创建日志告警规则

前提条件

• 已创建需要映射的日志组和日志流。创建方法请参见：创建日志组和日志流。
• 已使用新版结构化功能。结构化配置请参见：日志结构化配置。
• 已创建相关日志流的图表。创建方法请参见：日志可视化。

注意事项

• 按搜索分析创建告警规则功能目前在邀测中，暂不支持申请开通。
• 按SQL统计创建告警规则功能仅支持全部用户使用的局点有：华南-广州、华北-北京四、华北-乌兰察布二零一、华北-乌兰察布一、华东-上海一、华东-上海二、中国-香港、亚太-曼谷、亚太-新加坡，支持部分白名单用户使用的局点有：华北-北京一、西南-贵阳一、亚太-曼谷、华南-深圳、华北-乌兰察布一、华北-乌兰察布二零二，其他局点暂不支持该功能。

创建方式

按照配置方式的不同，创建日志告警规则可分为三种：按搜索分析创建、按关键词统计创建、按SQL统计创建。

按搜索分析创建日志告警规则

1. 登录AOM 2.0控制台。
2. 在左侧导航栏中选择“告警管理 > 告警规则”。
3. 在右侧区域选择“日志告警规则”页签，然后单击“创建日志告警规则”。
4. 在“新建告警规则”页面，配置告警规则相关参数，具体参数说明如所示表 告警条件填写说明。

   表1 告警条件填写说明

   参数类别	参数名称	参数说明
   基本信息	规则名称	规则的名称。名称只支持输入英文、数字、中文、中划线、下划线，且不能以中划线、下划线开头或结尾。长度为 1-64个字符。 说明： 告警创建完成后，支持修改规则名称，修改完成后，鼠标悬浮在规则名称上，显示修改后的规则名称和原始名称。
   	描述	对该规则进行简要描述。长度不能超过64个字符。
   统计分析	统计类型	搜索分析：使用新SQL引擎配置告警，支持使用管道符（搜索|分析）。
   	查询条件（支持添加3条查询语句。）	日志组名称：选择已创建的日志组。
   		日志流名称：选择已创建的日志流。 说明： 当日志组下有多个日志流时，支持选择多个日志流，即可批量创建搜索分析类型的告警。
   		查询时间：指定语句的查询周期。查询语句的时间范围：从当前时间往前推一个周期。例如：查询时间设置为1小时，当前时间为9:00，则查询语句的时间范围为8:00-9:00。 如果查询时间单位为分钟，则取值范围是1-60； 如果查询时间单位为小时，则取值范围是1-24。
   		查询语句：格式为搜索语句 | SQL分析语句，AOM会根据设置的语句对日志流中的日志进行监控。
   	校验规则	输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 条件表达式支持的基础语法和多表组合语法。 基础语法： 基础运算符：支持加（+）、减（-）、乘（*）、除（/）、取模运算（%）。 示例：x * 10 + y > 100。 比较运算符：支持大于（>）、大于等于（>=）、小于（<）、小于等于（<=）、等于（==）、不等于（!=）。示例：x >= 100。 逻辑运算符：支持与（&&）、或（||）。示例：x > 0 && y < 200。 取反前缀：支持取反前缀（!）。 示例：!(x < 1 && x > 100)。 数值常量：支持数值常量，并作为64位浮点数处理。示例：x > 10。 