket 儲存的記錄項目計算。如果記錄已明確排除,就不會包含在這些指標中。如果根據系統定義的記錄指標建立快訊政策,該政策只會監控所含記錄項目的資料。
記錄型快訊政策是在專案中定義,且會在符合下列條件時掃描記錄項目:
- 已啟用計費功能。
- 記錄項目來自專案。
記錄項目來源專案或記錄項目轉送至的專案中的接收器,會將記錄項目轉送至記錄 bucket。
舉例來說,假設記錄項目源自專案
A。如果專案A中的記錄接收器將記錄項目轉送至記錄 bucket,則專案A中定義的記錄指標警告政策會掃描該記錄項目。再舉一個例子,假設記錄項目源自專案
X,且專案X中的記錄接收器將記錄項目轉送至專案Y。如果專案Y中的接收器將記錄項目轉送至記錄 bucket,則專案X和專案Y中定義的記錄檔式警告政策會掃描該記錄項目。
您無法使用記錄檔快訊政策,監控源自資料夾、帳單帳戶或機構的記錄項目,也無法監控未儲存在記錄檔 bucket 中的記錄項目。如果您建立匯總接收器,這些接收器可能會攔截記錄項目,並防止記錄項目轉送至記錄項目來源專案中的接收器。
以 SQL 為基礎的警告政策會查詢記錄檔 bucket 中的記錄檢視區塊。 這些記錄檔 bucket 必須升級才能使用 Log Analytics,然後連結至 BigQuery 資料集。如要進一步瞭解以 SQL 為基礎的快訊政策,請參閱「使用快訊政策監控 SQL 查詢結果」。
監控多項專案的指標
您可以設定指標範圍,監控多項專案的指標。指標範圍會列出所有監控的專案和帳戶。限定範圍專案會代管指標範圍。範圍專案會儲存您為指標範圍建立的警告政策和其他設定。指標範圍的範圍界定專案,是透過 Google Cloud 控制台專案挑選器選取的專案。
以記錄指標為準的警告政策,與以其他指標為準的警告政策一樣,適用於範圍專案指標範圍內的所有專案。
指標範圍與以記錄項目為準的快訊政策無關,例如以記錄為準和以 SQL 為準的政策。
如要進一步瞭解指標範圍 (包括多專案指標範圍) 和限定範圍專案,請參閱下列文章:
事件和通知
當符合快訊政策的條件時,Monitoring 會開啟事件,並將通知傳送至快訊政策的通知管道。如要查看事件詳細資料,請按一下通知訊息中的「查看事件」,或直接前往 Monitoring 的「事件」頁面。
以指標為準的快訊政策事件
與 Monitoring 中的所有其他指標式警告政策一樣,以記錄指標為基礎的警告政策會建立事件和通知,如「警告行為」一文所述。如要進一步瞭解如何管理以指標為準的警告政策事件,請參閱「以指標為準的警告政策事件」。
以記錄為準的警告政策事件
當 Cloud Logging 將記錄項目寫入記錄 bucket 時,每個以記錄為準的快訊政策都會掃描該記錄項目。如果記錄項目符合快訊政策的篩選條件,Cloud Logging 會擷取標籤,並將資料轉送至 Cloud Monitoring。
收到 Cloud Logging 的資料後,Cloud Monitoring 會根據下列規則判斷要採取的動作:
如果快訊政策沒有未解決的事件,Monitoring 會開啟新事件並傳送通知。
如果系統已擷取標籤,事件的識別資訊就會包含這些標籤。
如果已結案的事件的擷取標籤值,與目前記錄項目的擷取標籤值相符,Monitoring 會重新開啟已結案的事件,或開啟新事件。Monitoring 會根據已結案事件是否已清除,決定要採取哪些動作,這可能需要最多三分鐘。
如果目前記錄項目的標籤值與未結事件的標籤值相符,系統會再次傳送通知,或不採取任何行動。系統行為取決於快訊政策是否超出事件或通知限制。
每項以記錄為準的快訊政策都有下列限制:
