创建分组规则
使用分组规则,您可以从告警中筛选出满足条件的告警子集,然后按分组条件对告警子集分组,告警触发时同组告警会被汇聚在一起发送一条通知。
如图1所示,当分组条件设为“告警级别等于紧急”时,表示系统会先根据分组条件从告警中过滤出满足告警级别为紧急的告警子集,然后根据通知合并方式对告警子集合并,合并后的告警可以关联行动规则,触发告警通知。
创建分组规则
用户最多可创建100条分组规则。
- 在左侧导航栏中选择“告警 > 告警降噪”。
- 在“分组规则”页签下单击 “创建分组规则”,设置规则名称、分组条件等信息,字段说明请参见表1。
图2 创建分组规则
表1 分组规则参数说明 类别
参数名称
说明
-
规则名称
分组规则的名称。名称只能由大小写字母、数字、下划线组成,且不能以下划线开头和结尾,最多不能超过100个字符。
描述
分组规则的描述。最多不能超过1024个字符。
告警分组规则
分组条件
根据设置的条件对告警过滤,筛选出符合分组条件的告警,并为符合分组条件的告警设置告警行动规则。
分组条件最多可设置10个并行条件,每个并行条件下最多可设置10个串行条件,每个并行条件下可设置一个或多个告警行动规则。
多个串行条件之间是“和”的关系,多个并行条件之间是“或”的关系,告警需满足其中一个并行条件下的所有的串行条件。
例如一个并行条件下设置了两个串行条件,依次为“告警级别等于紧急”、“告警源等于AOM”,则告警级别为紧急的AOM告警会被筛选出来,并根据设置的告警行动规则执行告警通知操作。
告警合并规则
通知合并规则
根据指定字段对分组后的告警合并,合并在一组的告警会被汇聚在一起发送一条通知。
合并方式包括:
- 按告警源
- 按告警源 + 严重度
- 按告警源 + 所有标签
首次等待
首次创建告警合并集合后,等待多久发送第一次告警通知。通常设置为秒级别的时间,便于告警合并后再发送,避免告警风暴。
取值范围:0s-10min,推荐设置为 15s。
变化等待
合并集合内的告警数据发生变化后,等待多久发送告警通知。通常设置为分钟级别的时间。如果您需要尽快收到告警通知,也可设置为秒级时间。
此处的变化是指新增告警或告警状态改变。
取值范围:5s-30min,推荐设置为60s。
重复等待
合并集合内的告警数据重复后,等待多久发送告警通知。通常设置为小时级别的时间。
此处的重复是指无新增告警和状态变化,仅其他属性(例如标题、内容等)改变。
取值范围:0min-15day,推荐设置为1h。
- 设置完成后,单击“立即创建”,完成分组规则创建。
更多分组规则操作
分组规则创建完成后,您还可以执行表2中的相关操作。
