Oracle Cloud Infrastructure-Dokumentation

Alarmkörper anpassen

Sie können Alarmtext in die Alarmdefinition schreiben, indem Sie diese dynamischen Variablen aus den Metrikdaten verwenden, die den Alarm ausgelöst haben.

Einzelheiten und Schritte zum Anpassen des Alarmbodys finden Sie im Schritt Alarmübersicht unter Basisalarm erstellen.

Beispiel: Erstellen Sie eine URL im Alarmtext, um die Logdatensätze für Alarmauslöser im Log Explorer anzuzeigen

Möglicherweise möchten Sie eine aussagekräftige URL im Alarmtext verwenden, um zum Log Explorer zurückzukehren und die Logdatensätze anzuzeigen, die den Alarm ausgelöst haben. Dazu übergeben Sie einen Zeitraum und einige zusätzliche Filter.

Das Beispiel wird in den folgenden beiden Workflows dargestellt:

Details zu den Log Explorer-URL-Parametern finden Sie unter Log Explorer-URL-Parameter.

Erkennungsregel für Aufnahmezeit verwenden

In der Regel übergeben Sie in diesem Ablauf den Label-Namen. Darüber hinaus übergeben wir im folgenden Beispiel auch die Entity (mtgt).

  • Detektionsregeldefinition:

    Berücksichtigen Sie die Erfassungszeiterkennungsregel mit der folgenden Konfiguration:

    • Erkennungsregelname: http errors
    • Die Erkennungsregel wird ausgelöst, wenn mindestens ein Logdatensatz in einem Zeitraum von einer Minute gefunden wird, dem das Label HTTP Error zugewiesen wurde. Die Zuweisung dieses Labels erfolgt automatisch in der Anreicherungskonfiguration, wenn die Daten aufgenommen werden.
    • Wenn mindestens 1 übereinstimmender Logdatensatz in einem Zeitraum von einer Minute vorhanden ist, erhält eine Metrik http_errors im Namespace logging_analytics_test einen neuen Wert.
    • Die Dimensionen werden basierend auf den geparsten Logfeldern Entity und Host IP Address (Client) hinzugefügt.
    • Darüber hinaus werden die Dimensionen automatisch für das Label (in diesem Fall HTTP Error) und die Erkennungsregel-OCID hinzugefügt. Das sind implizite Dimensionen.
  • Durch Erkennungsregel generierte Metriken im Metrik-Explorer anzeigen:
    Von der Erkennungsregel generierte Metriken im Metrik-Explorer anzeigen

    Wenn Sie den Metrik-Explorer für die Metrik http-Fehler betrachten, können Sie die folgenden Informationen beachten:

    Dieser Beschriftung entsprechen drei Datenpunkte mit 18-, 3- und 4-Logdatensätzen, die mit dem Log Explorer übereinstimmen.

    Die folgenden Dimensionen werden angezeigt. Beachten Sie, dass Host IP Address (Client) nicht angezeigt wird, weil die Logdatensätze, aus denen die Alarme ausgelöst wurden, keinen Wert für dieses Feld hatten.


    Angezeigte Metrikdimensionen

  • Alarmtext anpassen:

    Für die Logdatensätze, die den Alarm ausgelöst haben, sind hier die Werte der Dimensionen:


    Werte der Metrikdimensionen

    Wenn Sie die folgende Abfrage ausführen, kehren Sie im Kontext zum Log Explorer zurück. Beispiel: Wenn der Alarm in 18 übereinstimmenden Logdatensätzen ausgelöst wird (dem ersten Datenpunkt im Metrik-Explorer):

    Label = 'HTTP Error' and Entity='mushop-ZKjW' | where Time > dateAdd(1708916460000, minute, -1) and Time < dateAdd(1708916460000, minute, 1) | timestats count as logrecords

    Hier stammen die Werte HTTP Error, mushop-ZKjW und 1708916460000 aus den Alarmvariablen. In der Abfrage suchen wir die Zeit eine Minute vor und nach der Alarmzeit. Sie können dies in der Abfrage anpassen.

