Incidentes de políticas de alertas basadas en SQL

Un incidente es un registro de cuándo se cumple la condición de una política de alertas. Normalmente, Cloud Monitoring abre un incidente y envía una notificación cuando se cumple la condición de la política de alertas. Sin embargo, no se crean incidentes en las siguientes circunstancias:

  • La política se ha pospuesto o inhabilitado.
  • El número de políticas o incidentes de alertas supera los límites de alertas.

Por cada incidente, Monitoring crea una página Detalles del incidente que le permite gestionar el incidente y que informa sobre la información del incidente que puede ayudarle a solucionar el problema. Por ejemplo, en la página Detalles del incidente se muestran listas de resúmenes de resultados de consultas SQL e incidentes relacionados.

En este documento se describe cómo puede encontrar sus incidencias. También se describe cómo puedes usar la página Detalles del incidente para gestionar los incidentes de las políticas de alertas basadas en SQL, que evalúan los resultados de una consulta SQL ejecutada en datos de grupos de entradas de registro.

Esta función solo se admite en proyectos de Google Cloud . En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.

Antes de empezar

Para obtener los permisos que necesitas para ver y gestionar incidencias, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Para obtener más información sobre los roles de Cloud Monitoring, consulta Controlar el acceso con Gestión de Identidades y Accesos.

Ver incidentes

Para ver los incidentes de tu proyecto, usa la Google Cloud consola, la CLI de gcloud (vista previa pública) o la API Monitoring (vista previa pública).

Google Cloud console

Para enumerar los incidentes de tu Google Cloud proyecto, haz lo siguiente:

  1. En la Google Cloud consola, ve a la página  Alertas:

    Ve a Alertas.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. En la barra de herramientas de la Google Cloud consola, selecciona tu Google Cloud proyecto. En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.

    En la página Alertas se muestra información sobre tus políticas de alertas, las alertas pospuestas y los incidentes:

    • En el panel Resumen se indica el número de incidencias abiertas.
    • En la tabla Incidentes se muestran los incidentes abiertos más recientes. Para ver los incidentes más recientes en la tabla, incluidos los que están cerrados, haga clic en Mostrar incidentes cerrados.

  3. Para ver los detalles de un incidente concreto, selecciónalo en la lista.

    Se abrirá la página Detalles del incidente. Para obtener más información sobre la página Detalles del incidente, consulta la sección Investigar un incidente de este documento.

Buscar incidentes antiguos

En la tabla Incidentes de la página Alertas se muestran los incidentes abiertos más recientes. Para ver incidentes anteriores, haz una de las siguientes acciones:

  • Para desplazarte por las entradas de la tabla Incidentes, haz clic en  Más recientes o  Más antiguos.

  • Para abrir una página en la que puede ver y filtrar sus incidentes, haga clic en Ver todos los incidentes. Se abrirá la página Incidentes. En esa página, haz lo siguiente:

    • Muestra todos los incidentes, incluidos los cerrados. Para mostrar todos los incidentes, haz clic en Mostrar incidentes cerrados.
    • Filtra incidentes. Para obtener información sobre cómo añadir filtros, consulta el artículo Filtrar incidentes.
    • Confirmar o cerrar un incidente, o posponer su política de alertas. Para acceder a estas opciones, haz clic en  Más opciones en la fila del incidente y selecciona una opción del menú. Para obtener más información, consulta Gestionar incidencias.

Filtra incidentes

Para restringir los incidentes que se muestran en la tabla, añade filtros. Si añade varios filtros, en la tabla solo se mostrarán los incidentes que cumplan todos los filtros.

Para filtrar la tabla de incidencias, siga estos pasos:

  1. En la página Incidentes, haga clic en  Filtrar tabla y, a continuación, seleccione una propiedad de filtro. Las propiedades de filtro incluyen las siguientes:

    • Estado del incidente
    • Nombre de la política de alertas
    • Cuándo se abrió o cerró el incidente

  2. Selecciona un valor en el menú secundario o introduce un valor en la barra de filtros.

    En la tabla Incidentes se muestra el filtro.

gcloud

Puedes usar gcloud para obtener incidentes y enumerarlos.

