Gestire gli incidenti per i criteri di avviso basati su SQL

Un incidente è un record di quando la condizione di un criterio di avviso è soddisfatta. In genere, Cloud Monitoring apre un incidente e invia una notifica quando viene soddisfatta la condizione della criterio di avviso. Tuttavia, gli incidenti non vengono creati nelle seguenti circostanze:

• Il criterio è stato posticipato o disattivato.
• Il numero di criteri di avviso o incidenti supera i limiti esistenti per gli avvisi.

Per ogni incidente, Monitoring crea una pagina Dettagli incidente che ti consente di gestire l'incidente e che riporta le informazioni sull'incidente che possono aiutarti a risolvere il problema. Ad esempio, la pagina Dettagli incidente mostra elenchi di riepiloghi dei risultati delle query SQL e degli incidenti correlati.

Questo documento descrive come trovare gli incident. Descrive inoltre come utilizzare la pagina Dettagli incidente per gestire gli incidenti per i criteri di avviso basati su SQL, che valutano i risultati di una query SQL eseguita sui dati di gruppi di voci di log.

Questa funzionalità è supportata solo per i Google Cloud progetti. Per le configurazioni di App Hub, seleziona il progetto host di App Hub o il progetto di gestione.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per visualizzare e gestire gli incidenti, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

• Visualizza gli incidenti utilizzando Google Cloud CLI o l'API Cloud Monitoring: Visualizzatore avvisi di Monitoring (roles/monitoring.alertViewer)
• Visualizza gli incidenti utilizzando la console Google Cloud :
  • Visualizzatore incidenti di Monitoring Cloud Console (roles/monitoring.cloudConsoleIncidentViewer)
  • Stackdriver Accounts Viewer (roles/stackdriver.accounts.viewer)
• Gestisci gli incidenti utilizzando la console Google Cloud :
  • Monitoring Cloud Console Incident Editor (roles/monitoring.cloudConsoleIncidentEditor)
  • Stackdriver Accounts Viewer (roles/stackdriver.accounts.viewer)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per saperne di più sui ruoli di Cloud Monitoring, consulta Controllare l'accesso con Identity and Access Management.

Visualizza incidenti

Per visualizzare gli incidenti nel tuo progetto, utilizza la console Google Cloud , gcloud CLI (anteprima pubblica) o l'API Monitoring (anteprima pubblica).

gcloud alpha monitoring alerts describe ALERT_NAME

gcloud alpha monitoring alerts describe ALERT_NAME

gcloud alpha monitoring alerts describe ALERT_NAME

{
  "name": "projects/my-project/alerts/my-alert-id",
  "state": "OPEN",
  "open_time": "2025-06-11T09:53:46Z",
  "resource": {
    "type": "sql_alert"
  },
  "policy": {
    "name": "projects/my-project/alertPolicies/POLICY_1",
    "displayName": "test-policy"
  },
  "summaryText": "The row count SQL Condition for \"test-policy\" is above the threshold of 1."
}

gcloud alpha monitoring alerts list

gcloud alpha monitoring alerts list

gcloud alpha monitoring alerts list

{
  "alerts": [
    {
      "name": "projects/my-project/alerts/my-alert-id",
      "state": "OPEN",
      "open_time": "2025-06-11T09:53:46Z",
      "resource": {
        "type": "sql_alert"
      },
      "policy": {
        "name": "projects/my-project/alertPolicies/POLICY_1",
        "displayName": "test-policy"
      },
      "summaryText": "The row count SQL Condition for \"test-policy\" is above the threshold of 1."
    }
  ]
}

GET https://monitoring.googleapis.com/v3/projects/PROJECT_ID/alerts/ALERT_ID

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://monitoring.googleapis.com/v3/projects/PROJECT_ID/alerts/ALERT_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://monitoring.googleapis.com/v3/projects/PROJECT_ID/alerts/ALERT_ID" | Select-Object -Expand Content