    Hier ist ein Beispiel für den Inhalt des Alarms, der Ihnen einen Link in Ihrer E-Mail gibt, um zu dieser Ansicht zurückzukehren:

    This alarm indicates that one or more HTTP Errors have occurred. You can see the original log records here:
https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&timeNum=1&timeUnit=week&filters=label__:__{{Dimensions.Label}}__;__entity__:__{{Dimensions.mtgt}}&query=* | where time > dateadd({{timestampEpochMillis}}, minute, -1) and time < dateadd{{timestampEpochMillis}}, minute, 1) | timestats count as logrecords

    Bevor die Alarmbenachrichtigung generiert wird, werden die Variablen in {{}} durch den Monitoring-Service ersetzt, indem ein resultierender Alarmtext angegeben wird: 

    This alarm indicates that one or more HTTP Errors have occurred. You can see the original log records here:   
https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&timeNum=1&timeUnit=week&filters=label__:__HTTP Error__;__entity__:__mushop-ZKjW&query=* | where time > dateadd(1708916460000 , minute, -1) and time < dateadd(1708916460000, minute, 1) | timestats count as logrecords
  • Ergebnis im Log Explorer anzeigen:

    Wenn Sie auf den Link in Ihrer E-Mail klicken und sich bei Ihrem Mandanten angemeldet haben, wird Folgendes angezeigt:


    Ergebnisse im Log Explorer anzeigen

Erkennungsregel für gespeicherte Suchen verwenden

  • Detektionsregeldefinition:

    Beachten Sie die Erkennungsregel für gespeicherte Suchen mit der folgenden Konfiguration:

    • Die Erkennungsregel löst einen Alarm aus, wenn der Anzahl der Metrik TestScheduleSearchRule_1760375049378 größer als der Schwellenwert von 1 ist.
    • Das Intervall ist auf 5m gesetzt. Die Alarmauslöserverzögerung beträgt also 5 Minuten.
    • Wenn mindestens 1 übereinstimmender Logdatensatz in einem 5-Minuten-Zeitraum vorhanden ist, erhält eine Metrik TestScheduleSearchRule_1760375049378 im Namespace lg_an einen neuen Wert.
    • Die Dimensionen werden basierend auf den geparsten Logfeldern savedSearchId und detectionRuleId hinzugefügt.
  • Alarmtext anpassen:

    Eine typische Alarmbody-URI kann wie folgt geschrieben werden:

    https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&savedSearchId={{Dimensions.savedSearchId}}&detectionRuleId={{Dimensions.resourceId}}&endTime={{timestampEpochMillis}}

    Dabei gilt:

    • savedSearchId und detectionRuleId sind die Dimensionen für die von der Erkennungsregel geposteten Metriken.

    • Die Alarmtriggerzeit (endTime) kann über timestampEpochMillis abgerufen werden.

    endTime ist die Alarmauslösungszeit. Die savedSearchDuration kann von detectionRuleId abgerufen werden. Daher wird startTime abgeleitet, indem savedSearchDuration von endTime rabattiert wird. Beispiel: Wenn Intervall auf 5 Minuten gesetzt ist, wird startTime = endTime-300000 verwendet.

    Wenn die Triggerverzögerung 5 Minuten beträgt, kann die Alarmbody-URI so geändert werden, dass sie die Triggerverzögerung als Offset enthält:

    https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&savedSearchId={{Dimensions.savedSearchId}}&detectionRuleId={{Dimensions.resourceId}}&endTime={{timestampEpochMillis}}&offset=300000

Ähnlich wie im Beispiel mit der Erfassungszeiterkennungsregel können Sie die von der Erkennungsregel für gespeicherte Suchen generierten Metriken im Metrik-Explorer anzeigen. Wenn Sie im Alarmtext auf die URL klicken, wird das Ergebnis auch im Log Explorer angezeigt.