每天最多 20 起事件。
達到上限時,通知會顯示類似下列的訊息:「每日事件數已達上限 (20 件)。這項政策的事件將在 24 小時內恢復。」
每分鐘最多 2 件新事件。
如果記錄式警告政策擷取標籤值,這項限制可能會導致您無法收到預期通知。舉例來說,假設記錄式警告政策擷取一個標籤,該標籤有五個可能值。在任何一分鐘間隔內,系統最多可開啟 2 起事件。
未解決事件的重複通知間隔時間下限為 5 分鐘。建立或編輯警告政策時,可以設定這個間隔。
當自動關閉期限指定的時間範圍結束,且事件原因未重複發生時,事件就會自動關閉。預設的自動關閉時間為 7 天。由於事件會重複發生,因此事件開啟時間可能會超過自動關閉期限。
如要進一步瞭解如何管理記錄檔型快訊政策的事件,請參閱「管理記錄檔型快訊政策的事件」。
以 SQL 為準的警告政策事件
如果是以 SQL 為基礎的警告政策,當 SQL 查詢結果首次符合政策中指定的條件時,Cloud Monitoring 就會建立事件。每個快訊政策只能有一個未解決事件。事件開啟期間,如果再次符合條件,Monitoring 不會建立其他事件或傳送額外通知。除非您設定較短的事件結案期限或自行結案,否則 Monitoring 會在七天後關閉以 SQL 為基礎的事件。
如要進一步瞭解如何管理以 SQL 為基礎的快訊政策事件,請參閱「管理以 SQL 為基礎的快訊政策事件」。
建立及管理快訊政策
您可以在 Cloud Monitoring 中建立、修改及刪除以記錄指標為準的警告政策,就像其他以指標為準的警告政策一樣。詳情請參閱「管理政策」。
您可以使用記錄檔探索工具或 Cloud Monitoring API,建立記錄指標快訊政策。您可以在 Monitoring 中或使用 Cloud Monitoring API,修改及刪除記錄型快訊政策。詳情請參閱「管理記錄型快訊政策」。
您可以使用記錄檔分析工具或 Cloud Monitoring API,建立以 SQL 為基礎的快訊政策。您可以在 Monitoring 中修改及刪除以 SQL 為基礎的快訊政策,也可以使用 Cloud Monitoring API 進行這項操作。詳情請參閱「使用快訊政策監控 SQL 查詢結果」。
查看快訊政策
「監控」的「政策」頁面會列出 Google Cloud 專案中的所有警報政策。這份清單包含使用記錄指標和記錄警告政策的政策。
-
前往 Google Cloud 控制台的 notifications「Alerting」(警告) 頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 選取「查看所有政策」。
以記錄為準的快訊政策會顯示在清單中,且「類型」欄中的值為 Logs。以指標為依據的警報政策 (包括記錄式指標) 會顯示在清單中,「類型」欄中的值為 Metrics。以 SQL 為基礎的快訊政策會顯示在清單中,且「類型」欄中的值為 SQL。
以下螢幕截圖顯示政策清單的摘錄內容:
通知管道
您可以將任何類型的快訊政策通知傳送至 Monitoring 支援的任何通知管道。您必須先設定好這些管道,才能在快訊政策中使用。
詳情請參閱「管理通知管道」。
授權規定
使用記錄指標或記錄警報政策時,必須同時授權 Cloud Logging 和 Cloud Monitoring。
如要瞭解使用者定義的記錄指標,請參閱「記錄指標的權限」。
如要瞭解記錄警告政策的權限,請參閱這篇文章。
如要瞭解以 SQL 為基礎的警告政策,請參閱以 SQL 為基礎的警告政策權限。
費用與限制
如果您定義自己的記錄指標,則適用下列事項:
