Monitorare i risultati delle query SQL con una criterio di avviso

Questo documento spiega come creare una criterio di avviso per monitorare i risultati di una query eseguita in Log Analytics. Queste query sono scritte in SQL e devono eseguire query su una visualizzazione di osservabilità denominata _AllSpans. Il criterio di avviso ti invia una notifica quando il risultato della query soddisfa le condizioni specificate.

I criteri di avviso che crei dalla pagina Analisi dei log vengono eseguiti su un motore BigQuery. Pertanto, i dati su cui viene eseguita la query devono essere accessibili tramite un set di dati BigQuery collegato.

Per informazioni generali su Analisi dei log, consulta Eseguire query e analizzare le tracce con Analisi dei log.

Come funzionano i criteri di avviso

Un criterio di avviso descrive le circostanze in cui vuoi ricevere un avviso e come vuoi ricevere una notifica relativa a un incidente. Esistono diversi approcci che puoi utilizzare per ricevere una notifica quando nei dati di traccia vengono visualizzati contenuti o pattern:

  • Per monitorare il numero di intervalli Cloud Trace importati al mese, l'utilizzo della quota e la frequenza di importazione degli intervalli, crea criteri di avviso in Cloud Monitoring. Se non hai mai creato un criterio di avviso, consulta Creare criteri di avviso per informazioni dettagliate sull'utilizzo della console Cloud Monitoring.

  • Per visualizzare o esplorare singole tracce o singoli intervalli oppure visualizzare gli attributi allegati agli intervalli, utilizza la pagina Esplora tracce. Per informazioni su questa pagina, consulta Trovare ed esplorare le tracce.

  • Per monitorare l'analisi aggregata dei dati di traccia, combina l'analisi dei log con i criteri di avviso. In questo scenario, utilizzi le query SQL per eseguire query sulla vista _AllSpans nel bucket di osservabilità denominato _Trace. Infine, crei la criterio di avviso per monitorare i risultati della query SQL. Questo tipo di criterio di avvisoo è chiamato policy di avviso basata su SQL.

    Per scoprire di più su come vengono archiviati i dati di traccia, consulta la panoramica dell'archiviazione.

    Il resto di questo documento descrive come utilizzare i criteri di avviso basati su SQL.

Componenti dei criteri di avviso

Una criterio di avviso basata su SQL contiene una condizione e una pianificazione:

  • La condizione contiene la query, ovvero una query SQL che esegue query sui tuoi dati. La condizione definisce anche le circostanze in cui il risultato della query fa sì che Monitoring crei un incidente.

  • La pianificazione definisce la frequenza con cui la query viene eseguita dal criterio di avviso. La pianificazione definisce anche le dimensioni della finestra temporale, ovvero un filtro che seleziona solo i dati ricevuti dall'ultima valutazione della query. Ad esempio, se imposti la pianificazione su 60 minuti, la query viene eseguita ogni 60 minuti utilizzando una finestra di analisi che seleziona i dati più recenti degli ultimi 60 minuti.

I criteri di avviso contengono anche un elenco di canali di notifica. Quando la condizione della criterio di avviso viene soddisfatta, Cloud Monitoring crea un incidente e invia notifiche sull'incidente tramite questi canali. Un incidente è un record dei dati che hanno soddisfatto la condizione, insieme ad altre informazioni pertinenti. Queste informazioni possono aiutarti a risolvere i problemi che hanno causato l'incidente. Puoi visualizzare l'incidente utilizzando la console Google Cloud .

Tipi di valutazione per le policy di avviso basate su SQL

Le condizioni che monitorano il risultato di una query SQL supportano due tipi di valutazione:

  • Soglia di conteggio righe: la condizione è soddisfatta quando il numero di righe nel risultato della query è maggiore, uguale o inferiore a un valore di soglia.

  • Booleano: la condizione viene soddisfatta quando una specifica colonna booleana nella tabella dei risultati della query contiene una riga con un valore true.

Le policy di avviso che monitorano il risultato di una query SQL devono avere una sola condizione.

Criteri di avviso e BigQuery

Affinché un criterio di avviso esegua query sui dati di traccia, devi configurare un set di dati BigQuery collegato. I set di dati collegati consentono a BigQuery di leggere i dati di traccia e di eseguire funzioni BigQuery sui dati restituiti dalla query SQL.

Quando una criterio di avviso esegue una query SQL, questa viene eseguita sul motore BigQuery nel progetto Google Cloud in cui è definita la criterio di avviso. Per impostazione predefinita, le query eseguite sul motore BigQuery utilizzano slot on demand. Gli slot on demand e gli slot riservati sono soggetti ai prezzi di BigQuery.

Puoi anche scegliere di configurare prenotazioni di slot BigQuery dedicate per il tuo progetto:

  1. Crea una prenotazione con slot dedicati o identifica una prenotazione esistente.
  2. Crea assegnazioni di prenotazione per il tuo progetto.

Finestra temporale e tempo di propagazione dell'incidente

Quando una criterio di avviso è pianificata per valutare la sua condizione, Log Analytics ritarda l'esecuzione della query SQL di cinque minuti per consentire a Cloud Logging di indicizzare i dati ricevuti durante la finestra di ricerca. Ad esempio, se il criterio di avviso utilizza una finestra di ricerca a ritroso che termina alle 14:00, Analisi dei log non esegue la query SQL fino alle 14:05.

Se la condizione di avviso viene soddisfatta dopo l'esecuzione della query, possono essere necessari fino a due minuti aggiuntivi per la propagazione dell'incidente nel sistema.

