集成日志服务告警

本文介绍如何将日志服务产生的告警接入到ARMS告警管理中。

背景信息

ARMS告警管理支持通过Webhook的方式将日志服务产生的告警接入告警管理,以便您对接入的这些告警统一起来集中处理。

日志服务接入ARMS告警管理的方法有以下两种:

创建集成并接入日志服务

  1. 登录ARMS控制台,在左侧导航栏选择告警管理 > 集成
  2. 集成页面的告警集成页签单击日志服务

  3. 在弹出的对话框输入日志服务集成的名称、描述和告警事件自动恢复时间。

    说明 告警事件自动恢复时间:当告警事件在设置的时间内都没有再触发,告警事件将会自动恢复。
  4. 接入告警事件的Project全部Project区域,显示了阿里云日志服务的所有Project,选择需要接入告警的Project,单击right_arrow图标,然后单击保存

    说明

    此功能会自动遍历选中的Project中配置的所有告警规则,在这些规则上自动新增告警的请求地址为https://alerts.aliyuncs.com/api/v1/events/{{token}},其中,{{token}}为集成创建时自动生成的密钥。

    日志服务集成

    配置完成后,在告警集成页签可以查看已创建的日志服务集成。日志集成密钥

接入日志服务指定告警规则

重要

指定的告警规则只支持接入已有的日志服务集成中。

  1. 集成页面的告警集成页签,复制目标日志服务集成的集成地址。

  2. 登录日志服务控制台

  3. Project列表区域单击目标Project,然后在左侧导航栏单击vet图标,即告警图标。

  4. 告警中心页面选择通知对象 > Webhook集成,然后在Webhook集成页面单击创建

  5. 在弹出的对话框中添加ARMS告警管理的通用Webhook。其中,名称设置为ARMS告警管理,类型选择通用Webhook,其他参数可按照界面提示进行相关配置。

  6. 告警中心页面选择通知策略 > 内容模板,然后单击目标模板操作列的修改,在弹出的对话框中单击WebHook-自定义页签,并配置如下所示的发送内容,然后单击确认

    {
    "uid": "{{ alert.aliuid }}",
    "project": "{{ alert.project }}(https://sls.console.aliyun.com/#/project/{{ alert.project }}/categoryList)",
    "trigger": "{{ alert.alert_name }}",
    "condition": "{{ alert.condition }}",
    "context": {{ alert.results[0].raw_results | to_json | quote }},
    "message": " [Uid] {{ alert.aliuid }}\n\n> [Project] [{{ alert.project }}](https://sls.console.aliyun.com/#/project/{{alert.project }}/categoryList)\n\n> [Trigger] {{ alert.alert_name }}\n\n> [Condition] {{ alert.alert_name }}\n\n> [Message] 通知内容\n\n> [Context] {{ alert.results[0].raw_results | to_json | quote | removeprefix('"') | removesuffix('"') }}\n\n> [查看详情]({{ alert.query_url }})"
    }
  7. 告警中心页面单击告警规则页签,然后单击目标规则操作列的编辑,在弹出的对话框中展开高级配置,然后在输出目标区域选择SLS通知告警策略区域选择极简模式,并根据界面提示配置通用Webhook的通知渠道,配置完成后单击确定

编辑集成

ARMS告警管理预设了日志服务告警源与ARMS告警管理之间字段的映射,您也可以根据需要在编辑集成页面新增或修改字段的映射关系。

  1. 告警集成页签单击目标集成右侧操作列的编辑
  2. 事件映射区域左侧单击发送测试数据
  3. 发送测试数据对话框,输入第三方告警源的JSON格式的告警内容,然后单击发送
    说明
    • 如果显示上传成功,但未生成事件,请根据原始数据配置事件映射规则!,表示告警源与ARMS告警事件的字段没有映射,实际发送数据会被保存在左侧记录框中,以便配置映射时可以直接选取对应告警源字段。
    • 如果显示上传成功!,则表明对应的告警内容已上报至告警事件历史页面。更多信息,请参见查看告警事件历史
  4. 发送测试数据对话框单击关闭
  5. 事件映射区域左侧单击并展开需要建立映射的告警数据。
  6. 事件映射区域右侧配置告警源字段与ARMS告警的映射。
    1. 可选:选择根节点区域选择是否使用批处理。
      当告警数据存在数组节点时,可以指定目标数组节点作为根节点,将对应根节点下的数据进行批处理。