- 使用者定義的記錄指標數量和結構設有限制。如要進一步瞭解這些限制,請參閱記錄指標的限制。
- 使用者定義的記錄指標可能會產生費用。 如要進一步瞭解指標擷取作業的相關費用,請參閱「Google Cloud Observability 定價」。
- 以 SQL 為基礎的快訊政策會在 Google Cloud 專案的 BigQuery 預留位置中執行。您可能需要支付 BigQuery 預留項目的費用。如要進一步瞭解 BigQuery 預留項目相關費用,請參閱 BigQuery 定價。
使用以記錄檔為準指標的快訊政策不會產生任何費用。
下列與快訊政策相關的 Monitoring 限制適用於:
| 類別 | 值 | 政策類型1 |
|---|---|---|
| 警告政策 (指標和記錄的總和) 每項指標範圍 2 | 2,000 | 指標、記錄 |
| 每個以指標為準的快訊政策的條件 | 6 | 指標 |
| 每個以 SQL 為基礎的警告政策 (公開搶先版) 的條件 |
1 | SQL |
以 SQL 為基礎的警告政策 (公開測試版) 查詢執行時間上限 |
5 分鐘 | SQL |
| 缺少指標條件的評估時間範圍上限 3 |
1 天 | 指標 |
| 指標門檻值條件的評估時間上限3 |
23 個小時 30 分鐘 | 指標 |
| 指標門檻值條件中使用的篩選器長度上限 |
2,048 個 Unicode 字元 | 指標 |
| 預測條件監控的時間序列數量上限 |
64 | 指標 |
| 最短預測期間 | 1 小時 (3,600 秒) | 指標 |
| 最長預測期間 | 2.5 天 (216,000 秒) | 指標 |
| 每個快訊政策的通知管道 | 16 | 全部 |
| 每個記錄檔型快訊政策的新事件數量上限 |
每天 20 起事件 | 記錄 |
| 每個記錄型快訊政策最多可發送 4 則通知 |
每天 20 則通知 | 記錄 |
| 每個記錄檔型快訊政策的新事件發生率上限 |
每分鐘 2 起新事件 | 記錄 |
| 每個記錄快訊政策的未解決事件通知間隔下限5 |
5 分鐘 | 記錄 |
| 每個專案可同時觸發的警報政策數量上限 |
80,000 | 全部 |
| 每個快訊政策中同時存在的未解決事件數量上限 |
1,000 | 全部 |
| 事件在沒有新資料時自動關閉的期限 |
7 天 | 指標、SQL |
| 事件的效期上限 (如果未手動關閉) | 7 天 | 記錄 |
| 保留已結案的事件 | 13 個月 | 不適用 |
| 保留未結案的事件 | 無限期 | 不適用 |
| 每個指標範圍的通知管道 | 4,000 | 不適用 |
| 每次延後的快訊政策數量上限 | 16 | 全部 |
| 保留延後項目 | 13 個月 | 不適用 |
2您可以要求提高這項限制,將每個指標範圍的政策數量從預設的 2,000 項,提高至 10,000 項。
3條件評估的最長時間為對齊週期和持續時間範圍值的總和。舉例來說,如果對齊週期設為 15 小時,時間範圍設為 15 小時,則評估條件時需要 30 小時的資料。
4當通知間隔時間達到下限,且記錄項目符合事件標籤時,監控服務會針對未結事件產生通知。 如果 Monitoring 產生通知時,記錄型快訊政策處於暫緩狀態,系統會捨棄通知,不會傳送至政策的通知管道。否則,Monitoring 會將通知傳送至快訊政策的通知管道。Monitoring 產生的所有通知都會計入警告政策的每日 20 則通知上限。
5如果以記錄為準的快訊政策查詢會擷取標籤,則每個擷取的標籤值組合都會代表各自的事件時間軸。因此,您可能會在 5 分鐘內收到多則通知。