创建日志告警规则
AOM支持通过关键词统计、搜索分析以及SQL统计创建告警规则,实时监控日志数据并上报告警信息。
注意事项
- 按搜索分析创建告警规则功能目前在邀测中,暂不支持申请开通。
- 按SQL统计创建告警规则功能仅支持全部用户使用的局点有:华南-广州、华北-北京四、华北-乌兰察布二零一、华北-乌兰察布一、华东-上海一、华东-上海二、中国-香港、亚太-曼谷、亚太-新加坡,支持部分白名单用户使用的局点有:华北-北京一、西南-贵阳一、亚太-曼谷、华南-深圳、华北-乌兰察布一、华北-乌兰察布二零二,其他局点暂不支持该功能。
按搜索分析创建日志告警规则
- 登录AOM 2.0控制台。
- 在左侧导航栏中选择“告警管理 > 告警规则”。
- 在右侧区域选择“日志”页签,然后单击“创建”。
- 在“创建日志告警规则”页面,配置告警规则相关参数,具体参数说明如所示表 告警条件填写说明。
表1 告警条件填写说明 参数类别
参数名称
参数说明
基本信息
规则名称
规则的名称。名称只支持输入英文、数字、中文、中划线、下划线,且不能以中划线、下划线开头或结尾。长度为 1-64个字符。
说明:告警创建完成后,支持修改规则名称,修改完成后,鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称。
描述
对该规则进行简要描述。长度不能超过64个字符。
统计分析
统计类型
搜索分析:使用新SQL引擎配置告警,支持使用管道符(搜索|分析)。
查询条件(支持添加3条查询语句。)
日志组名称:选择已创建的日志组。
日志流名称:选择已创建的日志流。说明:当日志组下有多个日志流时,支持选择多个日志流,即可批量创建搜索分析类型的告警。
查询时间:指定语句的查询周期。查询语句的时间范围:从当前时间往前推一个周期。例如:查询时间设置为1小时,当前时间为9:00,则查询语句的时间范围为8:00-9:00。
- 如果查询时间单位为分钟,则取值范围是1-60;
- 如果查询时间单位为小时,则取值范围是1-24。
查询语句:格式为搜索语句 | SQL分析语句,AOM会根据设置的语句对日志流中的日志进行监控。
校验规则
输入具体的条件表达式,当条件表达式返回为true的时候,产生告警,否则不产生告警。
条件表达式支持的基础语法和多表组合语法。
- 基础语法:
- 基础运算符:支持加(+)、减(-)、乘(*)、除(/)、取模运算(%)。 示例:x * 10 + y > 100。
- 比较运算符:支持大于(>)、大于等于(>=)、小于(<)、小于等于(<=)、等于(==)、不等于(!=)。示例:x >= 100。
- 逻辑运算符:支持与(&&)、或(||)。示例:x > 0 && y < 200。
- 取反前缀:支持取反前缀(!)。 示例:!(x < 1 && x > 100)。
- 数值常量:支持数值常量,并作为64位浮点数处理。示例:x > 10。
- 字符串常量:支持字符串常量("字符串"),例如"string"。示例:str =="string"。
- 布尔常量:支持布尔常量(true、false)。示例:(x < 100)!=true。
- 括号:支持使用括号改变计算的优先级。示例:x *(y + 10)<200。
- contains函数:支持使用contains函数判断是否包含子串,例如contains(str, "hello")返回true则表示str中包含hello子串。
- 多表组合语法:
- 基础运算符:(+-*/%)。
- 比较运算符:大于(>)、大于等于(>=)、小于(<)、小于等于(<=)、等于(==)、不等于(!=)。
- 逻辑运算符:与(&&)、或(||)。
- 取反前缀(!)。
- contains函数。
- 括号()。
说明:- 统计周期指高级设置的统计周期;满足条件指设置的条件表达式。配置的统计周期次数须大于等于满足触发条件次数。
- 触发告警级别包括“紧急”、“重要”、“次要”、“提示”,默认“紧急”。
- 统计周期次数最小值为1,最大值为10。
高级设置
统计周期
条件表达式查询的频率可以设置为:
- 每小时:表示整点小时查询。
- 每天:需要指定几点整查询。
- 每周:需要指定周几的几点整查询。
- 固定间隔:自定义间隔周期,需要指定1-60分钟/1-24小时。例如:当前时间为9:00,固定间隔设置为5分钟,则第一次查询时间为9:00,第二次查询时间为9:05,第三次查询时间为9:10.....
