日志检测¶
日志检测功能用于监控工作空间内由日志采集器生成的所有日志数据。它支持通过设置基于日志关键字的告警规则,以便快速识别出与预期行为不符的异常模式,例如日志文本中出现的异常标签等。这样可以及时发现并响应潜在的安全威胁或系统问题。
应用场景¶
多适用于 IT 监控场景下的代码异常或任务调度检测等。例如监控日志错误率过高。
检测配置¶
检测频率¶
即检测规则的执行频率;默认选中 5 分钟。
检测区间¶
即每次执行任务时,检测指标查询的时间范围。受检测频率影响,可选检测区间会有不同。
| 检测频率 | 检测区间(下拉可选项) |
|---|---|
| 1m | 1m/5m/15m/30m/1h/3h |
| 5m | 5m/15m/30m/1h/3h |
| 15m | 15m/30m/1h/3h/6h |
| 30m | 30m/1h/3h/6h |
| 1h | 1h/3h/6h/12h/24h |
| 6h | 6h/12h/24h |
| 12h | 12h/24h |
| 24h | 24h |
检测指标¶
监控一定时间范围内,指定检测对象的日志列表上出现所设关键字的日志数量。
| 字段 | 说明 |
|---|---|
| 索引 | 当前检测指标所属的索引。 在日志 > 索引设置索引以后,在图表查询的数据源选择“日志”时,支持选择不同的索引对应的日志内容,默认为索引 default。 |
| 来源 | 当前检测指标的数据来源,支持选择全部(*)或指定单个数据来源。 |
| 关键字搜索 | 支持关键字搜索 |
| 筛选条件 | 基于指标的标签对检测指标的数据进行筛选,限定检测的数据范围;支持添加一个或多个标签筛选;支持模糊匹配和模糊不匹配的筛选条件。 |
| 聚合算法 | 默认选中 “*”,对应的函数是 count。若选中其他字段,函数自动变为 count distinct(取关键字出现的数据点数)。 |
| 检测维度 | 配置数据里对应的字符串类型(keyword)字段都可以作为检测维度进行选择,目前检测维度最多支持选择三个字段。通过多个检测维度的字段组合,可以确定一个确定的检测对象,观测云会判断某个检测对象对应的统计指标是否满足触发条件的阈值,若满足条件则产生事件。(例如选择检测维度 host 与 host_ip,则检测对象可以为 {host: host1, host_ip: 127.0.0.1}。)当检测对象为“日志”,默认以 status,host,service,source,filename 为检测维度。 |
| 查询方式 | 支持简单查询和表达式查询。若查询方式为表达式查询且含多个查询,日志检测对象为同一个。如表达式查询 A 的检测对象为“日志”,则表达式查询 B 的检测对象也为“日志”。 |
触发条件¶
设置告警级别的触发条件:您可任意配置紧急、重要、警告、正常的其中一种触发条件。
配置触发条件及严重程度,当查询结果为多个值时,任一值满足触发条件则产生事件。
更多详情,可参考 事件等级说明。
若开启连续触发判断,可配置连续多次判断触发条件生效后,再次触发生成事件。最大上限 10 次。
告警级别
-
告警级别紧急(红色)、重要(橙色)、警告(黄色):基于配置条件判断运算符。
-
告警级别正常(绿色):基于配置检测次数,说明如下:
-
每执行一次检测任务即为 1 次检测,如【检测频率 = 5 分钟】,则 1 次检测= 5 分钟;
- 可以自定义检测次数,如【检测频率 = 5 分钟】,则 3 次检测 = 15 分钟。
| 级别 | 描述 |
|---|---|
| 正常 | 检测规则生效后,产生紧急、重要、警告异常事件后,在配置的自定义检测次数内,数据检测结果恢复正常,则产生恢复告警事件。 恢复告警事件不受告警沉默限制。若未设置恢复告警事件检测次数,则告警事件不会恢复,且一直会出现在事件 > 未恢复事件列表中。 |
数据断档¶
针对数据断档状态,可配置七种策略。
-
联动检测区间时间范围,判断检测指标最近分钟数的查询结果,不触发事件;
-
联动检测区间时间范围,判断检测指标最近分钟数的查询结果,查询结果视为 0;此时查询结果将重新与上方触发条件中配置的阈值做比较,从而判断是否触发异常事件。
-
自定义填充检测区间值,触发数据断档事件、触发紧急事件、触发重要事件、触发警告事件及触发恢复事件;选择该类配置策略,自定义数据断档时间配置建议 >= 检测区间时间间隔,若配置时间 <= 检测区间时间间隔,可能存在同时满足数据断档和异常情况,此情况下仅会应用数据断档处理结果。
信息生成¶
开启此选项后,将未匹配到以上触发条件的检测结果生成 “信息” 事件写入。
注意:若同时配置触发条件、数据断档、信息生成时,按照如下优先级判断触发:数据断档 > 触发条件 > 信息事件生成。