文档首页/ 云日志服务 LTS/ 更多文档/ 用户指南(吉隆坡区域)/ 日志告警/ 配置日志告警规则
更新时间:2025-03-21 GMT+08:00
查看PDF
分享

配置日志告警规则

LTS支持对日志流中的日志数据进行关键词告警,通过设置告警规则,实时监控服务运行状态。目前每个账号最多可以创建关键词告警共200个。

前提条件

已创建日志组、日志流,请参考管理日志组管理日志流

创建关键词告警规则

LTS支持对日志流中的日志数据进行关键词统计,通过设置告警规则,监控日志中的关键词,统计一定时间段内的日志中关键字出现的次数,实时监控服务运行状态。

  1. 登录管理控制台,选择“管理与部署 > 云日志服务 LTS”,进入“日志管理”页面。
  2. 左侧导航选择“日志告警”。
  3. 单击“告警规则”。
  4. 在“告警规则”页签,单击“创建”,在界面右侧弹出“新建告警规则”页面。
  5. 在“新建告警规则”页面,配置告警规则相关参数。

    表1 关键词告警参数说明

    参数类别

    参数名称

    参数说明

    基本信息

    规则名称

    告警规则的名称。名称只支持输入英文、数字、中文、中划线、下划线,且不能以中划线、下划线开头或结尾。

    告警创建完成后,支持修改规则名称,修改完成后,鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称,不支持修改首次创建的原始名称。

    描述

    对该规则进行简要描述。

    统计分析

    统计类型

    勾选关键词统计:适用于使用关键词搜索配置日志告警的场景。

    查询条件

    日志组名称:选择已创建的日志组。

    日志流名称:选择已创建的日志流。

    当日志组下有多个日志流时,支持选择多个日志流,即可批量创建关键词告警。

    查询时间:指定语句的查询周期。查询语句的时间范围:从当前时间往前推一个周期。例如:查询时间设置为1小时,当前时间为9:00,则查询语句的时间范围为8:00-9:00。

    • 如果查询时间单位为分钟,则取值范围是1-60;
    • 如果查询时间单位为小时,则取值范围是1-24。

    关键词:根据业务需要,选取在日志搜索能查到的日志关键字,LTS会根据设置的关键词对日志流中的日志进行监控。

    关键词支持精确匹配和模糊匹配,区分大小写,输入长度不超过1024个字符。如何设置关键词搜索请参考LTS搜索语法介绍

    检测规则

    配置触发条件,即满足该条件时,会触发告警。

    匹配条数:当关键词搜索结果的日志条数达到设定的条数时,会触发告警。支持大于(>)、大于等于(>=)、小于(<)、小于等于(<=)4种比较运算符。

    • 单击+增加条件表达式(or),最多支持增加20条。
    • 单击删除条件表达式。

    统计周期次数指高级设置的统计周期;满足条件次数是指设置的关键词。配置的统计周期次数须大于等于满足触发条件次数。

    • 触发告警级别包括“紧急”、“重要”、“次要”、“提示”,默认“紧急”。
    • 统计周期次数最小值为1,最大值为10。

    高级设置

    统计周期

    条件表达式查询的频率可以设置为:

    • 每小时:表示整点小时查询。
    • 每天:需要指定几点整查询。
    • 每周:需要指定周几的几点整查询。
    • 固定间隔:自定义间隔周期,需要指定1-60分钟/1-24小时。例如:当前时间为9:00,固定间隔设置为5分钟,则第一次查询时间为9:00,第二次查询时间为9:05,第三次查询时间为9:10.....

      当查询时间大于1小时,固定间隔时间最小取值为5分钟。

    • CRON表达式:CRON表达式的最小精度为分钟,格式为24小时制,示例如下:
      • 0/10 * * * *从00:00开始,每隔整10分钟查询一次,分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如:当前时间为16:37,下一次查询时间为16:50。
      • 0 0/5 * * *从00:00开始,每隔5小时查询一次,分别为0时、5时、10时、15时、20时。例如:当前时间为16:37,下一次查询时间为20:00。
      • 0 14 * * *每天14:00查询一次。
      • 0 0 10 * *每月10日00:00查询一次。

    高级设置

    恢复策略

    配置恢复策略,即满足该策略时,会发送告警恢复通知。

    配置的最近统计周期次数内,如果不满足触发条件且开启恢复时通知开关,则会发送恢复告警通知。

    最近统计周期次数最小值为1,最大值为10。

    高级设置

    通知场景
    • 告警触发时:用于发送触发告警通知。开启该按钮,当满足触发条件时,会发送告警通知;未开启该按钮,当满足触发条件时,不会发送告警通知。
    • 告警恢复时:用于发送恢复告警通知。开启该按钮,当满足恢复策略时,会发送恢复告警通知;未开启该按钮,当满足恢复策略时,不会发送恢复告警通知。

    高级设置

    通知频率

    支持选择立即通知、每5分钟、每10分钟、每15分钟、每30分钟、每1小时、每3小时、每6小时发送告警。

    立即通知指只要产生告警就发送通知,每10分钟指的是两次通知之间最小时间间隔为10分钟,可避免告警轰炸。

    高级设置

    告警行动规则

    请从下拉列表中选择已创建的告警行动规则。

    若没有,请单击右侧“创建告警行动规则”。

    高级设置

    语言

    发送告警的语言。

  6. 单击“确定”,关键词告警规则创建成功。

    告警规则创建完成后,告警状态默认显示“已开启”。关闭告警规则后,告警状态显示“已关闭”,临时关闭告警后,告警状态显示“临时关闭到2023/05/30 16:21:24.000 GMT+08:00”。(临时关闭的时间仅供参考,请以设置临时关闭告警的时间为准)

    当开启告警规则且关联日志流满足告警规则时,会触发告警;当关闭告警规则时,即使有满足该告警规则的情况,也不会触发告警。

告警规则后续操作

创建告警规则后,支持对告警规则进行修改、开启/关闭、复制、删除等操作,可能会导致原有告警规则发生变化,请谨慎操作。

  • 支持对单个告警规则进行如下操作:

    修改告警规则:单击目标告警规则操作列的“修改”,在“修改告警规则”页面,修改规则名称、查询条件、检测规则等信息,修改完成后,单击“确定”。

    开启告警规则:单击目标告警规则操作列的“更多 > 开启告警规则”,开启告警规则,状态显示“已开启”。

    关闭告警规则:单击目标告警规则操作列的“更多 > 关闭告警规则”,关闭告警规则,状态显示“已关闭”。

    临时关闭告警规则:单击目标告警规则操作列的“更多 > 临时关闭告警规则”,设置临时关闭的截止时间。

    复制告警规则:单击目标告警规则操作列的“更多 > 复制”,即可直接复制告警规则。

    删除告警规则:单击目标告警规则操作列的“删除”,在弹出的对话框中,单击“确定”删除该告警规则。删除告警规则后不可恢复,请谨慎操作。

  • 勾选多个告警规则后,支持对多个告警进行批量操作:开启、关闭、临时关闭、取消临时关闭、告警恢复开启、告警恢复关闭、删除、导出。
  • 鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称。不支持修改首次创建的原始名称。
父主题: 日志告警