{
  "name": "projects/my-project/alerts/my-alert-id",
  "state": "OPEN",
  "open_time": "2025-06-11T09:53:46Z",
  "resource": {
    "type": "sql_alert"
  },
  "policy": {
    "name": "projects/my-project/alertPolicies/POLICY_1",
    "displayName": "test-policy"
  },
  "summaryText": "The row count SQL Condition for \"test-policy\" is above the threshold of 1."
}

GET https://monitoring.googleapis.com/v3/projects/PROJECT_ID/alerts

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://monitoring.googleapis.com/v3/projects/PROJECT_ID/alerts"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://monitoring.googleapis.com/v3/projects/PROJECT_ID/alerts" | Select-Object -Expand Content

{
  "alerts": [
    {
      "name": "projects/my-project/alerts/my-alert-id",
      "state": "OPEN",
      "open_time": "2025-06-11T09:53:46Z",
      "resource": {
        "type": "sql_alert"
      },
      "policy": {
        "name": "projects/my-project/alertPolicies/POLICY_1",
        "displayName": "test-policy"
      },
      "summaryText": "The row count SQL Condition for \"test-policy\" is above the threshold of 1."
    }
  ]
}

--data-urlencode "filter=(open_time>=\"`date -u -d "1 hour ago" +"%Y-%m-%dT%H:%M:%SZ"`\")"

--data-urlencode "filter=(open_time>=\"`date -u -d "1 DAY ago" +"%Y-%m-%dT%H:%M:%SZ"`\" AND state=open)"

--data-urlencode "filter=(open_time>=\"`date -u -d "2 DAY ago" +"%Y-%m-%dT%H:%M:%SZ"`\" AND open_time<=\"`date -u -d "1 DAY ago" +"%Y-%m-%dT%H:%M:%SZ"`\")"

--data-urlencode "filter=(policy.user_labels.app=\"my-gke-app\")"

$baseUrl = "https://monitoring.googleapis.com/v3/projects/my-project/alerts"
$filterValue = (Get-Date).AddHours(-1).ToString("yyyy-MM-ddTHH:mm:ssZ")
$filter = 'open_time >= "' + $filterValue + '"'
$encodedFilter = [System.Uri]::EscapeDataString($filter)
$url = $baseUrl + "?filter=" + $encodedFilter

Indagare su un incidente

La pagina Dettagli incidente contiene informazioni che possono aiutarti a identificare la causa di un incidente.

Esplora i risultati delle query

Il riquadro Tempo totale di slot consumato al giorno mostra la quantità di tempo che gli slot BigQuery riservati hanno impiegato per eseguire le query SQL per la criterio di avviso nelle ultime 24 ore.

Il riquadro Risultati della query SQL mostra un elenco di riepiloghi dei risultati della query ogni volta che Log Analytics ha eseguito la query SQL dalla condizione del criterio di avviso. Per impostazione predefinita, l'elenco viene filtrato per mostrare solo le query che corrispondono alla condizione dellacriterio di avvisoo.

• Per visualizzare la query e la tabella dei risultati della query da un momento specifico in cui Log Analytics ha eseguito la query, fai clic su un valore della colonna Ora di esecuzione della query.
• Per alternare la visualizzazione dei soli risultati delle query che corrispondono alla condizione del criterio di avviso e di tutte le query eseguite da Log Analytics dal criterio di avviso, fai clic su Mostra solo le query che corrispondono alle condizioni di avviso.

Visualizzare informazioni supplementari

La sezione Documentazione mostra il modello di documentazione per le notifiche che hai fornito durante la creazione della criterio di avviso. Queste informazioni potrebbero includere una descrizione di ciò che monitora la norma di avviso, nonché suggerimenti per la mitigazione. Per saperne di più, consulta Annotare le notifiche con la documentazione definita dall'utente.

Se non hai configurato la documentazione per la tua criterio di avviso, il riquadro Documentazione mostra il messaggio "Nessuna documentazione configurata".

Esplora gli incidenti correlati

Per aiutarti a scoprire i problemi sottostanti nella tua applicazione, puoi esplorare gli incidenti correlati ad altre condizionicriterio di avvisoo.

