创建和管理自定义警报

使用InsightIdr,您可以选择内置警报时创建自定义警报,不适合您的需求。

有三种自定义警报:

您还可以指定更多的粒度信息自定义警报详情, 和管理自定义警报

不活动检测警报

也称为“上调监控”,不活动警报可用于当整个日志,日志组或特定模式在给定时间段内变为非活动时通知您。

不活动警报对于必须不断运行的系统资产(例如关键服务器)是有用的。设置不活动时间窗口的能力使您控制您的数据,环境和资产,并允许损坏控制和防止数据丢失。

不报警的行为

不活动警报将分别监视每个日志。例如,如果警报正在跨两个日志监视特定的事件,并且在给定的时间框架中,事件发生在第一个日志中,而不是在第二个日志中,则会针对第二个日志触发警报。一旦检测到不活动并触发了一个警报,如果该模式或日志仍然处于不活动状态,则只会收到一个警报。活动将需要恢复以重新启动监视。

在日志搜索页面上,您可以以两种方式创建警报:

  • 自动填充警报
  • 手动配置警报

您总是可以在配置期间切换到不同的警报类型。

自动填充警报

要自动填充警报:

  1. 进入“日志查询”页面。
  2. 在警报中选择所需的日志或日志设置,或使用搜索查询来查找特定日志。
  3. 在右上角,选择添加警报按钮,并根据所选日志选择告警类型。这时将出现“创建警报”面板,其中已经预先填充了适用的步骤。
  4. 在“Name”字段中,为您的警报命名。可选地提供描述。
  1. 可选地,选择下一个按钮以完成触发部分。
  2. 点击跳过警报关联。
  3. 在“警报通知”一节中,定义如何接收通知。阅读更多关于通知设置
  4. 定义通知节水门以控制日志或日志集在接收警报之前的日志或日志集中无效的长度,以及控制您将接收的警报通知数量的节电图。阅读更多关于警报节流
  5. 点击创建警报。

默认情况下启用通知。点击提醒通知切换以关闭所有通知。

手动创建警报

要配置不活动警报:

  1. 在InsightIdr中,选择管理警报页面,或选择日志搜索页面从左侧菜单。
  2. 在右上角,选择添加警报按钮。将出现一个空的警报页面。
  3. 选择缺乏运动检测报警。
  4. 在“名称”部分中,命名您的警报。
  5. 在“日志”部分中,选择一个或多个要在警报中使用的日志或日志集。
  6. 在可选的“Trigger”部分中,选择一个已保存的查询或可选地使用关键字正则表达式
    • 如果您没有添加触发器或模式,警报将自动使用日志来检测不活动。
  7. (可选)点击+或者按钮添加另一个模式以监视相同的日志。
  8. 在“触发设置”中,自定义日志或模式在触发警报之前必须处于非活动状态的时间量。默认情况下,5天的不活动时间将触发警报。
  1. 在“警报通知”一节中,定义如何接收通知。阅读更多关于通知设置
  2. 定义通知节水门以控制日志或日志集在接收警报之前的日志或日志集中无效的长度,以及控制您将接收的警报通知数量的节电图。阅读更多关于警报节流
  3. 点击创建警报。

模式检测警报

为了让警报触发,日志必须与您输入的精确模式匹配。

模式警报在监视服务器错误、关键异常和一般性能等情况下非常有用,并且只允许监视对您重要的事件。

在日志搜索页面上,您可以用两种不同的方式创建模式检测警报:

  • 自动填充警报
  • 手动配置警报

自动填充警报

要自动填充警报:

  1. 进入“日志查询”页面。
  2. 在警报中选择所需的日志或日志设置,或使用搜索查询查找特定的日志集。
  3. 在右上角,单击此处添加警报按钮,并根据所选日志选择告警类型。“创建警报”面板出现在已预先填充的适用步骤。
  4. 在“名称”部分中,命名您的警报并可选择添加描述。
  5. 选择下一个按钮以完成触发部分。
  6. 点击跳过警报关联。
  7. 在“警报通知”部分中,选择是要将标签应用到模式还是从电子邮件或其他集成接收警报。看到提醒设置想要查询更多的信息。
  1. 选择所需的通知触发器设置。您将不会收到此特定警报以外的警报。
  2. 定义通知节流来控制在特定时间窗口内收到的通知数量。
  3. 点击创建警报。

