日志服务已内置PolarDB告警监控规则模板,您只需添加对应的告警规则即可实时监控PolarDB集群,并可通过钉钉等渠道接收到告警通知。本文介绍设置告警的操作步骤及相关操作。
前提条件
已开启PolarDB MySQL审计日志的采集。具体操作,请参见开启数据采集功能。
步骤一:配置行动策略
登录日志服务控制台。
在日志应用区域的云产品Lens页签中,单击CloudLens for PolarDB。
在左侧导航栏中,单击异常检测。
在告警中心页面,选择。
在行动策略列表中,找到目标行动策略(sls.app.polardb.builtin),单击修改。
您也可以创建新的行动策略用于告警通知。具体操作,请参见创建行动策略。
在编辑行动策略对话框中,将请求地址修改为钉钉群机器人的Webhook地址。其他选项,保持默认配置。然后单击确认。
如何获取钉钉群机器人的Webhook地址,请参见钉钉-自定义。您也可以根据业务需求,使用其他告警渠道。具体操作,请参见通知渠道说明。
步骤二:添加告警规则
日志服务已内置多种告警监控规则模板,您只需根据业务需求,添加对应的告警规则即可。此处以添加PolarDB高频访问IP检测对应的告警规则为例。
在告警规则页签中,单击新建告警右侧的。
单击从模板新建。
在从模板新建面板中,单击。
创建告警规则。修改参数请参见创建日志告警监控规则。
添加完成后,您可以在告警监控规则列表中,单击PolarDB高频访问IP检测,查看已开启的告警规则。
相关操作
在告警规则页签中,您还可以进行如下操作。
操作 | 说明 |
关闭告警规则 | 关闭告警规则,告警监控规则不会再触发告警,状态变更为已关闭。该操作不会删除参数中定义的配置数据。需要再次开启时,无需重新配置规则参数,可以直接开启。 |
临时关闭告警规则 | 临时关闭告警规则后,在指定时长内不再触发告警。 |
恢复告警规则 | 处于临时关闭状态的监控实例,可随时恢复告警。 |
删除告警规则 | 该操作会删除参数中定义的PolarDB集群ID、阈值等配置数据。再次开启时,需要重新配置参数。 |
关注告警规则 | 将目标告警规则添加到关注列表中。 |
查看告警详情 | 跳转至告警概览页面,您可以查看告警概览信息和告警历史统计报表。 |
告警监控规则
PolarDB外网访问检测
项目 | 说明 |
规则名称 | PolarDB外网访问检测 |
作用 | 监控PolarDB集群是否被外网IP地址访问。当PolarDB集群被外网IP地址访问时,触发告警。 |
参数配置 | 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。
|
外部配置 | 设置允许被外网访问的PolarDB集群白名单。白名单中的PolarDB集群被外网IP地址访问时,不会触发告警。 |
PolarDB高频访问IP检测
项目 | 说明 |
规则名称 | PolarDB高频访问IP检测 |
作用 | 监控同一个IP地址对PolarDB集群的访问频率。2分钟内,同一个IP地址对PolarDB集群的访问频率超过高频访问阈值时,触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 高频访问阈值:2分钟内,同一个IP地址对一个PolarDB集群的访问频率超过该阈值时,触发告警。默认值:30次。 PolarDB集群ID:PolarDB集群ID。
|
外部配置 | 设置PolarDB高频访问IP地址白名单。白名单中的IP地址对PolarDB集群发起高频访问时,不会触发告警。 |
PolarDB登录失败次数过多告警
项目 | 说明 |
规则名称 | PolarDB登录失败次数过多告警 |
作用 | 监控登录PolarDB集群失败的次数。在5分钟内,登录一个PolarDB集群的失败次数超过最大失败登录次数时,触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 最大失败登录次数:5分钟内,允许登录一个PolarDB集群失败的最大次数。 PolarDB集群ID:PolarDB集群ID。
|
外部配置 | 无 |
PolarDB慢SQL检测
项目 | 说明 |
规则名称 | PolarDB慢SQL检测 |
作用 | 监控PolarDB SQL的执行时间。当PolarDB SQL执行时间超过慢SQL时间阈值时,被判定为慢SQL,将触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 慢SQL时间阈值:PolarDB SQL执行时间超过该阈值时,判定为慢SQL。默认值:1000微秒。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |
PolarDB危险的SQL执行告警
项目 | 说明 |
规则名称 | PolarDB危险的SQL执行告警 |
作用 | 监控PolarDB集群中是否存在危险SQL执行。当PolarDB集群中出现危险SQL执行时,触发告警。 危险SQL监控主要是通过监控SQL中是否包含注入语句关键词、是否存在访问元数据表information_schema。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |
PolarDB SQL执行错误数过多告警
项目 | 说明 |
规则名称 | PolarDB SQL执行错误数过多告警 |
作用 | 监控PolarDB SQL执行错误的次数。当PolarDB SQL执行错误数超过最大错误次数时,触发告警。 PolarDB MySQL审计日志中fail字段的值大于0,表示一次错误。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 最大错误次数:2分钟内,在一个PolarDB集群中允许SQL执行错误的最大次数。默认值:10次。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |
PolarDB大批量数据删除告警
项目 | 说明 |
规则名称 | PolarDB大批量数据删除告警 |
作用 | 监控PolarDB集群中大批量数据删除事件。当删除的数据行数超过大批量删除界定阈值时,触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 大批量删除界定阈值:当删除的数据行数超过该阈值时,被判定为大批量删除事件。默认值:10行。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |
PolarDB大批量数据修改事件告警
项目 | 说明 |
规则名称 | PolarDB大批量数据修改事件告警 |
作用 | 监控PolarDB大批量数据修改事件。当修改的数据行数超过大规模修改界定阈值时,触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 大规模修改界定阈值:当修改的数据行数超过该阈值时,判定为大规模修改事件。默认值:10行。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |
PolarDB数据库更新峰值监控告警
项目 | 说明 |
规则名称 | PolarDB数据库更新峰值监控告警 |
作用 | 监控PolarDB MySQL数据库的更新(增删改)峰值。当更新峰值超过更新峰值阈值时,触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 更新峰值阈值:PolarDB MySQL数据库更新峰值阈值。默认值:100行/秒。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |
PolarDB数据库查询峰值监控告警
项目 | 说明 |
规则名称 | PolarDB数据库查询峰值监控告警 |
作用 | 监控PolarDB MySQL数据库的查询峰值。当查询峰值超过查询峰值阈值时,触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 查询峰值阈值:PolarDB MySQL数据库查询峰值阈值。默认值:1000行/秒。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |
PolarDB更新SQL平均执行时间监控告警
项目 | 说明 |
规则名称 | PolarDB更新SQL平均执行时间监控告警 |
作用 | 监控PolarDB集群中每条更新SQL(增删改)的平均执行时间。当PolarDB集群中每条更新SQL的平均执行时间超过SQL平均执行时间阈值时,触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 SQL平均执行时间阈值:PolarDB集群中每条更新SQL的平均执行时间阈值。默认值:0.005秒/条。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |
PolarDB查询SQL平均执行时间监控告警
项目 | 说明 |
规则名称 | PolarDB查询SQL平均执行时间监控告警 |
作用 | 监控PolarDB中查询SQL的平均执行时间。当查询SQL平均执行时间超过SQL平均执行时间阈值时,触发告警。 |
参数配置 | 告警名称:告警名称。 行动策略:当前告警监控规则所绑定的行动策略,日志服务将通过该行动策略给指定用户发送告警通知。 默认为sls.app.polardb.builtin (SLS PolarDB内置行动策略)。您也可以自定义行动策略。具体操作,请参见创建行动策略。 严重度:告警消息的严重度。 静默期:告警静默期,即设置重复通知的间隔。重复的告警在静默期内不会被重复通知。例如1d(1天)、2h(2小时)、3m(3分钟)。 SQL平均执行时间阈值:PolarDB集群中每条查询SQL的平均执行时间阈值。默认值:0.005秒/条。 PolarDB集群ID:PolarDB集群ID。 数据库名称:PolarDB MySQL数据库的名称。
|
外部配置 | 无 |