      选择使用批处理后,选择需要批处理的数组节点作为根节点。

      说明 当告警数据存在多个数组节点时,ARMS告警管理仅支持选择其中一个数组节点进行批处理。
    2. 可选:选中配置告警恢复事件,然后设置恢复字段条件。
      系统收到事件后会根据恢复字段查询告警事件,包含指定字段的事件会自动进行恢复。用于指定恢复事件的字段必须选择原事件中等价于告警等级的字段,且不可使用$.severity字段。例如恢复字段为{$.eventType="resolved"},则系统会自动恢复该集成下eventTyperesolved的所有告警。
    3. 将源字段映射到目标字段区域将告警源字段映射到ARMS告警字段上。
      单击映射图标,可以修改字段映射方式。
      • 直接:告警源指定字段直接映射为ARMS中对应的告警字段。
      • 串联:将多个告警源字段通过指定分隔符串联为一个字段,然后将这一个字段映射为ARMS中对应的告警字段。分隔符仅支持特殊字符。
      • 条件:当告警字段值满足指定条件后,设置的字段才会映射到ARMS目标字段上。
      • 映射表:设置告警源的告警等级与ARMS中的告警等级的映射,仅告警等级(severity)字段需要设置映射表。

      ARMS告警字段说明:

      ARMS告警字段说明
      告警名称(alertname)自定义告警的名称。
      告警等级(severity)设置告警等级的映射字段。该字段需要设置告警等级映射表,且映射方式必须设置为直接映射。
      告警描述(message)告警事件的详细信息,用于告警通知。最多支持15000字符。
      告警样本值(value)监控指标的样本值。
      告警图片(imageUrl)指标折线图URL,用于映射Grafana指标折线图。
      检查项(check)告警检查项。例如:CPU、JVM、Application Crash、Deployment。
      来源(source)告警事件的来源。
      分类(class)告警事件的对象类型,例如:主机。
      服务(service)与业务相关的来源服务,例如:Login Service。
      开始时间(startat)事件开始时间的时间戳。
      结束时间(endat)事件结束时间的时间戳。
      事件地址(generatorUrl)事件详细信息地址。
  7. 设置事件去重。
    为了减少重复数据,系统使用相关字段作为去重依据。ARMS告警管理支持预览事件映射区域中的历史事件数据的去重分组结果,您可根据需要调整去重字段。
    说明 事件去重仅针对未恢复状态下的事件。
    1. 编辑集成页面的事件去重区域选择需要去重的字段。
      当选择的字段的值相同时,对应的多个事件将会合并为一个告警通知。
    2. 单击去重测试,可以预览去重后的告警分组。
      说明 去重测试针对的是事件映射左侧区域中上传的最近10条测试数据。
  8. 配置完成后,单击保存

查看告警事件

  1. 在控制台左侧导航栏选择告警管理 > 告警事件历史
  2. 告警事件历史页面单击目标事件,可以查看告警事件的详细信息。更多信息,请参见查看告警事件历史

添加产品

如果您需要在已有的日志服务集成中添加新的Project的告警,您可以执行以下操作:

  1. 集成页面的目标日志服务集成右侧,选择更多 > 选择产品

  2. 在弹出的对话框,选择需要接入告警的Project,单击right_arrow图标,然后单击保存

管理集成

告警管理 > 集成页面的告警集成页签,对于已经创建的集成,您可以进行以下操作:

  • 查看集成:如果您需要查看集成的详细信息,单击目标集成所在行,在集成详情页面查看集成的详细信息。
  • 更新密钥:如果您需要修改集成的密钥,在目标集成右侧操作列选择更多 > 更新密钥,在弹出的对话框中单击确认

    重要

    更新密钥后,请重新添加日志服务下的Project告警,具体操作,请参见添加产品

  • 编辑:如果您需要修改集成信息,在目标集成右侧操作列单击编辑,在集成详情页面修改集成信息,然后单击保存
  • 启用或禁用:如果您需要启用或禁用目标集成,在目标集成右侧操作列单击禁用启用
  • 删除:如果您需要删除集成,在目标集成右侧操作列单击删除,在弹出的对话框中单击确认
  • 添加事件流:如果您需要为指定集成添加对应的事件处理流,在目标集成右侧操作列单击添加事件流。具体操作,请参见事件处理流
  • 新建通知策略:如果您需要为指定集成添加对应的通知策略,在目标集成右侧操作列单击新建通知策略。具体操作,请参见通知策略

后续步骤

您可以通过设置通知策略将上报的告警事件生成告警并发送告警通知,具体操作,请参见通知策略。经过通知策略分派后生成的告警可以在告警发送历史页面查看告警的详细信息,更多信息,请参见查看告警发送历史