未恢复事件查看器¶
进入事件,观测云默认为您展示未恢复事件查看器,您可以查看到空间内持续被触发的全部未恢复事件,及不同告警级别下未恢复事件的数据量统计、告警信息详情等。
在未恢复事件查看器,您可以:
- 统计不同告警状态下的事件数量,通过点击告警状态进行快速筛选,包括未恢复(
df_status != ok)、紧急(critical)、重要(error)、警告(warning)、无数据(nodata); - 基于标签、字段、文本(包含日志文本)对事件进行关键词搜索、标签筛选、字段筛选、关联搜索等;
- 查看当前告警事件信息,包括该事件的检测维度、告警开始的时间、告警持续的时间,以及最近 6 小时的事件发生趋势。
数据状态¶
在未恢复事件查看器,基于监控器的触发条件配置会产生 未恢复(df_status != ok)、紧急(critical)、重要(error)、警告(warning)、无数据(nodata) 的状态统计,您也可以参考 阈值检测 配置一个监控器,并为监控器设定触发条件。
更多详情,可参考 事件等级说明。
事件信息¶
在未恢复事件查看器,您可以查看当前告警事件信息,包括该事件的等级、事件持续时间(产生时间)、告警通知、检测类型、检测维度、事件内容、事件内容检测查询语句以及展开查看最近 6 小时的事件发生的异常趋势。
事件异常趋势¶
该趋势通过 Window 函数进行展示:
- 检测结果值历史趋势展示实际数据的 60 次检测;
- 根据图表竖线可快速识别出当前事件触发的时间点,上方显示实际数据;
- 基线显示根据监控器配置的阈值触发;
- 检测库规则类型为阈值、日志、应用性能指标、用户访问指标检测、安全巡检、异常进程、云拨测检测时,根据不同告警等级对应的色块可查看相关异常检测指标数据,包括紧急、错误、警告。
检测维度¶
在未恢复事件查看器,点击事件检测维度,可根据触发的检测维度跳转至相关的查看器,若无相关检测查询数据则无法跳转。
注意:若点击单个检测维度,则基于该维度显示相关操作;若点击空白处,则触发所有检测维度。
| 操作 | 说明 |
|---|---|
| 筛选字段值 | 即添加该标签至事件查看器,查看与该主机相关的全部事件数据。 |
| 反向筛选字段值 | 即添加该标签至事件查看器,查看除了该主机以外,其他主机相关的全部事件数据。 |
| 复制 | 即复制该标签内容至剪贴板。 |
查询与分析¶
-
时间控件:未恢复事件查看器默认查询最近 48 小时数据,您也可以自定义数据展示的时间范围。
-
搜索与筛选:在未恢复事件查看器搜索栏,支持多种搜索方式和筛选方式。
-
快捷筛选:通过列表左侧的快捷筛选,支持编辑快捷筛选,添加新的筛选字段。
- 注意:在未恢复事件查看器不支持自定义添加筛选字段。
-
保存快照:在事件查看器左上角,点击查看历史快照,即可直接保存当前事件的快照数据,通过快照功能,您可以快速复现即时拷贝的数据副本信息,将数据恢复到某一时间点和某一数据展示逻辑。
-
筛选历史:观测云支持在筛选历史保存查看器
key:value的搜索条件历史,应用于当前工作空间不同的查看器。 -
导出:可将未恢复事件导出为 CSV 文件。
显示偏好¶
您可选择未恢复时间列表的显示样式,支持两种选项:标准、扩展。
选择标准时:可见当前事件的事件标题、检测维度及事件内容;
选择扩展时:还可打开所有未恢复事件的检测结果值历史趋势。
Issue & 新建 Issue¶
您可以针对当前未恢复事件创建 Issue,并通知相关成员来追踪处理。
若当前事件与某个异常追踪产生关联,在事件列表,您可点击图标直接跳转查看:
恢复事件¶
即事件状态为正常的事件(df_sub_status = ok)。您可以在监控器配置触发条件时设置事件恢复规则,或者手动恢复事件。
恢复事件包括恢复、无数据恢复、无数据视为恢复、手动恢复四种场景,见下表:
| 名称 | df_status |
说明 |
|---|---|---|
| 恢复 | ok | 若之前检测过程中触发过“紧急”“重要”“警告”这 3 种异常事件,根据前端配置的 N 次检测做判断,检测次数内无“紧急”“重要”“警告”事件产生,则视为恢复,并产生正常恢复事件。 |
| 无数据恢复 | ok | 若之前检测过程中因为数据停止上报触发无数据异常事件,新的数据重新上报后则判断为恢复产生无数据恢复事件。 |
| 无数据视为恢复 | ok | 若检测数据中出现无数据情况,那么视此情况为正常状态,并产生恢复事件。 |
| 手动恢复 | ok | 由用户手动点击恢复产生的 OK 事件,支持单条/批量恢复。 |
在未恢复事件查看器中,鼠标移到事件,在事件右侧可以查看到恢复按钮置灰。
未恢复事件列表,支持手动批量恢复事件。
