1. 在规则策略页面,点击【+新建】进入新建规则页面,如下所示:
► 告警类型:实时告警
| 元素名称 |
元素说明 |
| *规则类型 |
设置规则类型:事件计数、字段聚合 |
| *日志类型 |
选择日志类型,通过日志类型过滤告警数据源 |
| 数据筛选 |
设置通过字段、关键字对告警数据源进行筛选
说明:多个数据筛选条件可通过逻辑运算符 AND/OR 进行组合 |
| 数据分组 |
相当于 SQL 中的 GroupBy,根据指定字段对告警数据进行分组,最多可添加 5 个分组字段:
• 若未添加分组字段添加,则对全部告警数据进行聚合;
• 若添加分组字段,则当触发告警策略产生告警记录时,在告警记录页可选字段齿轮展示列表中可查看到分组字段
说明:别名为在告警记录页面展示的字段名,默认显示原字段名,别名不可重名 |
| *触发条件 |
• 规则类型为事件计数:设置事件集在某个时间内发生次数的阈值;超过阈值,则触发告警;
• 规则类型为字段聚合:设置事件集内某个字段的聚合值在某个时间内发生次数的阈值;超过阈值,则触发告警
注意:所选字段为非数值类型时,聚合类型:去重计数;所选字段为数值类型时,聚合类型:去重计数(默认)、最小值、最大值、平均值、总和 |
| 严重性 |
设置告警的紧急程度:低危(默认)、中危、高危 |
► 告警类型:计划告警
| 元素名称 |
元素说明 |
| *规则类型 |
源端日志未采集告警 |
| *监控对象 |
设置需要监控的主机对象,提供主机、主机组 2 种选择方式:
• 主机:对所选主机进行告警监控,支持添加多个;
• 主机组:对所选主机组内的所有主机进行监控,支持添加多个
注意:源端日志未采集告警的监控对象需保证为已配置 AnyRobot Agent 采集任务的主机,关于如何给主机配置 AnyRobot Agent 采集任务,详细请参见 Agent管理 章节 |
| *触发条件 |
设置被监控主机未采集到日志文件的时间阈值(默认 24 小时);超过阈值,则触发告警
 |
| 严重性 |
设置告警的紧急程度:低危(默认)、中危、高危 |
2. 完成规则参数配置后,点击【保存】完成规则创建操作。
