日志审计服务已预设SLS审计内置内容模板,系统会按照该内容模板给用户发送告警内容。当您需要自定义内容模板时,您可以新增内容模板或更新SLS审计内置内容模板。本文以新增内容模板为例,介绍内容模板配置步骤。

操作步骤

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 在左侧导航栏中,选择审计告警 > 规则配置 > 内容模板
  4. 单击添加
  5. 添加内容模板对话框中,配置ID、名称、发送内容等参数,并单击确认
    发送内容支持使用模版变量,更多信息请参见附录:模板变量

附录:模板变量

新版告警功能支持如下变量:
  • 告警变量
    变量 说明
    aliuid 阿里云账号ID
    alert_instance_id 触发此次告警的运行实例ID。同一告警规则下,每次触发告警生成的实例ID不同。
    alert_id 告警规则ID
    alert_name 告警规则名称
    next_eval_interval 下一次评估间隔,单位:秒。
    alert_time 告警触发时间
    fire_time 实际告警触发时间
    status 告警状态
    resolve_time 告警恢复时间
    • 如果status为firing,则resolve_time为0。
    • 如果status为resolved,则resolve_time为实际值。
    results 原始结果集
    labels 标签列表
    annotations 标注列表
    severity 告警等级,取值:
    • 2:仅报告
    • 4:低
    • 6:中
    • 8:高
    • 10:严重
    policy 告警策略、行动策略。更多信息,请参见下方的策略变量表格。
    region 地域
    project 告警规则所在Project
    drill_down_query 告警规则对应的下钻查询
  • 策略变量
    变量 说明
    use_default 是否使用默认策略。
    alert_policy_id 告警策略ID。
    action_policy_id 行动策略ID。日志审计服务中默认该字段不存在。

    仅在使用动态告警策略(根据告警规则指定重置的行动策略)时出现,例如成本管家中的告警默认使用该方式。
    repeat_interval 重复等待的间隔。仅在使用动态告警策略引用行动策略时有效。
  • 查询变量
    变量 说明
    role_arn 服务角色
    store_type Store类型,取值:
    • log:查询分析语句
    • metric:时序数据
    • meta:查询metastore
    region Project所属地域。如果store_type为meta,则此变量无效。
    project Project名称
    store Logstore名称
    query 查询语句。如果store_type为meta,则此变量无效。
    start_time 查询时间范围的起始值。Unix时间戳格式,表示从1970-1-1 00:00:00 UTC计算起的秒数。如果store_type为meta,则无此变量。
    end_time 查询时间范围的结束值。Unix时间戳格式,表示从1970-1-1 00:00:00 UTC计算起的秒数。如果store_type为meta,则此变量无效。
    dashboard_id 查询时所关联的仪表盘。
    raw_results 实际查询内容,最多100行。