说明:
当查询时间大于1小时,固定间隔时间最小取值为5分钟。
- CRON表达式:CRON表达式的最小精度为分钟,格式为24小时制,示例如下:
- 0/10 * * * *从00:00开始,每隔整10分钟查询一次,分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如:当前时间为16:37,下一次查询时间为16:50。
- 0 0/5 * * *从00:00开始,每隔5小时查询一次,分别为0时、5时、10时、15时、20时。例如:当前时间为16:37,下一次查询时间为20:00。
- 0 14 * * *每天14:00查询一次。
- 0 0 10 * *每月10日00:00查询一次。
恢复策略
配置恢复策略,即满足该策略时,会发送告警恢复通知。
配置的最近统计周期次数内,如果不满足触发条件且开启恢复时通知开关,则会发送恢复告警通知。
最近统计周期次数最小值为1,最大值为10。
通知场景
- 告警触发时:用于发送触发告警通知。开启该按钮,当满足触发条件时,会发送告警通知;未开启该按钮,当满足触发条件时,不会发送告警通知。
- 告警恢复时:用于发送恢复告警通知。开启该按钮,当满足恢复策略时,会发送恢复告警通知;未开启该按钮,当满足恢复策略时,不会发送恢复告警通知。
通知频率
支持选择立即通知、每5分钟、每10分钟、每15分钟、每30分钟、每1小时、每3小时、每6小时发送告警。
立即通知指只要产生告警就发送通知,每10分钟指的是两次通知之间最小时间间隔为10分钟,可避免告警轰炸。
告警行动规则
请从下拉列表中选择已创建的告警行动规则。
若没有,请单击右侧“创建告警行动规则”,详细操作请见创建告警行动规则。
语言
发送告警的语言,支持中文(简体)和英文。
- 单击“确定”,完成告警规则的创建。
按关键词统计创建日志告警规则
- 登录AOM 2.0控制台。
- 在左侧导航栏中选择“告警管理 > 告警规则”。
- 在右侧区域选择“日志告警规则”页签,然后单击“创建日志告警规则”。
- 在“新建告警规则”页面,配置告警规则相关参数,具体参数说明如所示表 告警条件填写说明。
表2 告警条件填写说明 参数类别
参数名称
参数说明
基本信息
规则名称
规则的名称。名称只支持输入英文、数字、中文、中划线、下划线,且不能以中划线、下划线开头或结尾。长度为 1-64个字符。
说明:告警创建完成后,支持修改规则名称,修改完成后,鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称。
描述
对该规则进行简要描述。长度不能超过64个字符。
统计分析
统计类型
关键词统计:适用于使用关键词搜索配置日志告警的场景。
查询条件
日志组名称:选择已创建的日志组。
日志流名称:选择已创建的日志流。说明:当日志组下有多个日志流时,支持选择多个日志流,即可批量创建关键词告警。
查询时间:指定语句的查询周期。查询语句的时间范围:从当前时间往前推一个周期。例如:查询时间设置为1小时,当前时间为9:00,则查询语句的时间范围为8:00-9:00。
- 如果查询时间单位为分钟,则取值范围是1-60;
- 如果查询时间单位为小时,则取值范围是1-24。
关键词:AOM会根据设置的关键词对日志流中的日志进行监控。关键词支持精确匹配和模糊匹配,区分大小写,输入长度不超过1024个字符。
校验规则
配置触发条件,即满足该条件时,会触发告警。
匹配条数:当关键词搜索结果的日志条数达到设定的条数时,会触发告警。
支持大于(>)、大于等于(>=)、小于(<)、小于等于(<=)4种比较运算符。
统计周期指高级设置的统计周期;满足条件指设置的关键词。配置的统计周期次数须大于等于满足触发条件次数。
说明:- 触发告警级别包括“紧急”、“重要”、“次要”、“提示”,默认“紧急”。
- 统计周期次数最小值为1,最大值为10。
高级设置
统计周期
条件表达式查询的频率可以设置为:
- 每小时:表示整点小时查询。
- 每天:需要指定几点整查询。
- 每周:需要指定周几的几点整查询。
- 固定间隔:自定义间隔周期,需要指定1-60分钟/1-24小时。例如:当前时间为9:00,固定间隔设置为5分钟,则第一次查询时间为9:00,第二次查询时间为9:05,第三次查询时间为9:10.....
