日志检测¶
日志检测功能用于监控工作空间内由日志采集器生成的所有日志数据。它支持通过设置基于日志关键字的告警规则,以便快速识别出与预期行为不符的异常模式,例如日志文本中出现的异常标签等。这样可以及时发现并响应潜在的安全威胁或系统问题。
应用场景¶
多适用于 IT 监控场景下的代码异常或任务调度检测等。例如监控日志错误率过高。
检测配置¶
检测频率¶
即检测规则的执行频率;默认选中 5 分钟。
检测区间¶
即每次执行任务时,检测指标查询的时间范围。受检测频率影响,可选检测区间会有不同。
| 检测频率 | 检测区间(下拉可选项) |
|---|---|
| 1m | 1m/5m/15m/30m/1h/3h |
| 5m | 5m/15m/30m/1h/3h |
| 15m | 15m/30m/1h/3h/6h |
| 30m | 30m/1h/3h/6h |
| 1h | 1h/3h/6h/12h/24h |
| 6h | 6h/12h/24h |
| 12h | 12h/24h |
| 24h | 24h |
检测指标¶
监控一定时间范围内,指定检测对象的日志列表上出现所设关键字的日志数量。
| 字段 | 说明 |
|---|---|
| 索引 | 当前检测指标所属的索引;可多选。 ❗️ 在日志 > 索引设置索引以后,在图表查询的数据源选择“日志”时,支持选择不同的索引对应的日志内容,默认为索引 default |
| 来源 | 当前检测指标的数据来源,支持选择全部(*)或指定单个数据来源 |
| 关键字搜索 | 支持关键字搜索 |
| 筛选条件 | 基于指标的标签对检测指标的数据进行筛选,限定检测的数据范围;支持添加一个或多个标签筛选;支持模糊匹配和模糊不匹配的筛选条件 |
| 聚合算法 | 默认选中 “*”,对应的函数是 count。若选中其他字段,函数自动变为 count distinct(取关键字出现的数据点数) |
| 检测维度 | 配置数据里对应的字符串类型(keyword)字段都可以作为检测维度进行选择,目前检测维度最多支持选择三个字段。通过多个检测维度的字段组合,可以确定一个确定的检测对象,系统会判断某个检测对象对应的统计指标是否满足触发条件的阈值,若满足条件则产生事件。(例如选择检测维度 host 与 host_ip,则检测对象可以为 {host: host1, host_ip: 127.0.0.1}。)当检测对象为“日志”,默认以 status,host,service,source,filename 为检测维度 |
| 查询方式 | 支持简单查询和表达式查询。若查询方式为表达式查询且含多个查询,日志检测对象为同一个。如表达式查询 A 的检测对象为“日志”,则表达式查询 B 的检测对象也为“日志” |
触发条件¶
设置告警级别的触发条件:您可任意配置紧急、重要、警告、正常的其中一种触发条件。
配置触发条件及严重程度,当查询结果为多个值时,任一值满足触发条件则产生事件。
更多详情,可参考 事件等级说明。
连续触发判断¶
开启后,可配置连续多次判断触发条件生效后(❗️最大配置上限为 10 次),再次触发生成事件。
大批量告警保护¶
系统默认开启。
当单次检测产生的告警数量超过预设阈值时,系统会自动切换到按状态汇总策略:不再逐个处理告警对象,而是根据事件状态生成少量摘要告警并进行推送。
这样既能确保通知的及时性,又能显著减少告警噪声,避免因处理过多告警而导致超时风险。
当此开关开启,后续监控器检测到异常后产生的此类事件详情中不会展示历史记录和关联事件。
告警级别¶
-
告警级别:致命、严重、重要、警告;
-
告警级别:正常:基于配置检测次数,说明如下:
-
每执行一次检测任务即为 1 次检测,如
检测频率 = 5 分钟,则 1 次检测 = 5 分钟; -
可以自定义检测次数,如
检测频率 = 5 分钟,则 3 次检测 = 15 分钟。
级别 描述 正常 检测规则生效后,若在配置的自定义检测次数内,数据检测结果由异常(致命、严重、重要、警告)恢复正常,则触发恢复告警事件。
❗️ 恢复告警事件不受告警沉默限制。若未设置恢复告警事件检测次数,则告警事件不会恢复,且一直会出现在事件 > 未恢复事件列表中 -
数据断档¶
针对数据断档状态,共支持配置以下七种处理策略:
1. 不触发事件
联动检测区间的时间范围,根据检测指标在最近若干分钟内的查询结果,判断是否生成事件。
2. 查询结果视为 0
联动检测区间的时间范围,将检测指标在最近若干分钟内的查询结果视为 0,并重新与上方触发条件中配置的阈值进行比较,以判断是否触发异常事件。
3. 自定义填充并触发事件
支持自定义填充检测区间值,并分别触发以下事件类型:数据断档事件、紧急事件、重要事件、警告事件及恢复事件。
选择此策略时,建议自定义的数据断档时间配置 ≥ 检测区间的时间间隔;若配置时间 ≤ 检测区间时间间隔,可能会出现数据断档与异常同时满足的情况,此时将优先应用数据断档处理结果。
信息生成¶
开启此选项后,系统会将所有未匹配到上述触发条件的检测结果,以“信息”事件的形式进行写入。
当同时配置了触发条件、数据断档和信息生成时,触发判断的优先级顺序为:数据断档 > 触发条件 > 信息事件生成。
后续配置¶
完成检测规则配置后,您还需要进行以下相关设置:
-
事件通知:自定义事件标题、内容及通知成员。可按需开启自定义通知或关联故障功能,并配置数据断档的处理方式与事件级别;
-
告警配置:选择告警策略,以控制告警的触发频率及静默规则;
-
关联配置:关联仪表板,以便在可视化界面中查看监控上下文;
-
权限设置:配置操作权限,支持自定义或跟随监控器默认权限。
更多详情,可参考 规则配置。