手动创建警报

配置模式检测警报:

  1. 在InsightIdr中,选择管理警报页面,或选择日志搜索页面从左侧菜单。
  2. 在右上角,选择添加警报按钮。将出现一个空的警报页面。
  3. 选择模式检测警报。
  4. 在“名称”部分中,命名您的警报。
  5. 在“日志”部分中,选择要在警报中使用的一个或多个日志或要使用的日志设置。
  6. 在“触发”部分中,选择保存的查询或使用新查询使用关键字正则表达式
  7. (可选)点击+或者按钮在同一日志上添加最多五个模式。
  8. 在“警报通知”部分中,选择是否要将标签应用于模式,或从电子邮件或其他集成接收警报。或者,您可以选择两者。看到提醒设置想要查询更多的信息。
  1. 选择所需的触发器设置。您将不会收到此特定警报以外的警报。
  2. 定义通知油门以控制您在特定时间窗口中收到的警报。
  3. 点击创建警报。

变化检测警报

更改检测警报将在条件更改时通知您,例如Web访问日志中的HTTP 500错误。它们是基于计算到日志或Logset的计算。

当某些东西被打破时,更改检测将帮助您留在临界条件之上,并且必须立即解决,或者发生必须升级的错误。此警报将最大限度地减少您的时间来调查和解决任何错误。

在日志搜索页面上,您可以以两种方式创建警报:

  • 自动填充警报
  • 手动配置警报

自动填充警报

要自动填充警报:

  1. 进入“日志查询”页面。
  2. 在警报中选择所需的日志或日志设置,或使用搜索查询来查找特定日志。
  3. 在右上角,选择添加警报按钮,并根据所选日志选择告警类型。这时将出现“创建警报”面板,其中已经预先填充了适用的步骤。
  4. 在“Name”字段中,为您的警报命名。可选地提供描述。
  5. 如果适用,请选择下一个按钮以完成触发部分。阅读更多关于提醒设置
  1. 点击跳过警报关联。
  2. 在“警报通知”一节中,定义如何接收通知。阅读更多关于提醒设置
  3. 定义通知油门以控制您在特定时间窗口中收到的警报。
  4. 点击创建警报。

手动配置警报

要手动配置更改检测警报:

  1. 在InsightIdr中,选择管理警报页面,或选择日志搜索页面从左侧菜单。
  2. 在右上角,选择添加警报按钮。将出现一个空的警报页面。
  3. 选择改变检测警报。
  4. 在“名称”部分中,命名您的警报并可选择添加描述。
  5. 在“日志”部分中,选择要在警报中使用的一个或多个日志或要使用的日志设置。
  6. 在“触发”部分中,选择保存的查询或可选地使用新查询关键字正则表达式或者莱卡
    • 新查询要求您指定要使用的计算,以及应用计算的键。基于计算的关键的任何更改都将触发警报。
  7. 还可以定制通知设置,以在触发警报之前定义更改的严重程度。
  1. (可选)点击+或者按钮在同一日志上添加另一个模式检测警报。
  2. 在“警报通知”一节中,定义如何接收通知。阅读更多关于提醒设置
  3. 定义通知油门以控制您在特定时间窗口中收到的警报。
  4. 点击创建警报。

管理警报

管理您现有的警报:

  1. 从左侧导航菜单中,选择检测规则>自定义警报。
  2. 在警报的右侧,单击铅笔图标要编辑警报。
  3. 如果适用,请选择复选框启用警报。
  4. 点击垃圾箱图标以删除警报。
  5. 选择一个收音机按钮为所有自定义警报选择批量操作,然后单击应用按钮。