说明:
当查询时间大于1小时,固定间隔时间最小取值为5分钟。
- CRON表达式:CRON表达式的最小精度为分钟,格式为24小时制,示例如下:
- 0/10 * * * *从00:00开始,每隔整10分钟查询一次,分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如:当前时间为16:37,下一次查询时间为16:50。
- 0 0/5 * * *从00:00开始,每隔5小时查询一次,分别为0时、5时、10时、15时、20时。例如:当前时间为16:37,下一次查询时间为20:00。
- 0 14 * * *每天14:00查询一次。
- 0 0 10 * *每月10日00:00查询一次。
恢复策略
配置恢复策略,即满足该策略时,会发送告警恢复通知。
配置的最近统计周期次数内,如果不满足触发条件且开启恢复时通知开关,则会发送恢复告警通知。
最近统计周期次数最小值为1,最大值为10。
通知场景
- 告警触发时:用于发送触发告警通知。开启该按钮,当满足触发条件时,会发送告警通知;未开启该按钮,当满足触发条件时,不会发送告警通知。
- 告警恢复时:用于发送恢复告警通知。开启该按钮,当满足恢复策略时,会发送恢复告警通知;未开启该按钮,当满足恢复策略时,不会发送恢复告警通知。
通知频率
支持选择立即通知、每5分钟、每10分钟、每15分钟、每30分钟、每1小时、每3小时、每6小时发送告警。
立即通知指只要产生告警就发送通知,每10分钟指的是两次通知之间最小时间间隔为10分钟,可避免告警轰炸。
告警行动规则
请从下拉列表中选择已创建的告警行动规则。
若没有,请单击右侧“创建告警行动规则”,详细操作请见创建告警行动规则。
语言
发送告警的语言,支持中文(简体)和英文。
- 单击“确定”,完成告警规则的创建。
按SQL统计创建日志告警规则
- 登录AOM 2.0控制台。
- 在左侧导航栏中选择“告警管理 > 告警规则”。
- 在右侧区域选择“日志”页签,然后单击“创建”。
- 在“创建日志告警规则”页面,配置告警规则相关参数,具体参数说明如所示表 告警条件填写说明。
表3 告警条件填写说明 参数类别
参数名称
参数说明
基本信息
规则名称
规则的名称。名称只支持输入英文、数字、中文、中划线、下划线,且不能以中划线、下划线开头或结尾。长度为 1-64个字符。
说明:告警创建完成后,支持修改规则名称,修改完成后,鼠标悬浮在规则名称上,显示修改后的规则名称和原始名称。
描述
对该规则进行简要描述。长度不能超过64个字符。
统计分析
统计类型
SQL统计:使用旧SQL引擎配置告警。
相关图表
有两种添加方式:直接添加和从图表导入
- 直接添加:单击“直接添加”,可选择日志组、日志流。具体的参数配置信息如下:
日志组名称:日志组的名称,必选项。
日志流名称:日志组下的日志流名称,必选项。说明:若所选日志流未配置结构化规则,请先配置结构化。
查询时间:当前所选日志的查询时间,可选项。查询时间(1 ~ 60分钟/1 ~ 24小时),单位为分钟或小时。
查询语句:可视化查询语句,必填项。具体请参考SQL语法查询。
- 从图表导入:单击
,进入“添加可视化图表”页面,选择对应日志组、日志流下的可视化图表,单击“确定”。若该日志流下没有图表或没有所需的图表,单击界面上的“前往添加图表”,进入可视化界面,设置完成后单击“保存并返回”返回到告警规则界面,自动打开创建规则弹框,填充新创建的图表及图表的查询语句。
可以指定图表的查询时间(1 ~ 60分钟/1 ~ 24小时),单位为分钟或小时,每个图表最多可以查询最近一天的数据,当统计周期选择1~4分钟时,图表查询时间不能超过1小时。
若想添加多个图表,可单击
继续添加。说明:- 单击
跳转到日志流的可视化查看详情界面。 - 单击
删除该直接添加的图表。 - 单击“预览”可查看可视化分析后的数据。必须要执行“预览”,否则将无法保存该告警规则。
- 最多支持添加3个图表。
- 图表不能为空,且图表中的sql查询语句不能为空。
- 单击
校验规则
输入具体的条件表达式,当条件表达式返回为true的时候,产生告警,否则不产生告警。说明:条件表达式不支持中文。
