657      iPhone_iPad_Mac_apple

LogSearch-報警__Getting-Started_日誌服務-阿裏雲

日誌服務支持基於用戶 日誌查詢結果 進行報警，用戶可以通過配置報警規則將具體報警內容以短信方式發送到指定手機。

基本流程為：

1. 配置快速查詢
2. 係統定時運行快速查詢，判斷是否觸發報警條件
3. 發送短信/查看報警結果

1.配置快速查詢

日誌查詢結果的2種表示

1. 結果直接返回：直接返回命中日誌數目
2. 結果統計（推薦）：根據時間段內命中數目分布

結果直接返回

例如我們查詢最近15分鍾內包含error數據如下:條件為”error”，一共有477條，分布如下：

每條內容都是Key、Value組合，我們可以對某個Key下Value設置報警條件。

對於查詢結果一次超過10條的情況，報警規則隻判斷 前10條 ，其中有任何一條符合條件，都會觸發報警

從這個例子上我們可以看到，報警隻會判斷477條中前10條，存在誤差。因此我們推薦對統計結果進行報警。

結果統計（Histogram查詢）

結果統計增加timeslice語法對查詢結果定義統計區間，如下（詳細查詢語法）：

where_condition | timeslice 1[hms] |count
h為一小時，m為一分鍾，s為一秒鍾

例如我們將上述查詢做一個區間匯總，條件為”error | timeslice 15m | count as c”，結果如下：

因此我們就可以設一個條件”c > 10”來判斷該每個15分鍾區間內是否包含”error”關鍵詞是否超過10條來進行報警。

通過變更timeslice的參數，可以靈活的調整區間大小。例如匯總2個小時窗口內是否出現等。

2. 創建報警規則

用戶進入日誌服務控製台，選擇指定日誌庫（logstore）進入查詢頁麵，根據需求指定完成日誌庫（logstore）、主題（topic）和查詢語句後，搜索指定日誌，首先將第一步的查詢參數通過“另存為”鏈接保存為“快速查詢”。

點擊“確定”保存之後，再點擊另存為“報警”（規則配置頁麵如下所示）。

2.1 規則說明

• 首先請務必按照“提示”授權日誌服務讀取指定logstore數據權限，詳情參考授權文檔說明。
• 快速查詢名稱：目前支持選擇已經創建的快速查詢

• 數據查詢時間：服務端每次執行報警檢查讀取的數據時間範圍，600即對最近600秒到執行檢查的當前時間進行查詢。

  注意：目前服務端每次報警規則檢查隻會采樣處理時間區間開始的前10條數據

• 檢查間隔：服務端每次執行報警檢查的時間間隔（目前最小間隔支持5min）

• 觸發次數：報警檢查連續觸發的次數，比如間隔為5分鍾，2代表連續2次檢查滿足報警條件即發送報警（報警最快間隔為10分鍾）
• 字段名稱：日誌內容中用於報警的key名稱
• 比較符：支持數值類（大於/大於等於/小於/小於等於）和字符類（包含類/正則匹配），如下：

3. 查看報警結果

創建完成報警規則後，可以在“LogSearch - 索引查詢”功能列表裏麵找到“報警功能”，找到指定報警規則名稱，點擊“查看報警記錄”即可查看具體報警結果。

3.1 報警短信通知

當前一個報警配置目前隻支持一個手機號碼，同一個手機號碼一天短信通知上限為20條。

我們在二期（計劃）會支持根據MNS（消息通知服務），支持http推送其他通知係統。

最後更新：2016-12-15 12:54:37

  上一篇： LogHub-監控__Getting-Started_日誌服務-阿裏雲

  下一篇： LogSearch-索引__Getting-Started_日誌服務-阿裏雲