为日志配置告警监控规则

背景信息

日志服务告警是一站式的告警监控、降噪、事务管理、通知分派的智能运维平台。更多信息，请参见告警监控概述。

在表格存储中删除表和删除索引属于高风险操作，可能对业务造成重大影响。为了减轻潜在风险，您可以通过监控表格存储审计日志来创建告警预警。通过创建误删表告警监控规则，当表被删除时，您将及时收到告警通知，便于您及时采取措施进行处理，进而帮助您降低业务风险并保护数据的安全。

操作步骤

1. 进入审计日志页面。

   1. 登录表格存储控制台。

   2. 在顶部菜单栏，选择地域。

   3. 在左侧导航栏，单击审计日志。

2. 在审计日志页面，单击图标。

3. 在告警监控规则面板中，根据下表说明配置告警参数。

   参数	说明
   规则名称	告警监控规则的名称。
   检查频率	日志服务根据您配置的频率对查询和分析结果进行检查。 每小时：每小时检查一次查询和分析结果。 每天：在每天的某个固定时间点检查一次查询和分析结果。 每周：在周几的某个固定时间点检查一次查询和分析结果。 固定间隔：按照固定间隔检查查询和分析结果。 Cron：通过Cron表达式指定时间间隔，按照指定的时间间隔检查查询和分析结果。 Cron表达式的最小精度为分钟，24小时制，例如0 0/1 * * *从00:00开始，每隔1小时检查一次。
   查询统计	单击输入框，在查询统计对话框中，设置查询和分析语句。 关联报表：您可以选择监控仪表盘。 高级配置：在高级配置页签下，您可以选择监控日志库、指标库和资源数据。 日志库：用于存储日志，相关的查询分析配置请参见查询和分析日志。 指标库：用于存储时序数据，相关的查询分析配置请参见查询和分析时序数据。 资源数据：用于配置特定告警监控规则所关联的外部数据。更多信息，请参见创建资源数据。 选择类型为日志库或指标库，且设置了查询和分析语句时，您可以选择是否开启独享SQL。更多信息，请参见开启SQL独享版。 自动：默认不使用独享SQL。当遇到查询并发限制或者查询结果不精确时，自动尝试使用独享SQL再次查询。 启用：始终使用独享SQL进行查询和分析。 关闭：关闭独享SQL。 配置多个查询统计时，您可以指定集合操作关联多个查询结果。更多信息，请参见多集合操作机制。
   分组评估	日志服务支持对查询和分析结果进行分组。更多信息，请参见分组评估。 标签自定义：日志服务根据您配置的字段对查询和分析结果进行分组。分组后，每个组单独评估触发条件。在每个检查周期内，查询和分析结果满足触发条件时，各个分组各自产生一条告警。 支持设置多个字段。 不分组：在每个检查周期内，满足触发条件时，只产生一条告警。 标签自动：当您在查询统计中选择指标库（即监控时序数据的查询和分析结果）时 ，日志服务支持标签自动分组。 分组后，每个组单独评估触发条件。在每个检查周期内，查询和分析结果满足触发条件时，各个分组各自产生一条告警。
   触发条件	配置触发条件及严重度。 触发条件 有数据：当查询和分析结果中存在数据时，触发告警。 有特定条数据：当查询和分析结果中存在N条数据时，触发告警。 有数据匹配：当查询和分析结果中存在数据满足告警表达式时，触发告警。 有特定条数据匹配：当查询和分析结果中存在N条数据满足告警表达式时，触发告警。 严重度 主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于告警严重度的判断条件。更多信息，请参见设置告警严重度。 简单配置：直接选择告警严重度，则表示通过该规则产生的告警都为同一严重度。 分条件配置：单击添加，分条件设置告警严重度。 告警条件表达式的相关语法，请参见告警条件表达式语法。
   添加标签	日志服务允许您给产生的告警添加标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标签的判断条件。更多信息，请参见标签和标注。
   添加标注	日志服务允许您给产生的告警添加非标识性属性，键值对格式。主要用于告警降噪控制和告警通知控制，即您在创建告警策略或行动策略时，可添加关于标注的判断条件。更多信息，请参见标签和标注。 您还可以打开自动添加标注开关，系统自动在告警中添加__count__等信息。更多信息，请参见自动标注。
   恢复通知	打开恢复通知开关后，告警恢复时，触发一条恢复告警。其严重度与触发的告警保持一致。更多信息，请参见恢复通知。
   连续触发阈值	配置连续触发阈值。当累计的触发次数达到该值时，产生一条告警。不满足触发条件时不计入统计。
   无数据告警	打开无数据告警开关后，如果查询和分析的结果（有多个时，进行集合操作后的结果）为无数据的次数超过连续触发阈值，则产生一条告警。更多信息，请参见无数据告警。
   输出目标	输出目标用于配置告警事件的输出位置，可以配置一个或多个输出目标。 事件库：将告警事件写入到EventStore。 云监控事件中心：将告警事件写入到云监控系统事件中心，通过云监控对告警进行管理和通知。 SLS通知：将告警事件输出到SLS的通知服务，通过告警策略、行动策略等对告警进行管理和通知。
   输出目标-事件库	开启：打开事件库开启开关后，告警将写入到EventStore中。 地域：告警写入的EventStore所属地域。 Project：告警写入的EventStore所属项目。 事件库：告警写入的EventStore。 授权方式： 默认角色：单击前往授权，根据界面提示完成授权，并使用阿里云系统角色AliyunLogETLRole将告警写入目标EventStore。具体操作，请参见默认角色授权。 自定义角色：使用自定义角色将告警写入目标EventStore，填写角色ARN。具体操作，请参见自定义角色授权。
   输出目标-云监控事件中心	开启：打开云监控事件中心开启开关后，告警将发送到云监控事件中心。
   输出目标-SLS通知	开启：打开SLS通知开关后，告警将发送到SLS通知服务进行后续的管理和通知。 告警策略：告警策略用于合并、静默和抑制已产生的告警。 选择极简模式和普通模式时，您无需配置告警策略。日志服务默认使用SLS内置动态告警策略（sls.builtin.dynamic）进行告警管理。 选择高级模式时，您可以选择内置的或自定义的告警策略进行告警管理。如何创建告警策略，请参见创建告警策略。 行动策略：行动策略用于控制告警通知渠道和频率等。 当告警策略选择为极简模式时，您只需配置行动组即可。 您配置行动组后，日志服务自动为您创建一个名为规则名称-行动策略的行动策略。由该告警监控规则触发的所有告警都通过该行动策略发送通知。如何配置，请参见通知渠道说明。 重要 您可以在行动策略管理页面，修改该行动策略。具体操作，请参见创建行动策略。如果您在修改行动策略时添加了判断条件，则此处的告警策略将自动变更为普通模式。 当告警策略选择为普通模式或高级模式时，您可以选择内置的或自定义的行动策略进行告警通知。如何创建行动策略，请参见创建行动策略。 其中，您选择告警策略选择为高级模式时，还可以开启或关闭自定义行动策略。更多信息，请参见动态行动策略机制。 重复等待：在重复等待时间内，重复的告警只触发一次行动策略，即只发送一次告警通知。

4. 单击确定。