您可以在 VMware Aria Operations for Logs 中定义警示,并在与警示查询匹配的事件数量超出您设置的阈值时发送电子邮件或 Webhook 通知,或在 VMware Aria Operations 中触发通知事件。
过程
- 展开主菜单并导航到警示 > 警示定义。
- 单击新建。
提示: 或者,也可以导航到
浏览日志页面,然后根据查询创建警示。输入查询,并单击
搜索按钮旁边的
,然后选择
根据查询创建警示。
- 输入警示的名称。
您可以通过包含格式为
${字段名称
}的字段来自定义警示名称。例如,您可以输入
Alert for ${hostname} VPXA Logs 作为警示名称。假设有两个主机名,并且您已为警示设置了电子邮件通知,则电子邮件主题如下所示:
Alert for "hostname loginsight-01.eng.vmware.com and 1 more" VPXA Logs
您可以在描述中使用其他静态字段,如
event_type、
source、
filepath 等。您还可以使用提取的字段。
注:
- 您只能在警示名称中添加一个静态字段或已提取的字段。
- 如果在警示名称中使用已提取的字段,则该字段必须是警示查询的一部分。如果警示具有“分组依据”条件,则提取的字段还必须为“分组依据”条件的一部分。
- 如果要向 VMware Aria Operations 发送通知,则会为每个字段发送一个通知事件。例如,如果警示名称包含
${hostname},并且有五个主机名,则会发送五个通知事件(每个主机名一个)。
- 为触发警示的事件输入有意义的简短描述。
您可以通过包含一个或多个格式为
${字段名称
}的字段来自定义警示描述。例如,可以输入
VPXA logs were generated for ${hostname} 作为警示描述。假设有两个主机名,并且您已为警示设置了电子邮件通知,则电子邮件将列出一些示例日志,然后显示以下信息:
Additional notes for this alert:
VPXA logs were generated for
hostname
loginsight-01.eng.vmware.com
loginsight-02.eng.vmware.com
您可以在描述中使用其他静态字段,如
event_type、
source、
filepath 等。您还可以使用提取的字段。
注:
- 您只能在警示描述中使用一个静态字段或已提取的字段。
- 如果在警示名称中使用已提取的字段,则该字段必须是警示查询的一部分。如果警示具有“分组依据”条件,则提取的字段还必须为“分组依据”条件的一部分。
- 输入警示所基于的查询。
- 输入警示的触发条件。您可以选择一个时间段,并按静态字段或已提取的字段对查询结果进行分组。
| 触发条件 |
描述 |
| 每次匹配时
注: 可以在“时间段”下拉菜单中选择
实时时设置此触发条件。
|
此警示查询每分钟自动运行一次。当最后一分钟内至少有一个事件与查询匹配时,将会触发通知。 |
| 事件总数 |
当在下拉菜单中选择的时间段内发生的匹配事件多于或少于 X 个时,将会触发通知。 如果触发此类型的警示,则会推迟其整个时间段,以防止为同一组事件发出重复警示。如果要在推迟时激活警示,则可以停用然后重新激活它。 |
| 字段的唯一计数 |
在从下拉菜单中选择的时间段内,当字段 F 的唯一计数大于或小于 X 时,将会触发通知。 |
| 字段的聚合操作 |
在从下拉菜单中选择的时间段内,当在字段 F 上应用的聚合操作 A 大于或小于 X 时,将会触发通知。 |
您可以将警示配置为根据触发条件发送通知。
- (可选) 输入警示的建议,该建议将包含在发送警示时的通知消息中。
- (可选) 要发送测试警示通知,请单击发送测试警示。
- 单击保存。
