Documentation sur Oracle Cloud Infrastructure

Personnaliser le corps de l'alarme

Vous pouvez écrire le corps de l'alarme dans la définition de l'alarme à l'aide des variables dynamiques des données de mesure qui ont déclenché l'alarme.

Pour plus de détails et les étapes permettant de personnaliser le corps de l'alarme, voir l'étape Sommaire de l'alarme dans Création d'une alarme de base.

Exemple : Créer une URL dans le corps de l'alarme pour voir les enregistrements de journal de déclenchement d'alarme dans l'explorateur de journaux

Vous pouvez avoir une URL significative dans le corps de l'alarme pour revenir à l'explorateur de journaux pour voir les enregistrements de journaux qui ont déclenché l'alarme. Pour ce faire, passez un intervalle de temps et quelques filtres supplémentaires.

L'exemple est présenté dans les deux flux de travail suivants :

Pour plus de détails sur les paramètres d'URL de l'explorateur de journaux, voir Paramètres d'URL de l'explorateur de journaux.

Utilisation de la règle de détection lors de l'ingestion

En général, dans ce flux, vous transmettez le nom de l'étiquette. De plus, dans l'exemple suivant, nous transmettrons également l'entité (mtgt).

  • Définition de règle de détection :

    Tenez compte de la règle de détection lors de l'ingestion qui a la configuration suivante :

    • Nom de la règle de détection : http errors
    • La règle de détection se déclenche lorsqu'elle trouve au moins un enregistrement de journal dans une période d'une minute auquel l'étiquette HTTP Error a été affectée. L'affectation de cette étiquette est effectuée automatiquement dans la configuration d'enrichissement lorsque les données sont ingérées.
    • Lorsqu'il y a au moins 1 enregistrement de journal correspondant dans une période d'une minute, une mesure http_errors dans l'espace de noms logging_analytics_test obtient une nouvelle valeur.
    • Les dimensions sont ajoutées en fonction des champs de journal analysés Entité et Adresse IP hôte (Client).
    • En outre, les dimensions sont automatiquement ajoutées pour l'étiquette (HTTP Error dans ce cas) et l'OCID de la règle de détection. Ce sont des dimensions implicites.
  • Voir les mesures générées par une règle de détection dans l'explorateur de mesures :
    Voir les mesures générées par la règle de détection dans l'explorateur de mesures

    Lorsque vous consultez l'explorateur de mesures pour la mesure Erreurs HTTP, vous pouvez noter les informations suivantes :

    Avec l'explorateur de journaux, trois points de données avec les enregistrements de journal 18, 3 et 4 correspondent à cette étiquette.

    Les dimensions suivantes sont affichées. Notez que Host IP Address (Client) n'est pas affiché, car les enregistrements de journal déclenchant les alarmes n'ont pas de valeur pour ce champ.


    dimensions de mesure affichées

  • Personnaliser le corps de l'alarme :

    Pour les enregistrements de journal qui ont déclenché l'alarme, voici les valeurs des dimensions :


    valeurs des dimensions de mesure

    L'exécution de l'interrogation suivante vous ramène à l'explorateur de journaux en contexte; par exemple, lorsque l'alarme est déclenchée sur 18 enregistrements de journal correspondants (le premier point de données dans l'explorateur de mesures) :

    Label = 'HTTP Error' and Entity='mushop-ZKjW' | where Time > dateAdd(1708916460000, minute, -1) and Time < dateAdd(1708916460000, minute, 1) | timestats count as logrecords

    Ici, les valeurs HTTP Error, mushop-ZKjW et 1708916460000 proviennent des variables d'alarme. Dans la requête, nous recherchons l'heure une minute avant et après l'heure de l'alarme. Vous pouvez ajuster cela dans l'interrogation.

    Voici un exemple de contenu de corps d'alarme qui vous donne un lien dans votre courriel pour revenir à cette vue :

    This alarm indicates that one or more HTTP Errors have occurred. You can see the original log records here:
https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&timeNum=1&timeUnit=week&filters=label__:__{{Dimensions.Label}}__;__entity__:__{{Dimensions.mtgt}}&query=* | where time > dateadd({{timestampEpochMillis}}, minute, -1) and time < dateadd{{timestampEpochMillis}}, minute, 1) | timestats count as logrecords

    Avant la génération de l'avis d'alarme, les variables dans {{}} sont remplacées par le service de surveillance en donnant un texte de corps d'alarme résultant : 

    This alarm indicates that one or more HTTP Errors have occurred. You can see the original log records here:   
https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&timeNum=1&timeUnit=week&filters=label__:__HTTP Error__;__entity__:__mushop-ZKjW&query=* | where time > dateadd(1708916460000 , minute, -1) and time < dateadd(1708916460000, minute, 1) | timestats count as logrecords
  • Voir le résultat dans l'explorateur de journaux :

    Lorsque vous cliquez sur le lien dans votre courriel et après vous être connecté à votre location, les éléments suivants s'affichent :


    Voir le résultat dans l'explorateur de journaux

Utilisation de la règle de détection de recherche enregistrée

  • Définition de règle de détection :

    Prenons l'exemple de la règle de détection de recherche enregistrée qui a la configuration suivante :

    • La règle de détection déclenche une alarme lorsque le nombre de la mesure TestScheduleSearchRule_1760375049378 est supérieur à la valeur de seuil de 1.
    • L'intervalle est réglé à 5m. Le délai de déclenchement de l'alarme est donc de 5 minutes.
    • Lorsqu'il y a au moins 1 enregistrement de journal correspondant dans une période de 5 minutes, une mesure TestScheduleSearchRule_1760375049378 dans l'espace de noms lg_an obtient une nouvelle valeur.
    • Les dimensions sont ajoutées en fonction des champs de journal analysés savedSearchId et detectionRuleId.
  • Personnaliser le corps de l'alarme :

    Un URI typique de corps d'alarme peut être écrit comme ci-dessous :

    https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&savedSearchId={{Dimensions.savedSearchId}}&detectionRuleId={{Dimensions.resourceId}}&endTime={{timestampEpochMillis}}

    où :

    • savedSearchId et detectionRuleId sont les dimensions des mesures publiées par la règle de détection.

    • L'heure de déclenchement de l'alarme (endTime) peut être obtenue à partir de timestampEpochMillis.

    endTime est l'heure du déclencheur d'alarme. savedSearchDuration peut être obtenu à partir de detectionRuleId. Par conséquent, startTime est dérivé de la remise de savedSearchDuration à partir de endTime. Par exemple, si l'intervalle est réglé à 5 minutes, startTime = endTime-300000.

    Lorsque le délai de déclenchement est de 5 minutes, l'URI du corps de l'alarme peut être modifié pour inclure le délai de déclenchement comme décalage :

    https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&savedSearchId={{Dimensions.savedSearchId}}&detectionRuleId={{Dimensions.resourceId}}&endTime={{timestampEpochMillis}}&offset=300000

Comme pour l'exemple qui inclut la règle de détection lors de l'ingestion, vous pouvez voir les mesures générées par la règle de détection de recherche enregistrée dans l'explorateur de mesures. Lorsque vous cliquez sur l'URL dans le corps de l'alarme, vous pouvez également voir le résultat dans l'explorateur de journaux.