字符串常量：支持字符串常量（"字符串"），例如"string"。示例：str =="string"。 布尔常量：支持布尔常量(true、false)。示例：(x < 100)!=true。 括号：支持使用括号改变计算的优先级。示例：x *(y + 10)<200。 contains函数：支持使用contains函数判断是否包含子串，例如contains(str, "hello")返回true则表示str中包含hello子串。 多表组合语法： 基础运算符：（+-*/%）。 比较运算符：大于（>）、大于等于（>=）、小于（<）、小于等于（<=）、等于（==）、不等于（!=）。 逻辑运算符：与（&&）、或（||）。 取反前缀（!）。 contains函数。 括号（）。 说明： 统计周期指高级设置的统计周期；满足条件指设置的条件表达式。配置的统计周期次数须大于等于满足触发条件次数。 触发告警级别包括“紧急”、“重要”、“次要”、“提示”，默认“紧急”。 统计周期次数最小值为1，最大值为10。
   高级设置	统计周期	条件表达式查询的频率可以设置为： 每小时：表示整点小时查询。 每天：需要指定几点整查询。 每周：需要指定周几的几点整查询。 固定间隔：自定义间隔周期，需要指定1-60分钟/1-24小时。例如：当前时间为9:00，固定间隔设置为5分钟，则第一次查询时间为9:00，第二次查询时间为9:05，第三次查询时间为9:10..... 说明： 当查询时间大于1小时，固定间隔时间最小取值为5分钟。 CRON表达式：CRON表达式的最小精度为分钟，格式为24小时制，示例如下： 0/10 * * * *从00:00开始，每隔整10分钟查询一次，分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如：当前时间为16:37，下一次查询时间为16:50。 0 0/5 * * *从00:00开始，每隔5小时查询一次，分别为0时、5时、10时、15时、20时。例如：当前时间为16:37，下一次查询时间为20:00。 0 14 * * *每天14:00查询一次。 0 0 10 * *每月10日00:00查询一次。
   	恢复策略	配置恢复策略，即满足该策略时，会发送告警恢复通知。 配置的最近统计周期次数内，如果不满足触发条件且开启恢复时通知开关，则会发送恢复告警通知。 最近统计周期次数最小值为1，最大值为10。
   	通知场景	告警触发时：用于发送触发告警通知。开启该按钮，当满足触发条件时，会发送告警通知；未开启该按钮，当满足触发条件时，不会发送告警通知。 告警恢复时：用于发送恢复告警通知。开启该按钮，当满足恢复策略时，会发送恢复告警通知；未开启该按钮，当满足恢复策略时，不会发送恢复告警通知。
   	通知频率	支持选择立即通知、每5分钟、每10分钟、每15分钟、每30分钟、每1小时、每3小时、每6小时发送告警。 立即通知指只要产生告警就发送通知，每10分钟指的是两次通知之间最小时间间隔为10分钟，可避免告警轰炸。
   	告警行动规则	请从下拉列表中选择已创建的告警行动规则。 若没有，请单击右侧“创建告警行动规则”，详细操作请见创建告警行动规则。
   	语言	发送告警的语言，支持中文（简体）和英文。

