文档首页> 云日志服务 LTS> 用户指南(阿布扎比区域)> 日志告警> 关键词告警
更新时间:2023-11-29 GMT+08:00
查看PDF

关键词告警

LTS支持对日志流中的日志数据进行关键词统计,通过设置告警规则,监控日志中的关键词,通过在一定时间段内,统计日志中关键字出现的次数,实时监控服务运行状态。目前每个帐户最多可以创建关键词告警共200个。

前提条件

已创建日志组、日志流。

创建告警规则

  1. 在云日志服务管理控制台,单击“告警”。
  2. 在告警页面默认显示“告警列表”,单击“告警规则”切换至告警规则页面。
  3. 单击“创建”,在界面右侧弹出“新建告警规则”页面。
  4. 在“新建告警规则”页面,配置告警规则相关参数。

    表1 配置告警规则参数

    参数名称

    说明

    校验规则

    样例

    规则名称

    告警规则的名称。

    说明:

    告警创建完成后,支持修改规则名称,修改完成后,鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称。

    名称只支持输入英文、数字、中文、中划线、下划线及小数点,且不能以小数点、下划线开头或以小数点结尾。长度为 1-64个字符。

    LTS-Alarm

    描述

    对该规则进行简要描述。

    长度不能超过64个字符。

    -

    统计类型

    选择关键词统计。

    -

    关键词统计

    日志组名称

    选择已创建的日志组。

    -

    -

    企业项目

    选择已创建的企业项目。

    如果当前帐号未开通企业项目则不显示该参数。

    -

    -

    日志流名称

    选择已创建的日志流。

    -

    -

    关键词

    设置关键词,LTS会根据设置的关键词对日志流中的日志进行监控。

    关键词支持精确匹配和模糊匹配,区分大小写,输入长度不超过1024个字符。

    hostIP:192

    查询时间

    指定关键词的查询周期。查询关键词时间范围:从当前时间往前推一个周期。例如:查询时间设置为1小时,当前时间为9:00,则查询关键词的时间范围为8:00-9:00。

    • 如果查询时间单位为分钟,则取值范围是1-60;
    • 如果查询时间单位为小时,则取值范围是1-24。

    -

    1小时

    统计周期

    条件表达式查询的频率可以设置为:

    • 每小时:表示整点小时查询。
    • 每天:需要指定几点整查询。
    • 每周:需要指定周几的几点整查询。
    • 固定间隔:自定义间隔周期,需要指定1-60分钟/1-24小时。例如:当前时间为9:00,固定间隔设置为5分钟,则第一次查询时间为9:00,第二次查询时间为9:05,第三次查询时间为9:10.....
      说明:

      当查询时间大于1小时,固定间隔时间最小取值为5分钟。

    • CRON表达式:CRON表达式的最小精度为分钟,格式为24小时制,示例如下:
      • 0/10 * * * *从00:00开始,每隔整10分钟查询一次,分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如:当前时间为16:37,下一次查询时间为16:50。
      • 0 0/5 * * *从00:00开始,每隔5小时查询一次,分别为0时、5时、10时、15时、20时。例如:当前时间为16:37,下一次查询时间为20:00。
      • 0 14 * * *每天14:00查询一次。
      • 0 0 10 * *每月10日00:00查询一次。

    -

    每天 01:00

    匹配条数

    当关键词搜索结果的日志条数达到设定的条数时,会触发告警。

    支持大于(>)、大于等于(>=)、小于(<)、小于等于(<=)4种比较运算符。

    日志条数支持最小值: 1,最大值: 2147483647。

    >10

    触发条件

    配置触发条件,即满足该条件时,会触发告警。

    统计周期次数指上面设置的统计周期;满足条件次数指设置的关键词。配置的统计周期次数须大于等于满足触发条件次数。

    统计周期次数最小值为1,最大值为10。

    4,2

    恢复策略

    配置恢复策略,即满足该策略时,会发送告警恢复通知。

    配置的最近统计周期次数内,如果不满足触发条件且开启恢复时通知开关,则会发送恢复告警通知。

    最近统计周期次数最小值为3,最大值为10。

    3

    恢复时通知

    用于发送恢复告警通知。默认为关闭状态。

    开启该按钮,当满足恢复策略时,会发送恢复告警通知;未开启该按钮,当满足恢复策略时,不会发送恢复告警通知。

    -

    开启

    触发告警级别

    包括“紧急”、“重要”、“次要”、“提示”,默认“紧急”。

    -

    紧急

    发送通知

    包括“不发送”、“发送”,默认“不发送”。

    -

    不发送

    告警主题

    当“发送通知”中选择“发送”时,需要在下拉框选择该告警的主题、配置时区/语言和消息模板,其中告警主题可多选。

    若没有您想要选择的主题,请单击创建主题,在消息通知服务控制台创建主题。详细操作请参考创建主题

    若您需要修改时区/语言,可单击“修改”,在帐号中心里进行设置。

    若没有可选的消息模板,可单击创建消息模板

    当“发送通知”中选择“发送”时,该参数为必选。

    -
    图1 新建告警规则

  5. 单击“确定”,完成对关键词告警规则的创建。

    也可以在日志管理>日志流>原始日志页面中单击右上角的,选择“告警规则”页签,可创建告警规则。

    告警规则创建完成后,默认开启状态按钮。当开启该按钮且关联日志流满足告警规则时,会触发告警;当关闭该按钮,即使有满足该告警规则的情况,也不会触发告警。

告警规则后续操作

  • 支持对单个告警规则进行如下操作:

    修改告警规则:单击告警规则所在行后的按钮,根据表1修改具体参数,支持修改规则名称,修改完成后,鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称。

    开启告警规则:单击告警规则所在行后的按钮(关闭告警规则后,才会显示开启按钮),开启告警规则。

    关闭告警规则:单击告警规则所在行后的按钮(开启告警规则后,才会显示关闭按钮),关闭告警规则。

    临时关闭告警规则:单击告警规则所在行后的按钮,设置临时关闭的截止时间。

    复制告警规则:单击告警规则所在行后的按钮,复制告警规则。

    删除告警规则:单击告警规则所在行后的按钮,单击“确定”删除该规则。

  • 勾选多个告警规则后,支持对多个告警进行批量操作:开启、关闭、临时关闭、取消临时关闭、告警恢复开启、告警恢复关闭、删除。
父主题: 日志告警