Graylog 根據(jù) message 的某個(gè)值大小實(shí)現(xiàn)告警

需求:

message內(nèi)容

開發(fā)人員提的需求

根據(jù)日志message中的【綁定耗時(shí)】的值大小判斷,超過【3秒】就告警

實(shí)現(xiàn):

  1. 先找到【綁定耗時(shí)】的 message的 message id 和 index


    獲取 message id 和 index

    2、把【綁定耗時(shí)】的值通過正則表達(dá)式提取到單獨(dú)的字段【binding_time】


    System --> Inputs --> Beats --> Manage extractors

    Add extractor --> Get started

    Message ID --> Load message --> Select extractor type --> Regular expression

    Extractor configuration

    Extractor configuration result

    3、新的message可以看到提取到字段【binding_time】的值


    message binding_time

    4、【binding_time】的值設(shè)置日志告警,超過3秒就告警
    Alerts --> Event Definitions --> Create Event Definition

    Event Details

    Event Condition --> Filter & Aggregation

    Notifications

5、測(cè)試告警是否生效


人工寫入告警的message,測(cè)試告警是否生效
告警生效結(jié)果
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容