5. 单击“确定”，完成告警规则的创建。

按关键词统计创建日志告警规则

1. 登录AOM 2.0控制台。
2. 在左侧导航栏中选择“告警管理 > 告警规则”。
3. 在右侧区域选择“日志告警规则”页签，然后单击“创建日志告警规则”。
4. 在“新建告警规则”页面，配置告警规则相关参数，具体参数说明如所示表 告警条件填写说明。

   表2 告警条件填写说明

   参数类别	参数名称	参数说明
   基本信息	规则名称	规则的名称。名称只支持输入英文、数字、中文、中划线、下划线，且不能以中划线、下划线开头或结尾。长度为 1-64个字符。 说明： 告警创建完成后，支持修改规则名称，修改完成后，鼠标悬浮在规则名称上，显示修改后的规则名称和原始名称。
   	描述	对该规则进行简要描述。长度不能超过64个字符。
   统计分析	统计类型	关键词统计：适用于使用关键词搜索配置日志告警的场景。
   	查询条件	日志组名称：选择已创建的日志组。
   		日志流名称：选择已创建的日志流。 说明： 当日志组下有多个日志流时，支持选择多个日志流，即可批量创建关键词告警。
   		查询时间：指定语句的查询周期。查询语句的时间范围：从当前时间往前推一个周期。例如：查询时间设置为1小时，当前时间为9:00，则查询语句的时间范围为8:00-9:00。 如果查询时间单位为分钟，则取值范围是1-60； 如果查询时间单位为小时，则取值范围是1-24。
   		关键词：AOM会根据设置的关键词对日志流中的日志进行监控。关键词支持精确匹配和模糊匹配，区分大小写，输入长度不超过1024个字符。
   	校验规则	配置触发条件，即满足该条件时，会触发告警。 匹配条数：当关键词搜索结果的日志条数达到设定的条数时，会触发告警。 支持大于（>）、大于等于（>=）、小于（<）、小于等于（<=）4种比较运算符。 统计周期指高级设置的统计周期；满足条件指设置的关键词。配置的统计周期次数须大于等于满足触发条件次数。 说明： 触发告警级别包括“紧急”、“重要”、“次要”、“提示”，默认“紧急”。 统计周期次数最小值为1，最大值为10。
   高级设置	统计周期	条件表达式查询的频率可以设置为： 每小时：表示整点小时查询。 每天：需要指定几点整查询。 每周：需要指定周几的几点整查询。 固定间隔：自定义间隔周期，需要指定1-60分钟/1-24小时。例如：当前时间为9:00，固定间隔设置为5分钟，则第一次查询时间为9:00，第二次查询时间为9:05，第三次查询时间为9:10..... 说明： 当查询时间大于1小时，固定间隔时间最小取值为5分钟。 CRON表达式：CRON表达式的最小精度为分钟，格式为24小时制，示例如下： 0/10 * * * *从00:00开始，每隔整10分钟查询一次，分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如：当前时间为16:37，下一次查询时间为16:50。 0 0/5 * * *从00:00开始，每隔5小时查询一次，分别为0时、5时、10时、15时、20时。例如：当前时间为16:37，下一次查询时间为20:00。 0 14 * * *每天14:00查询一次。 0 0 10 * *每月10日00:00查询一次。
   	恢复策略	配置恢复策略，即满足该策略时，会发送告警恢复通知。 配置的最近统计周期次数内，如果不满足触发条件且开启恢复时通知开关，则会发送恢复告警通知。 最近统计周期次数最小值为1，最大值为10。
   	通知场景	告警触发时：用于发送触发告警通知。开启该按钮，当满足触发条件时，会发送告警通知；未开启该按钮，当满足触发条件时，不会发送告警通知。 告警恢复时：用于发送恢复告警通知。开启该按钮，当满足恢复策略时，会发送恢复告警通知；未开启该按钮，当满足恢复策略时，不会发送恢复告警通知。
   	通知频率	支持选择立即通知、每5分钟、每10分钟、每15分钟、每30分钟、每1小时、每3小时、每6小时发送告警。 立即通知指只要产生告警就发送通知，每10分钟指的是两次通知之间最小时间间隔为10分钟，可避免告警轰炸。
   	告警行动规则	请从下拉列表中选择已创建的告警行动规则。 若没有，请单击右侧“创建告警行动规则”，详细操作请见创建告警行动规则。
   	语言	发送告警的语言，支持中文（简体）和英文。

5. 单击“确定”，完成告警规则的创建。

按SQL统计创建日志告警规则

1. 登录AOM 2.0控制台。
2. 在左侧导航栏中选择“告警管理 > 告警规则”。
3. 在右侧区域选择“日志告警规则”页签，然后单击“创建日志告警规则”。
4. 在“新建告警规则”页面，配置告警规则相关参数，具体参数说明如所示表 告警条件填写说明。