Get incident

Antes de usar cualquiera de los datos de los comandos que se indican a continuación, haz las siguientes sustituciones:

  • ALERT_NAME: nombre del recurso de la alerta. Por ejemplo, projects/my-project/alerts/my-alert-id.

Ejecuta el comando gcloud alpha monitoring alerts describe:

Linux, macOS o Cloud Shell

gcloud alpha monitoring alerts describe ALERT_NAME

Windows (PowerShell)

gcloud alpha monitoring alerts describe ALERT_NAME

Windows (cmd.exe)

gcloud alpha monitoring alerts describe ALERT_NAME
 El comando devuelve una respuesta con detalles de la alerta, como el estado de la alerta, las etiquetas asociadas y la política de alertas de origen. Ten en cuenta que las etiquetas de la respuesta pueden cambiar mientras esta función esté en versión preliminar. La respuesta será similar a la siguiente: 
{
  "name": "projects/my-project/alerts/my-alert-id",
  "state": "OPEN",
  "open_time": "2025-06-11T09:53:46Z",
  "resource": {
    "type": "sql_alert"
  },
  "policy": {
    "name": "projects/my-project/alertPolicies/POLICY_1",
    "displayName": "test-policy"
  },
  "summaryText": "The row count SQL Condition for \"test-policy\" is above the threshold of 1."
}

Mostrar incidentes

Puede enumerar los incidentes de su proyecto y filtrar los resultados con gcloud CLI.

Antes de usar cualquiera de los datos de los comandos que se indican a continuación, haz las siguientes sustituciones:

  • PROJECT_ID: identificador del proyecto.

Ejecuta el comando gcloud alpha monitoring alerts list:

Linux, macOS o Cloud Shell

gcloud alpha monitoring alerts list

Windows (PowerShell)

gcloud alpha monitoring alerts list

Windows (cmd.exe)

gcloud alpha monitoring alerts list
 El comando devuelve una respuesta con detalles de la alerta, como el estado de la alerta, las etiquetas asociadas y la política de alertas de origen. Ten en cuenta que las etiquetas de la respuesta pueden cambiar mientras esta función esté en versión preliminar. La respuesta será similar a la siguiente: 
{
  "alerts": [
    {
      "name": "projects/my-project/alerts/my-alert-id",
      "state": "OPEN",
      "open_time": "2025-06-11T09:53:46Z",
      "resource": {
        "type": "sql_alert"
      },
      "policy": {
        "name": "projects/my-project/alertPolicies/POLICY_1",
        "displayName": "test-policy"
      },
      "summaryText": "The row count SQL Condition for \"test-policy\" is above the threshold of 1."
    }
  ]
}
También puede usar las siguientes marcas opcionales para filtrar, ordenar o modificar el resultado:

  • --filter: proporciona una expresión de filtro para filtrar las alertas por hora o por etiqueta. Por ejemplo, puedes filtrar por hora con --filter='close_time>="2025-09-10T00:00:00Z"' o por etiqueta con --filter='resource.labels.key="value"'.

  • --sort-by: lista separada por comas de los campos por los que se debe ordenar el resultado. Por ejemplo, --sort-by=open_time.

  • --uri: el comando genera una lista de URIs de recursos en lugar de la salida predeterminada.

  • --limit: asigna a esta marca el valor 2 o uno superior para limitar el número de alertas devueltas. No uses esta marca junto con la marca --filter.

API de Monitoring

Puedes usar la API Monitoring para obtener incidentes y enumerarlos.

Get incident

Para obtener información sobre un solo incidente con la API Monitoring, usa el método alerts.get.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: identificador del proyecto.
  • ALERT_ID: el ID de la alerta.

Método HTTP y URL: 

GET https://monitoring.googleapis.com/v3/projects/PROJECT_ID/alerts/ALERT_ID

Para enviar tu solicitud, despliega una de estas opciones:

El comando devuelve una respuesta con detalles de la alerta, como el estado de la alerta, las etiquetas asociadas y la política de alertas de origen. Ten en cuenta que las etiquetas de la respuesta pueden cambiar mientras esta función esté en versión preliminar. La respuesta será similar a la siguiente: 
{
  "name": "projects/my-project/alerts/my-alert-id",
  "state": "OPEN",
  "open_time": "2025-06-11T09:53:46Z",
  "resource": {
    "type": "sql_alert"
  },
  "policy": {
    "name": "projects/my-project/alertPolicies/POLICY_1",
    "displayName": "test-policy"
  },
  "summaryText": "The row count SQL Condition for \"test-policy\" is above the threshold of 1."
}

Mostrar incidentes

Para enumerar los incidentes de tu proyecto y filtrar los resultados con la API Monitoring, usa el método alerts.list.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: identificador del proyecto.

