Documentation Oracle Cloud Infrastructure

Personnaliser le corps de l'alarme

Vous pouvez écrire le corps de l'alarme dans la définition de l'alarme en utilisant les variables dynamiques des données de mesure qui ont déclenché l'alarme.

Pour plus d'informations et connaître les étapes de personnalisation du corps d'alarme, reportez-vous à l'étape Récapitulatif des alarmes dans Création d'une alarme de base.

Exemple : création d'une URL dans le corps de l'alarme pour afficher les enregistrements de journal de déclenchement d'alarme dans l'explorateur de journaux

Vous pouvez avoir une URL significative dans le corps de l'alarme pour revenir à l'explorateur de journaux afin de voir les enregistrements de journal qui ont déclenché l'alarme. Pour ce faire, passez une période et des filtres supplémentaires.

Cet exemple est présenté dans les deux workflows suivants :

Pour plus d'informations sur les paramètres d'URL de l'explorateur de journaux, reportez-vous à Paramètres d'URL de l'explorateur de journaux.

Utilisation de la règle de détermination au moment de l'inclusion

En général, dans ce flux, vous devez transmettre le nom label. En outre, dans l'exemple suivant, nous transmettrons également l'entité (mtgt).

  • Définition de règle de détection :

    Prenons la règle de détection de temps d'inclusion qui présente la configuration suivante :

    • Nom de la règle de détection : http errors
    • La règle de détection se déclenche lorsqu'elle trouve au moins un enregistrement de journal dans une période d'une minute à laquelle le libellé HTTP Error a été affecté. L'affectation de ce libellé est effectuée automatiquement dans la configuration d'enrichissement lorsque les données sont ingérées.
    • Lorsqu'il existe au moins 1 enregistrement de journal correspondant sur une période d'une minute, une mesure http_errors dans l'espace de noms logging_analytics_test obtient une nouvelle valeur.
    • Les dimensions sont ajoutées en fonction des champs de journal analysés Entité et Adresse IP d'hôte (Client).
    • En outre, les dimensions sont automatiquement ajoutées pour le libellé (HTTP Error dans ce cas) et l'OCID de la règle de détection. Ce sont des dimensions implicites.
  • Affichez les mesures générées par la règle de détection dans l'explorateur de mesures :
    Visualiser les mesures générées par la règle de détection dans l'explorateur de mesures

    Lorsque vous examinez l'explorateur de mesures pour la mesure Erreurs HTTP, vous pouvez noter les informations suivantes :

    En coïncidence avec l'explorateur de journaux, trois points de données avec les enregistrements de journal 18, 3 et 4 correspondent à ce libellé.

    Les dimensions suivantes sont affichées. Host IP Address (Client) n'est pas affiché car les enregistrements de journal qui déclenchent les alarmes n'ont pas de valeur pour ce champ.


    dimensions de mesure affichées

  • Personnaliser le corps de l'alarme :

    Pour les enregistrements de journal qui ont déclenché l'alarme, voici les valeurs des dimensions :


    les valeurs des dimensions de mesure

    L'exécution de la requête suivante vous renvoie à l'explorateur de journaux en contexte ; par exemple, lorsque l'alarme est déclenchée sur 18 enregistrements de journal correspondants (le premier point de données de l'explorateur de mesures) :

    Label = 'HTTP Error' and Entity='mushop-ZKjW' | where Time > dateAdd(1708916460000, minute, -1) and Time < dateAdd(1708916460000, minute, 1) | timestats count as logrecords

    Ici, les valeurs HTTP Error, mushop-ZKjW et 1708916460000 proviennent des variables d'alarme. Dans la requête, nous recherchons la durée une minute avant et après l'heure de l'alarme. Vous pouvez l'ajuster dans la requête.

    Voici un exemple de contenu de corps d'alarme qui vous donne un lien dans votre courriel pour revenir à cette vue :

    This alarm indicates that one or more HTTP Errors have occurred. You can see the original log records here:
https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&timeNum=1&timeUnit=week&filters=label__:__{{Dimensions.Label}}__;__entity__:__{{Dimensions.mtgt}}&query=* | where time > dateadd({{timestampEpochMillis}}, minute, -1) and time < dateadd{{timestampEpochMillis}}, minute, 1) | timestats count as logrecords

    Avant la génération de la notification d'alarme, les variables dans {{}} sont remplacées par le service Monitoring en donnant un texte de corps d'alarme obtenu : 

    This alarm indicates that one or more HTTP Errors have occurred. You can see the original log records here:   
https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&timeNum=1&timeUnit=week&filters=label__:__HTTP Error__;__entity__:__mushop-ZKjW&query=* | where time > dateadd(1708916460000 , minute, -1) and time < dateadd(1708916460000, minute, 1) | timestats count as logrecords
  • Afficher le résultat dans l'explorateur de journaux :

    Lorsque vous cliquez sur le lien dans votre courriel et après vous être connecté à votre location, les éléments suivants s'affichent :


    Afficher le résultat dans l'explorateur de journaux

Utilisation de la règle de détection de recherche enregistrée

  • Définition de règle de détection :

    Considérez la règle de détection de recherche enregistrée qui a la configuration suivante :

    • La règle de détection déclenche une alarme lorsque le nombre de la mesure TestScheduleSearchRule_1760375049378 est supérieur à la valeur de seuil de 1.
    • L'intervalle est défini sur 5m. Le délai de déclenchement de l'alarme est donc de 5 minutes.
    • Lorsqu'il y a au moins 1 enregistrement de journal correspondant sur une période de 5 minutes, une mesure TestScheduleSearchRule_1760375049378 dans l'espace de noms lg_an obtient une nouvelle valeur.
    • Les dimensions sont ajoutées en fonction des champs de journal analysés savedSearchId et detectionRuleId.
  • Personnaliser le corps de l'alarme :

    Un URI de corps d'alarme typique peut être écrit comme suit :

    https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&savedSearchId={{Dimensions.savedSearchId}}&detectionRuleId={{Dimensions.resourceId}}&endTime={{timestampEpochMillis}}

    où :

    • savedSearchId et detectionRuleId sont les dimensions des mesures publiées par la règle de détection.

    • L'heure de déclenchement de l'alarme (endTime) peut être obtenue à partir de timestampEpochMillis.

    endTime est l'heure de déclenchement de l'alarme. La valeur savedSearchDuration peut être obtenue à partir de detectionRuleId. Par conséquent, startTime est dérivé de la remise de savedSearchDuration sur endTime. Par exemple, si l'intervalle est défini sur 5 minutes, startTime = endTime-300000.

    Lorsque le délai de déclenchement est de 5 minutes, l'URI du corps de l'alarme peut être modifié pour inclure le délai de déclenchement comme décalage :

    https://cloud.oracle.com/loganalytics/explorer?region=us-phoenix-1&savedSearchId={{Dimensions.savedSearchId}}&detectionRuleId={{Dimensions.resourceId}}&endTime={{timestampEpochMillis}}&offset=300000

Comme dans l'exemple qui inclut une règle de détection de temps d'inclusion, vous pouvez visualiser les mesures générées par la règle de détection de recherche enregistrée dans l'explorateur de mesures. Lorsque vous cliquez sur l'URL dans le corps de l'alarme, vous pouvez également voir le résultat dans l'explorateur de journaux.