配置日志告警规则
LTS支持对日志流中的日志数据进行关键词告警,通过设置告警规则,实时监控服务运行状态。目前每个账号最多可以创建关键词告警共200个。
创建关键词告警规则
LTS支持对日志流中的日志数据进行关键词统计,通过设置告警规则,监控日志中的关键词,统计一定时间段内的日志中关键字出现的次数,实时监控服务运行状态。
- 登录管理控制台,选择“管理与部署 > 云日志服务 LTS”,进入“日志管理”页面。
- 左侧导航选择“日志告警”。
- 单击“告警规则”。
- 在“告警规则”页签,单击“创建”,在界面右侧弹出“新建告警规则”页面。
- 在“新建告警规则”页面,配置告警规则相关参数。
表1 关键词告警参数说明 参数类别
参数名称
参数说明
基本信息
规则名称
告警规则的名称。名称只支持输入英文、数字、中文、中划线、下划线,且不能以中划线、下划线开头或结尾。
告警创建完成后,支持修改规则名称,修改完成后,鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称,不支持修改首次创建的原始名称。
描述
对该规则进行简要描述。
统计分析
统计类型
勾选关键词统计:适用于使用关键词搜索配置日志告警的场景。
查询条件
日志组名称:选择已创建的日志组。
日志流名称:选择已创建的日志流。
当日志组下有多个日志流时,支持选择多个日志流,即可批量创建关键词告警。
查询时间:指定语句的查询周期。查询语句的时间范围:从当前时间往前推一个周期。例如:查询时间设置为1小时,当前时间为9:00,则查询语句的时间范围为8:00-9:00。
- 如果查询时间单位为分钟,则取值范围是1-60;
- 如果查询时间单位为小时,则取值范围是1-24。
关键词:根据业务需要,选取在日志搜索能查到的日志关键字,LTS会根据设置的关键词对日志流中的日志进行监控。
关键词支持精确匹配和模糊匹配,区分大小写,输入长度不超过1024个字符。如何设置关键词搜索请参考LTS搜索语法介绍。
检测规则
配置触发条件,即满足该条件时,会触发告警。
匹配条数:当关键词搜索结果的日志条数达到设定的条数时,会触发告警。支持大于(>)、大于等于(>=)、小于(<)、小于等于(<=)4种比较运算符。
- 单击+增加条件表达式(or),最多支持增加20条。
- 单击
删除条件表达式。
统计周期次数指高级设置的统计周期;满足条件次数是指设置的关键词。配置的统计周期次数须大于等于满足触发条件次数。
- 触发告警级别包括“紧急”、“重要”、“次要”、“提示”,默认“紧急”。
- 统计周期次数最小值为1,最大值为10。
高级设置
统计周期
条件表达式查询的频率可以设置为:
- 每小时:表示整点小时查询。
- 每天:需要指定几点整查询。
- 每周:需要指定周几的几点整查询。
- 固定间隔:自定义间隔周期,需要指定1-60分钟/1-24小时。例如:当前时间为9:00,固定间隔设置为5分钟,则第一次查询时间为9:00,第二次查询时间为9:05,第三次查询时间为9:10.....
- CRON表达式:CRON表达式的最小精度为分钟,格式为24小时制,示例如下:
- 0/10 * * * *从00:00开始,每隔整10分钟查询一次,分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如:当前时间为16:37,下一次查询时间为16:50。
- 0 0/5 * * *从00:00开始,每隔5小时查询一次,分别为0时、5时、10时、15时、20时。例如:当前时间为16:37,下一次查询时间为20:00。
- 0 14 * * *每天14:00查询一次。
- 0 0 10 * *每月10日00:00查询一次。
高级设置
恢复策略
配置恢复策略,即满足该策略时,会发送告警恢复通知。
配置的最近统计周期次数内,如果不满足触发条件且开启恢复时通知开关,则会发送恢复告警通知。
最近统计周期次数最小值为1,最大值为10。
高级设置
通知场景
- 告警触发时:用于发送触发告警通知。开启该按钮,当满足触发条件时,会发送告警通知;未开启该按钮,当满足触发条件时,不会发送告警通知。
- 告警恢复时:用于发送恢复告警通知。开启该按钮,当满足恢复策略时,会发送恢复告警通知;未开启该按钮,当满足恢复策略时,不会发送恢复告警通知。
高级设置
通知频率
支持选择立即通知、每5分钟、每10分钟、每15分钟、每30分钟、每1小时、每3小时、每6小时发送告警。
立即通知指只要产生告警就发送通知,每10分钟指的是两次通知之间最小时间间隔为10分钟,可避免告警轰炸。
高级设置
告警行动规则
请从下拉列表中选择已创建的告警行动规则。
若没有,请单击右侧“创建告警行动规则”。
高级设置
语言
发送告警的语言。
- 单击“确定”,关键词告警规则创建成功。
告警规则创建完成后,告警状态默认显示“已开启”。关闭告警规则后,告警状态显示“已关闭”,临时关闭告警后,告警状态显示“临时关闭到2023/05/30 16:21:24.000 GMT+08:00”。(临时关闭的时间仅供参考,请以设置临时关闭告警的时间为准)
当开启告警规则且关联日志流满足告警规则时,会触发告警;当关闭告警规则时,即使有满足该告警规则的情况,也不会触发告警。
告警规则后续操作
创建告警规则后,支持对告警规则进行修改、开启/关闭、复制、删除等操作,可能会导致原有告警规则发生变化,请谨慎操作。
- 支持对单个告警规则进行如下操作:
修改告警规则:单击目标告警规则操作列的“修改”,在“修改告警规则”页面,修改规则名称、查询条件、检测规则等信息,修改完成后,单击“确定”。
开启告警规则:单击目标告警规则操作列的“更多 > 开启告警规则”,开启告警规则,状态显示“已开启”。
关闭告警规则:单击目标告警规则操作列的“更多 > 关闭告警规则”,关闭告警规则,状态显示“已关闭”。
临时关闭告警规则:单击目标告警规则操作列的“更多 > 临时关闭告警规则”,设置临时关闭的截止时间。
复制告警规则:单击目标告警规则操作列的“更多 > 复制”,即可直接复制告警规则。
删除告警规则:单击目标告警规则操作列的“删除”,在弹出的对话框中,单击“确定”删除该告警规则。删除告警规则后不可恢复,请谨慎操作。
- 勾选多个告警规则后,支持对多个告警进行批量操作:开启、关闭、临时关闭、取消临时关闭、告警恢复开启、告警恢复关闭、删除、导出。
- 鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称。不支持修改首次创建的原始名称。