Método HTTP y URL: 

GET https://monitoring.googleapis.com/v3/projects/PROJECT_ID/alerts

Para enviar tu solicitud, despliega una de estas opciones:

El comando devuelve una respuesta con detalles de la alerta, como el estado de la alerta, las etiquetas asociadas y la política de alertas de origen. Ten en cuenta que las etiquetas de la respuesta pueden cambiar mientras esta función esté en versión preliminar. La respuesta será similar a la siguiente: 
{
  "alerts": [
    {
      "name": "projects/my-project/alerts/my-alert-id",
      "state": "OPEN",
      "open_time": "2025-06-11T09:53:46Z",
      "resource": {
        "type": "sql_alert"
      },
      "policy": {
        "name": "projects/my-project/alertPolicies/POLICY_1",
        "displayName": "test-policy"
      },
      "summaryText": "The row count SQL Condition for \"test-policy\" is above the threshold of 1."
    }
  ]
}
Los usuarios de Curl pueden añadir la marca --data-urlencode seguida de una expresión de filtro para filtrar las alertas por hora o etiqueta. Consulta los siguientes ejemplos:

Lista de alertas que se han abierto en la última hora:

--data-urlencode "filter=(open_time>=\"`date -u -d "1 hour ago" +"%Y-%m-%dT%H:%M:%SZ"`\")"

Lista y filtra las alertas que están abiertas del último día:

--data-urlencode "filter=(open_time>=\"`date -u -d "1 DAY ago" +"%Y-%m-%dT%H:%M:%SZ"`\" AND state=open)"

Lista y filtra las alertas que se abrieron entre dos periodos:

--data-urlencode "filter=(open_time>=\"`date -u -d "2 DAY ago" +"%Y-%m-%dT%H:%M:%SZ"`\" AND open_time<=\"`date -u -d "1 DAY ago" +"%Y-%m-%dT%H:%M:%SZ"`\")"

Lista y filtra alertas por etiqueta de usuario. En este ejemplo, se filtra por una etiqueta de usuario con el nombre app y el valor my-gke-app:

--data-urlencode "filter=(policy.user_labels.app=\"my-gke-app\")"
Los usuarios de PowerShell pueden usar el siguiente ejemplo para añadir un filtro basado en el tiempo a la URL de su solicitud: 
$baseUrl = "https://monitoring.googleapis.com/v3/projects/my-project/alerts"
$filterValue = (Get-Date).AddHours(-1).ToString("yyyy-MM-ddTHH:mm:ssZ")
$filter = 'open_time >= "' + $filterValue + '"'
$encodedFilter = [System.Uri]::EscapeDataString($filter)
$url = $baseUrl + "?filter=" + $encodedFilter

Investigar un incidente

La página Detalles del incidente contiene información que puede ayudarte a identificar la causa de un incidente.

Consultar los resultados de las consultas

El panel Tiempo total de ranura consumido al día muestra la cantidad de tiempo que han dedicado tus ranuras de BigQuery reservadas a ejecutar las consultas de SQL de la política de alertas en las últimas 24 horas.

El panel Resultados de la consulta de SQL muestra una lista de resúmenes de los resultados de la consulta cada vez que Analíticas de registros ejecuta la consulta de SQL de la condición de la política de alertas. De forma predeterminada, la lista se filtra para mostrar solo las consultas que coinciden con la condición de la política de alertas.

  • Para ver la consulta y la tabla de resultados de la consulta de un momento específico en el que Log Analytics ejecutó la consulta, haga clic en un valor de la columna Tiempo de ejecución de la consulta.
  • Para alternar entre mostrar solo los resultados de las consultas que coincidan con la condición de la política de alertas y todas las consultas que Log Analytics haya ejecutado a partir de la política de alertas, haga clic en Mostrar solo las consultas que coincidan con las condiciones de las alertas.

