更新时间:2022-08-13 21:11:37
1. 在规则策略页面,点击【+新建】进入新建规则页面,如下所示:

► 告警类型:实时告警  
元素名称 元素说明
*规则类型 设置规则类型:事件计数、字段聚合
*日志类型 选择日志类型,通过日志类型过滤告警数据源
数据筛选 设置通过字段关键字对告警数据源进行筛选
说明:多个数据筛选条件可通过逻辑运算符 AND/OR 进行组合
数据分组 相当于 SQL 中的 GroupBy,根据指定字段对告警数据进行分组,最多可添加 5 个分组字段:
• 若未添加分组字段添加,则对全部告警数据进行聚合;
• 若添加分组字段,则当触发告警策略产生告警记录时,在告警记录页可选字段齿轮展示列表中可查看到分组字段
说明:别名为在告警记录页面展示的字段名,默认显示原字段名,别名不可重名
*触发条件 • 规则类型为事件计数:设置事件集在某个时间内发生次数的阈值;超过阈值,则触发告警;
 
• 规则类型为字段聚合:设置事件集内某个字段的聚合值在某个时间内发生次数的阈值;超过阈值,则触发告警
 
注意:所选字段为非数值类型时,聚合类型:去重计数;所选字段为数值类型时,聚合类型:去重计数(默认)、最小值、最大值、平均值、总和
严重性 设置告警的紧急程度:低危(默认)、中危、高危

► 告警类型:计划告警
元素名称 元素说明
*规则类型 源端日志未采集告警
*监控对象 设置需要监控的主机对象,提供主机、主机组 2 种选择方式:
• 主机:对所选主机进行告警监控,支持添加多个;
• 主机组:对所选主机组内的所有主机进行监控,支持添加多个
注意:源端日志未采集告警的监控对象需保证为已配置 AnyRobot Agent 采集任务的主机,关于如何给主机配置 AnyRobot Agent 采集任务,详细请参见 Agent管理 章节
*触发条件 设置被监控主机未采集到日志文件的时间阈值(默认 24 小时);超过阈值,则触发告警
严重性 设置告警的紧急程度:低危(默认)、中危、高危

2. 完成规则参数配置后,点击【保存】完成规则创建操作。