Gestire gli incidenti

Gli incidenti si trovano in uno dei seguenti stati:

• error Aperto: La condizione della criterio di avviso basata su SQL è stata soddisfatta e l'incidente è ancora aperto. Se la stessa condizione viene soddisfatta di nuovo e è già aperto un incidente, non ne viene aperto uno nuovo.

• warning Confermato: L'incidente è aperto ed è stato contrassegnato manualmente come confermato. In genere, questo stato indica che l'incidente è in fase di indagine.

• check_circle Chiuso: Hai chiuso manualmente l'incidente o è stato chiuso automaticamente dopo la scadenza del periodo di chiusura automatica.

Confermare gli incidenti

Ti consigliamo di contrassegnare un incidente come riconosciuto quando inizi a esaminare la causa dell'incidente.

Per contrassegnare un incidente come riconosciuto:

1. Nella tabella Incidenti della pagina Avvisi, fai clic su Visualizza tutti gli incidenti.

2. Nella pagina Incidenti, individua l'incidente che vuoi confermare e poi esegui una delle seguenti operazioni:

   • Fai clic su more_vert Altre opzioni e seleziona Conferma.
   • Apri la pagina dei dettagli dell'incidente e fai clic su Conferma incidente.

Posticipare un criterio di avviso

Per impedire a Monitoring di creare incidenti e inviare notifiche durante un periodo di tempo specifico, posticipa il criterio di avviso correlato. Quando posticipi una criterio di avviso, gli incidenti correlati alla policy di avviso rimangono aperti, ma non causano ulteriori notifiche. Gli incidenti vengono chiusi in base alla durata di chiusura automatica criterio di avviso.

Per creare una sospensione per un incidente che stai visualizzando:

1. Nella pagina Dettagli incidente, fai clic su Posticipa policy.

2. Seleziona la durata del posticipo. Dopo aver selezionato la durata del posticipo, questo inizia immediatamente.

Puoi anche posticipare una criterio di avviso dalla pagina Incidenti individuando l'incidente che vuoi posticipare, facendo clic su more_vert Altre opzioni e selezionando Posticipa. Puoi posticipare i criteri di avviso durante le interruzioni per evitare ulteriori notifiche durante la procedura di risoluzione dei problemi.

Chiudi incidenti

Puoi lasciare che Monitoring chiuda un incidente per te oppure puoi chiuderlo tu.

Il monitoraggio chiude automaticamente un incidente quando scade la durata di chiusura automatica per il criterio di avviso. Per impostazione predefinita, la durata della chiusura automatica è di 7 giorni. La durata minima di chiusura automatica è di 30 minuti.

La durata della chiusura automatica specifica il tempo che deve trascorrere, senza una ripetizione della causa dell'incidente, prima che l'incidente venga chiuso. Per questo motivo, quando un incidente è aperto e la sua causa si ripresenta, l'incidente può rimanere aperto più a lungo della durata della chiusura automatica.

Per chiudere un incidente:

1. Nella tabella Incidenti della pagina Avvisi, fai clic su Visualizza tutti gli incidenti.

2. Nella pagina Incidenti, individua l'incidente che vuoi chiudere, quindi esegui una delle seguenti operazioni:

   • Fai clic su more_vert Visualizza altro e poi seleziona Chiudi incidente.
   • Apri la pagina Dettagli incidente per l'incidente e poi fai clic su Chiudi incidente.

Se visualizzi il messaggio Unable to close incident, riprova tra qualche minuto. Non puoi chiudere immediatamente un nuovo incidente perché le condizioni che lo hanno causato sono ancora considerate attive dal sistema di avviso.

Conservazione e limiti dei dati

Per informazioni sui limiti e sul periodo di conservazione degli incidenti, consulta Limiti per gli avvisi.

Passaggi successivi

• Per creare e gestire policy di avviso con l'API Monitoring o dalla riga di comando, consulta Gestire le policy di avviso tramite API.