本文介紹如何將日志服務產生的告警接入到ARMS告警管理中。
背景信息
ARMS告警管理支持通過Webhook的方式將日志服務產生的告警接入告警管理,以便您對接入的這些告警統(tǒng)一起來集中處理。
日志服務接入ARMS告警管理的方法有以下兩種:
方式一(舊版日志服務接入方式):將日志服務指定Project下的所有告警接入ARMS告警管理,請參見創(chuàng)建集成并接入日志服務。
方式二(推薦方式):將日志服務下的指定告警接入ARMS告警管理,請參見創(chuàng)建集成并接入日志服務和接入日志服務指定告警規(guī)則。
創(chuàng)建集成并接入日志服務
- 登錄ARMS控制臺,在左側導航欄選擇。
在集成頁面的告警集成頁簽單擊日志服務。
在彈出的對話框輸入日志服務集成的名稱、描述和告警事件自動恢復時間。
說明 告警事件自動恢復時間:當告警事件在設置的時間內都沒有再觸發(fā),告警事件將會自動恢復。在接入告警事件的Project的全部Project區(qū)域,顯示了阿里云日志服務的所有Project,選擇需要接入告警的Project,單擊
圖標,然后單擊保存。說明此功能會自動遍歷選中的Project中配置的所有告警規(guī)則,在這些規(guī)則上自動新增告警的請求地址為
https://alerts.aliyuncs.com/api/v1/events/{{token}},其中,{{token}}為集成創(chuàng)建時自動生成的密鑰。
配置完成后,在告警集成頁簽可以查看已創(chuàng)建的日志服務集成。
接入日志服務指定告警規(guī)則
指定的告警規(guī)則只支持接入已有的日志服務集成中。
在集成頁面的告警集成頁簽,復制目標日志服務集成的集成地址。
登錄日志服務控制臺。
在Project列表區(qū)域單擊目標Project,然后在左側導航欄單擊
圖標,即告警圖標。在告警中心頁面選擇,然后在Webhook集成頁面單擊創(chuàng)建。
在彈出的對話框中添加ARMS告警管理的通用Webhook。其中,名稱設置為ARMS告警管理,類型選擇通用Webhook,其他參數(shù)可按照界面提示進行相關配置。
在告警中心頁面選擇,然后單擊目標模板操作列的修改,在彈出的對話框中單擊WebHook-自定義頁簽,并配置如下所示的發(fā)送內容,然后單擊確認。
{ "uid": "{{ alert.aliuid }}", "project": "{{ alert.project }}(https://sls.console.aliyun.com/#/project/{{ alert.project }}/categoryList)", "trigger": "{{ alert.alert_name }}", "condition": "{{ alert.condition }}", "context": {{ alert.results[0].raw_results | to_json | quote }}, "message": " [Uid] {{ alert.aliuid }}\n\n> [Project] [{{ alert.project }}](https://sls.console.aliyun.com/#/project/{{alert.project }}/categoryList)\n\n> [Trigger] {{ alert.alert_name }}\n\n> [Condition] {{ alert.alert_name }}\n\n> [Message] 通知內容\n\n> [Context] {{ alert.results[0].raw_results | to_json | quote | removeprefix('"') | removesuffix('"') }}\n\n> [查看詳情]({{ alert.query_url }})" }在告警中心頁面單擊告警規(guī)則頁簽,然后單擊目標規(guī)則操作列的編輯,在彈出的對話框中展開高級配置,然后在輸出目標區(qū)域選擇SLS通知,告警策略區(qū)域選擇極簡模式,并根據(jù)界面提示配置通用Webhook的通知渠道,配置完成后單擊確定。
編輯集成
ARMS告警管理預設了日志服務告警源與ARMS告警管理之間字段的映射,您也可以根據(jù)需要在編輯集成頁面新增或修改字段的映射關系。
- 在告警集成頁簽單擊目標集成右側操作列的編輯。
- 在事件映射區(qū)域左側單擊發(fā)送測試數(shù)據(jù)。
- 在發(fā)送測試數(shù)據(jù)對話框,輸入第三方告警源的JSON格式的告警內容,然后單擊發(fā)送。說明
- 如果顯示上傳成功,但未生成事件,請根據(jù)原始數(shù)據(jù)配置事件映射規(guī)則!,表示告警源與ARMS告警事件的字段沒有映射,實際發(fā)送數(shù)據(jù)會被保存在左側記錄框中,以便配置映射時可以直接選取對應告警源字段。
- 如果顯示上傳成功!,則表明對應的告警內容已上報至告警事件歷史頁面。更多信息,請參見查看告警事件歷史。
- 在發(fā)送測試數(shù)據(jù)對話框單擊關閉。
- 在事件映射區(qū)域左側單擊并展開需要建立映射的告警數(shù)據(jù)。