Errori delle query

Le query emesse dai criteri di avviso basati su SQL possono non riuscire per vari motivi, tra cui:

  • L'account di servizio di monitoraggio non esiste più o non dispone più delle autorizzazioni necessarie per leggere i dati di traccia sottoposti a query.

  • Il tempo di esecuzione della query supera i cinque minuti.

  • Si verifica un errore interno.

Una query non riuscita genera una voce di log contenente l'ID della policy di avviso e lo stato di errore. Puoi utilizzare un criterio di avviso basato su log per creare un avviso quando viene registrato un errore.

Prima di iniziare

Questa sezione presuppone che tu disponga di un set di dati BigQuery collegato per i dati di traccia.

Prima di creare una criterio di avviso basata su SQL, completa i seguenti passaggi:

  1. Per ottenere le autorizzazioni necessarie per eseguire query sui dati di traccia e creare policy di avviso basate su SQL, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

  2. Verifica che l'account di servizio Monitoring esista e che disponga dei seguenti ruoli:

    1. Agente di servizio Monitoring (roles/monitoring.notificationServiceAgent) sul tuo progetto.
    2. Visualizzatore dati BigQuery (roles/bigquery.dataViewer) sul set di dati collegato.

    Se il service account Monitoring non esiste, consulta Risoluzione dei problemi: nessun service account Monitoring.

  3. Configura i canali di notifica che vuoi utilizzare per ricevere le notifiche relative agli incidenti. Ai fini della ridondanza, ti consigliamo di creare più tipi di canali di notifica. Per saperne di più, consulta la pagina Crea e gestisci canali di notifica.

Crea un criterio di avviso basato su SQL

Per creare una criterio di avviso basata su SQL:

ConsoleGoogle Cloud

  1. Nella console Google Cloud , vai alla pagina Analisi dei log:

    Vai ad Analisi dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Nella pagina Analisi dei log, nell'editor di query, inserisci una query SQL che esegua query sui dati di traccia.

  3. Nella barra degli strumenti, fai clic su Esegui su BigQuery.

    Analisi dei log esegue la query sul motore BigQuery e mostra i risultati nella tabella Risultati.

    Se Esegui su BigQuery non viene visualizzato, fai clic su Seleziona motore di query e poi su BigQuery. Il pulsante Esegui query cambia in Esegui su BigQuery.

  4. Nella tabella Risultati della pagina Log Analytics, fai clic su  Crea avviso.

    La pagina Analisi dei log mostra la finestra Crea policy di avviso SQL, che mostra la query nella sezione Query SQL.

  5. Nella sezione Condizione di avviso, configura la condizione e la pianificazione del criterio di avviso.

  6. Configura i dettagli dell'avviso del criterio di avviso.

    1. Aggiungi canali di notifica e configura i contenuti delle notifiche, ad esempio una riga dell'oggetto personalizzata.

    2. (Facoltativo) Aggiungi etichette della policy di avviso e documentazione.

    3. Fai clic su Avanti.

  7. Rivedi il criterio di avviso e crealo facendo clic su Salva.

API Cloud Monitoring

Utilizza il metodo alertPolicies.create per creare programmaticamente criteri di avviso. Il tipo Condition della tua criterio di avviso deve essere MonitoringQueryLanguageCondition, che è un'istanza di SqlCondition. Questo tipo di condizione consente di definire le condizioni della tua criterio di avvisoo con SQL.

Per definire la pianificazione, imposta un valore periodicity per uno dei campi minutes, hours o days. Ad esempio, se vuoi che la query venga eseguita ogni 12 ore, imposta la periodicità del campo hours su 12.

Per definire la condizione, utilizza i seguenti campi:

  • boolean_test: configura la criterio di avviso in modo che la sua condizione sia soddisfatta quando una riga di una colonna booleana nella tabella dei risultati della query contiene un valore true.
  • row_count_test: configura la criterio di avviso in modo che la sua condizione venga soddisfatta quando il numero di righe nella tabella dei risultati della query raggiunge una determinata soglia.

Per un elenco completo di campi e definizioni, consulta SqlCondition nella documentazione dell'API Cloud Monitoring.

Per saperne di più sull'API Monitoring per le policy di avviso, consulta Gestione delle policy di avviso tramite API.

Terraform

  1. Installa e configura Terraform per il tuo progetto. Per le configurazioni di App Hub, seleziona il progetto host di App Hub o il progetto di gestione.

  2. In Cloud Shell, vai alla directory che contiene la configurazione Terraform.

  3. Nella configurazione Terraform, configura un'istanza della risorsa google_monitoring_alert_policy, inclusa condition_sql.

  4. In Cloud Shell, inserisci terraform apply.

Per modificare il criterio di avviso, apporta le modifiche e riapplica la configurazione Terraform. Per saperne di più, consulta Gestire le policy di avviso con Terraform.

Per informazioni generali sull'utilizzo di Google Cloud con Terraform, consulta Terraform con Google Cloud.

Limitazioni

  • Puoi avere una condizione per ogni criterio di avviso basata su SQL.
  • Le policy di avviso basate su SQL non possono eseguire query su una vista Analytics.

  • Le query emesse dalle policy di avviso basate su SQL non vanno a buon fine quando il tempo di esecuzione supera i cinque minuti.

  • Tra la pianificazione di una query e la creazione di un incidente intercorre un ritardo massimo di sette minuti, più il tempo di esecuzione della query.

Per un elenco completo dei limiti associati alle norme di avviso, consulta Limiti di Monitoring.

Passaggi successivi