条件表达式支持的基础语法和多表组合语法。
- 基础语法:
- 基础运算符:支持加(+)、减(-)、乘(*)、除(/)、取模运算(%)。 示例:x * 10 + y > 100。
- 比较运算符:支持大于(>)、大于等于(>=)、小于(<)、小于等于(<=)、等于(==)、不等于(!=)。示例:x >= 100。
- 逻辑运算符:支持与(&&)、或(||)。示例:x > 0 && y < 200。
- 取反前缀:支持取反前缀(!)。 示例:!(x < 1 && x > 100)。
- 数值常量:支持数值常量,并作为64位浮点数处理。示例:x > 10。
- 字符串常量:支持字符串常量("字符串"),例如"string"。示例:str =="string"。
- 布尔常量:支持布尔常量(true、false)。示例:(x < 100)!=true。
- 括号:支持使用括号改变计算的优先级。示例:x *(y + 10)<200。
- contains函数:支持使用contains函数判断是否包含子串,例如contains(str, "hello")返回true则表示str中包含hello子串。
- 多表组合语法:
- 基础运算符:(+-*/%)。
- 比较运算符:大于(>)、大于等于(>=)、小于(<)、小于等于(<=)、等于(==)、不等于(!=)。
- 逻辑运算符:与(&&)、或(||)。
- 取反前缀(!)。
- contains函数。
- 括号()。
说明:- 统计周期指高级设置的统计周期;满足条件指设置的条件表达式。配置的统计周期次数须大于等于满足触发条件次数。
- 触发告警级别包括“紧急”、“重要”、“次要”、“提示”,默认“紧急”。
- 统计周期次数最小值为1,最大值为10。
高级设置
统计周期
条件表达式查询的频率可以设置为:
- 每小时:表示整点小时查询。
- 每天:需要指定几点整查询。
- 每周:需要指定周几的几点整查询。
- 固定间隔:自定义间隔周期,需要指定1-60分钟/1-24小时。例如:当前时间为9:00,固定间隔设置为5分钟,则第一次查询时间为9:00,第二次查询时间为9:05,第三次查询时间为9:10.....
说明:
当查询时间大于1小时,固定间隔时间最小取值为5分钟。
- CRON表达式:CRON表达式的最小精度为分钟,格式为24小时制,示例如下:
- 0/10 * * * *从00:00开始,每隔整10分钟查询一次,分别为10分钟、20分钟、30分钟、40分钟、50分钟、60分钟。例如:当前时间为16:37,下一次查询时间为16:50。
- 0 0/5 * * *从00:00开始,每隔5小时查询一次,分别为0时、5时、10时、15时、20时。例如:当前时间为16:37,下一次查询时间为20:00。
- 0 14 * * *每天14:00查询一次。
- 0 0 10 * *每月10日00:00查询一次。
恢复策略
配置恢复策略,即满足该策略时,会发送告警恢复通知。
配置的最近统计周期次数内,如果不满足触发条件且开启恢复时通知开关,则会发送恢复告警通知。
最近统计周期次数最小值为1,最大值为10。
通知场景
- 告警触发时:用于发送触发告警通知。开启该按钮,当满足触发条件时,会发送告警通知;未开启该按钮,当满足触发条件时,不会发送告警通知。
- 告警恢复时:用于发送恢复告警通知。开启该按钮,当满足恢复策略时,会发送恢复告警通知;未开启该按钮,当满足恢复策略时,不会发送恢复告警通知。
通知频率
支持选择立即通知、每5分钟、每10分钟、每15分钟、每30分钟、每1小时、每3小时、每6小时发送告警。
立即通知指只要产生告警就发送通知,每10分钟指的是两次通知之间最小时间间隔为10分钟,可避免告警轰炸。
告警行动规则
请从下拉列表中选择已创建的告警行动规则。
若没有,请单击右侧“创建告警行动规则”,详细操作请见创建告警行动规则。
语言
发送告警的语言,支持中文(简体)和英文。
- 直接添加:单击“直接添加”,可选择日志组、日志流。具体的参数配置信息如下:
- 单击“确定”,完成告警规则的创建。