- 在事件映射區(qū)域右側配置告警源字段與ARMS告警的映射。
- 可選:在選擇根節(jié)點區(qū)域選擇是否使用批處理。當告警數(shù)據(jù)存在數(shù)組節(jié)點時,可以指定目標數(shù)組節(jié)點作為根節(jié)點,將對應根節(jié)點下的數(shù)據(jù)進行批處理。
選擇使用批處理后,選擇需要批處理的數(shù)組節(jié)點作為根節(jié)點。
說明 當告警數(shù)據(jù)存在多個數(shù)組節(jié)點時,ARMS告警管理僅支持選擇其中一個數(shù)組節(jié)點進行批處理。 - 可選:選中配置告警恢復事件,然后設置恢復字段條件。系統(tǒng)收到事件后會根據(jù)恢復字段查詢告警事件,包含指定字段的事件會自動進行恢復。用于指定恢復事件的字段必須選擇原事件中等價于告警等級的字段,且不可使用
$.severity字段。例如恢復字段為{$.eventType="resolved"},則系統(tǒng)會自動恢復該集成下eventType為resolved的所有告警。 - 在將源字段映射到目標字段區(qū)域將告警源字段映射到ARMS告警字段上。單擊映射圖標,可以修改字段映射方式。
- 直接:告警源指定字段直接映射為ARMS中對應的告警字段。
- 串聯(lián):將多個告警源字段通過指定分隔符串聯(lián)為一個字段,然后將這一個字段映射為ARMS中對應的告警字段。分隔符僅支持特殊字符。
- 條件:當告警字段值滿足指定條件后,設置的字段才會映射到ARMS目標字段上。
- 映射表:設置告警源的告警等級與ARMS中的告警等級的映射,僅告警等級(severity)字段需要設置映射表。
ARMS告警字段說明:
ARMS告警字段 說明 告警名稱(alertname) 自定義告警的名稱。 告警等級(severity) 設置告警等級的映射字段。該字段需要設置告警等級映射表,且映射方式必須設置為直接映射。 告警描述(message) 告警事件的詳細信息,用于告警通知。最多支持15000字符。 告警樣本值(value) 監(jiān)控指標的樣本值。 告警圖片(imageUrl) 指標折線圖URL,用于映射Grafana指標折線圖。 檢查項(check) 告警檢查項。例如:CPU、JVM、Application Crash、Deployment。 來源(source) 告警事件的來源。 分類(class) 告警事件的對象類型,例如:主機。 服務(service) 與業(yè)務相關的來源服務,例如:Login Service。 開始時間(startat) 事件開始時間的時間戳。 結束時間(endat) 事件結束時間的時間戳。 事件地址(generatorUrl) 事件詳細信息地址。
- 可選:在選擇根節(jié)點區(qū)域選擇是否使用批處理。
- 設置事件去重。為了減少重復數(shù)據(jù),系統(tǒng)使用相關字段作為去重依據(jù)。ARMS告警管理支持預覽事件映射區(qū)域中的歷史事件數(shù)據(jù)的去重分組結果,您可根據(jù)需要調整去重字段。說明 事件去重僅針對未恢復狀態(tài)下的事件。
- 在編輯集成頁面的事件去重區(qū)域選擇需要去重的字段。當選擇的字段的值相同時,對應的多個事件將會合并為一個告警通知。
- 單擊去重測試,可以預覽去重后的告警分組。說明 去重測試針對的是事件映射左側區(qū)域中上傳的最近10條測試數(shù)據(jù)。
- 在編輯集成頁面的事件去重區(qū)域選擇需要去重的字段。
- 配置完成后,單擊保存。
查看告警事件
- 在控制臺左側導航欄選擇。
- 在告警事件歷史頁面單擊目標事件,可以查看告警事件的詳細信息。更多信息,請參見查看告警事件歷史。
添加產品
如果您需要在已有的日志服務集成中添加新的Project的告警,您可以執(zhí)行以下操作:
在集成頁面的目標日志服務集成右側,選擇。
在彈出的對話框,選擇需要接入告警的Project,單擊
圖標,然后單擊保存。
管理集成
在頁面的告警集成頁簽,對于已經創(chuàng)建的集成,您可以進行以下操作:
- 查看集成:如果您需要查看集成的詳細信息,單擊目標集成所在行,在集成詳情頁面查看集成的詳細信息。
更新密鑰:如果您需要修改集成的密鑰,在目標集成右側操作列選擇,在彈出的對話框中單擊確認。
重要更新密鑰后,請重新添加日志服務下的Project告警,具體操作,請參見添加產品。
- 編輯:如果您需要修改集成信息,在目標集成右側操作列單擊編輯,在集成詳情頁面修改集成信息,然后單擊保存。
- 啟用或禁用:如果您需要啟用或禁用目標集成,在目標集成右側操作列單擊禁用或啟用。
- 刪除:如果您需要刪除集成,在目標集成右側操作列單擊刪除,在彈出的對話框中單擊確認。
- 添加事件流:如果您需要為指定集成添加對應的事件處理流,在目標集成右側操作列單擊添加事件流。具體操作,請參見事件處理流。
- 新建通知策略:如果您需要為指定集成添加對應的通知策略,在目標集成右側操作列單擊新建通知策略。具體操作,請參見通知策略。
后續(xù)步驟
您可以通過設置通知策略將上報的告警事件生成告警并發(fā)送告警通知,具體操作,請參見通知策略。經過通知策略分派后生成的告警可以在告警發(fā)送歷史頁面查看告警的詳細信息,更多信息,請參見查看告警發(fā)送歷史。