Ver información complementaria

En la sección Documentación se muestra la plantilla de documentación de las notificaciones que proporcionaste al crear la política de alertas. Esta información puede incluir una descripción de lo que monitoriza la política de alertas, así como consejos para mitigar los problemas. Para obtener más información, consulta Anotar notificaciones con documentación definida por el usuario.

Si no has configurado la documentación de tu política de alertas, en el panel Documentación se mostrará el mensaje "No se ha configurado ninguna documentación".

Para ayudarte a descubrir los problemas subyacentes de tu aplicación, puedes consultar los incidentes relacionados con otras condiciones de la política de alertas.

En la sección Incidentes relacionados se muestra una lista de otros incidentes que se crearon cuando se cumplió la condición de la política de alertas.

Gestionar incidentes

Los incidentes pueden tener uno de los siguientes estados:

  •  Abierta: Se ha cumplido la condición de la política de alertas basada en SQL y el incidente sigue abierto. Si se vuelve a cumplir la misma condición y ya hay un incidente abierto, no se abrirá otro.

  •  Registrado: el incidente está abierto y se ha marcado manualmente como registrado. Normalmente, este estado indica que se está investigando el incidente.

  •  Cerrado: Has cerrado el incidente manualmente o se ha cerrado automáticamente después de que haya finalizado el periodo de cierre automático.

Registrar incidentes

Te recomendamos que marques un incidente como confirmado cuando empieces a investigar la causa del incidente.

Para marcar un incidente como confirmado, siga estos pasos:

  1. En la tabla Incidentes de la página Alertas, haga clic en Ver todos los incidentes.

  2. En la página Incidentes, busca el incidente que quieras confirmar y, a continuación, haz una de las siguientes acciones:

    • Haz clic en  Más opciones y, a continuación, selecciona Confirmar.
    • Abre la página de detalles del incidente y haz clic en Confirmar incidente.

Posponer una política de alertas

Para evitar que Monitoring cree incidentes y envíe notificaciones durante un periodo específico, pospón la política de alertas relacionada. Cuando aplazas una política de alertas, los incidentes relacionados con ella permanecen abiertos, pero no provocan más notificaciones. Los incidentes se cierran en función de la duración de cierre automático de la política de alertas.

Para posponer una alerta de un incidente que estés viendo, haz lo siguiente:

  1. En la página Detalles del incidente, haz clic en Aplazar política.

  2. Selecciona la duración de la repetición. Después de seleccionar la duración de la repetición, esta empezará inmediatamente.

También puedes posponer una política de alertas desde la página Incidentes. Para ello, busca el incidente que quieras posponer, haz clic en  Más opciones y, a continuación, selecciona Posponer. Puedes posponer las políticas de alertas durante las interrupciones para evitar que se envíen más notificaciones durante el proceso de solución de problemas.

Cerrar incidentes

Puedes dejar que la monitorización cierre un incidente o cerrarlo tú mismo.

La monitorización cierra automáticamente un incidente cuando caduca el periodo de cierre automático de la política de alertas. De forma predeterminada, la duración del cierre automático es de 7 días. La duración mínima de cierre automático es de 30 minutos.

La duración del cierre automático especifica el tiempo que debe transcurrir, sin que se repita la causa del incidente, antes de que se cierre. Por este motivo, cuando un incidente está abierto y se vuelve a producir la causa, el incidente puede permanecer abierto más tiempo que la duración del cierre automático.

Para cerrar un incidente, sigue estos pasos:

  1. En la tabla Incidentes de la página Alertas, haga clic en Ver todos los incidentes.

  2. En la página Incidentes, busque el incidente que quiera cerrar y, a continuación, haga una de las siguientes acciones:

    • Haz clic en  Ver más y, a continuación, selecciona Cerrar incidencia.
    • Abre la página Detalles del incidente de ese incidente y haz clic en Cerrar incidente.

Si ves el mensaje Unable to close incident, vuelve a intentarlo en unos minutos. No puedes cerrar un incidente nuevo inmediatamente porque el sistema de alertas sigue considerando que las condiciones que lo han provocado están activas.

Conservación y límites de los datos

Para obtener información sobre los límites y el periodo de conservación de los incidentes, consulta Límites de las alertas.

Siguientes pasos