   表3 告警条件填写说明

   参数类别	参数名称	参数说明
   基本信息	规则名称	规则的名称。名称只支持输入英文、数字、中文、中划线、下划线，且不能以中划线、下划线开头或结尾。长度为 1-64个字符。 说明： 告警创建完成后，支持修改规则名称，修改完成后，鼠标悬浮在规则名称上，显示修改后的规则名称和原始名称。
   	描述	对该规则进行简要描述。长度不能超过64个字符。
   统计分析	统计类型	SQL统计：使用旧SQL引擎配置告警。
   	相关图表	有两种添加方式：直接添加和从图表导入 直接添加：单击“直接添加”，可选择日志组、日志流。具体的参数配置信息如下： 日志组名称：日志组的名称，必选项。 日志流名称：日志组下的日志流名称，必选项。 说明： 若所选日志流未配置结构化规则，请先配置结构化。 查询时间：当前所选日志的查询时间，可选项。查询时间（1 ~ 60分钟/1 ~ 24小时），单位为分钟或小时。 查询语句：可视化查询语句，必填项。具体请参考SQL语法查询。 从图表导入：单击，进入“添加可视化图表”页面，选择对应日志组、日志流下的可视化图表，单击“确定”。若该日志流下没有图表或没有所需的图表，单击界面上的“前往添加图表”，进入可视化界面，设置完成后单击“保存并返回”返回到告警规则界面，自动打开创建规则弹框，填充新创建的图表及图表的查询语句。 可以指定图表的查询时间（1 ~ 60分钟/1 ~ 24小时），单位为分钟或小时，每个图表最多可以查询最近一天的数据，当统计周期选择1~4分钟时，图表查询时间不能超过1小时。 若想添加多个图表，可单击继续添加。 说明： 单击跳转到日志流的可视化查看详情界面。 单击删除该直接添加的图表。 单击“预览”可查看可视化分析后的数据。必须要执行“预览”，否则将无法保存该告警规则。 最多支持添加3个图表。 图表不能为空，且图表中的sql查询语句不能为空。
   	校验规则	输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 说明： 条件表达式不支持中文。 条件表达式支持的基础语法和多表组合语法。 基础语法： 基础运算符：支持加（+）、减（-）、乘（*）、除（/）、取模运算（%）。 示例：x * 10 + y > 100。 比较运算符：支持大于（>）、大于等于（>=）、小于（<）、小于等于（<=）、等于（==）、不等于（!=）。示例：x >= 100。 逻辑运算符：支持与（&&）、或（||）。示例：x > 0 && y < 200。 取反前缀：支持取反前缀（!）。 示例：!(x < 1 && x > 100)。 数值常量：支持数值常量，并作为64位浮点数处理。示例：x > 10。 字符串常量：支持字符串常量（"字符串"），例如"string"。示例：str =="string"。 布尔常量：支持布尔常量(true、false)。示例：(x < 100)!=true。 括号：支持使用括号改变计算的优先级。示例：x *(y + 10)<200。 contains函数：支持使用contains函数判断是否包含子串，例如contains(str, "hello")返回true则表示str中包含hello子串。 多表组合语法： 基础运算符：（+-*/%）。 比较运算符：大于（>）、大于等于（>=）、小于（<）、小于等于（<=）、等于（==）、不等于（!=）。 逻辑运算符：与（&&）、或（||）。 取反前缀（!）。 contains函数。 括号（）。 说明： 统计周期指高级设置的统计周期；满足条件指设置的条件表达式。配置的统计周期次数须大于等于满足触发条件次数。 触发告警级别包括“紧急”、“重要”、“次要”、“提示”，默认“紧急”。 统计周期次数最小值为1，最大值为10。
   高级设置	统计周期	条件表达式查询的频率可以设置为： 每小时：表示整点小时查询。 每天：需要指定几点整查询。 每周：需要指定周几的几点整查询。 固定间隔：自定义间隔周期，需要指定1-60分钟/1-24小时。例如：当前时间为9:00，固定间隔设置为5分钟，则第一次查询时间为9:00，第二次查询时间为9:05，第三次查询时间为9:10..... 说明： 当查询时间大于1小时，固定间隔时间最小取值为5分钟。 CRON表达式：CRON表达式的最小精度为分钟，格式为24小时制，示例如下： 0/10 * * * *从00:00开始，每隔整10分钟查询一次，分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如：当前时间为16:37，下一次查询时间为16:50。 0 0/5 * * *从00:00开始，每隔5小时查询一次，分别为0时、5时、10时、15时、20时。例如：当前时间为16:37，下一次查询时间为20:00。 0 14 * * *每天14:00查询一次。 0 0 10 * *每月10日00:00查询一次。
   	恢复策略	配置恢复策略，即满足该策略时，会发送告警恢复通知。 配置的最近统计周期次数内，如果不满足触发条件且开启恢复时通知开关，则会发送恢复告警通知。 最近统计周期次数最小值为1，最大值为10。
   	通知场景	告警触发时：用于发送触发告警通知。开启该按钮，当满足触发条件时，会发送告警通知；未开启该按钮，当满足触发条件时，不会发送告警通知。 告警恢复时：用于发送恢复告警通知。开启该按钮，当满足恢复策略时，会发送恢复告警通知；未开启该按钮，当满足恢复策略时，不会发送恢复告警通知。
   	通知频率	支持选择立即通知、每5分钟、每10分钟、每15分钟、每30分钟、每1小时、每3小时、每6小时发送告警。 立即通知指只要产生告警就发送通知，每10分钟指的是两次通知之间最小时间间隔为10分钟，可避免告警轰炸。
   	告警行动规则	请从下拉列表中选择已创建的告警行动规则。 若没有，请单击右侧“创建告警行动规则”，详细操作请见创建告警行动规则。
   	语言	发送告警的语言，支持中文（简体）和英文。

5. 单击“确定”，完成告警规则的创建。