功能概述
腾讯云 Elasticsearch Service(ES)日志增强版新增异常告警功能,支持用户基于日志数据配置告警策略,对集群中的索引数据进行周期性查询检测。当查询结果满足预设的告警条件时,系统将通过配置的通知渠道(邮箱、企业微信、飞书、钉钉)自动发送告警通知,帮助您及时发现日志中的异常信息并快速响应,提升运维效率与业务稳定性。
功能模块
异常告警功能位于集群详情页的异常告警 Tab 下,包含以下三个子模块:
通知模板:管理告警通知的渠道配置和自定义消息模板。
告警策略:配置基于日志查询的告警规则和触发条件。
告警列表:查看所有告警策略产生的告警记录。
1. 通知模板
通知模板用于定义告警触发后的通知方式和消息内容。您需要先创建通知模板,再在告警策略中关联使用。
1.1 新建通知模板
1. 登录 Elasticsearch Service 控制台,单击集群 ID/名称进入集群详情页。
2. 选择异常告警 > 通知模板页签,单击新建通知模板。
3. 配置以下信息:
配置项 | 说明 |
模板名称 | 支持中文、英文、数字、"+"、"-"和"_"的组合,最多不超过36个字符。每个模板创建后会自动生成唯一的模板 ID。 |
告警渠道 | 支持选择以下一种或多种渠道: 邮箱:填写邮箱地址。 企微:填写企业微信机器人 Webhook 地址。 飞书:填写飞书机器人 Webhook 地址。 钉钉:填写钉钉机器人 Webhook 地址。 |
告警内容 | 配置告警消息的标题和正文,支持插入变量实现动态渲染。 可用变量包括: {{app_id}}(账号 appid)、{{uin}}(账号 uin)、{{template_name}}(模板名称)、{{cluster_name}}(查询集群名称)、{{cluster_id}}(查询集群 ID)、{{index_name}}(查询索引)、{{region_name}}(地域)、{{match_numbers}}(匹配数量)、{{alert_time}}(告警时间)。 |
注意:
标题名称变量渲染后不可超过 20 个字符,正文内容变量渲染后不可超过200个字符,超长部分将被截断无法展示。
上海自动驾驶云地域的告警渠道当前仅支持邮箱。
4. 单击确定完成创建。
1.2 管理通知模板
在通知模板列表页,您可以执行以下操作:
搜索:支持按模板名称、模板 ID、最后修改人进行精确搜索。
编辑:修改已有模板的配置信息。
复制:基于已有模板快速创建新模板,复制后的模板名称默认为 copy_of_{原模板名称}。
删除:删除未被告警策略引用的模板。若模板已被告警策略关联,需先解除关联后方可删除。
查看详情:单击模板名称可查看模板的完整配置信息。
2. 告警策略
告警策略用于定义日志查询条件、检测规则、告警触发条件以及关联的通知模板。
2.1 新建告警策略
1. 在集群详情页,选择异常告警 > 告警策略页签,单击新建告警策略。
2. 配置以下信息:
基础信息
配置项 | 说明 |
策略名称 | 支持中文、英文、数字、"+"、"-"和"_"的组合,最多不超过36个字符。每个策略创建后会自动生成唯一的策略 ID。 |
查询索引 | 填写需要检测的索引名称,支持索引名、通配符表达式或以逗号分隔的索引列表。例如:myindex-1,myindex-2,logs-*。 |
用户名 | 默认为 elastic,支持输入其他用户名。 |
密码 | 输入对应用户的密码。 |
告警规则
配置项 | 说明 |
查询条件 | 基于指定的时间字段,使用查询语句检索日志数据。 |
查询范围 | 设置查询的时间窗口和时间字段,支持分钟和小时粒度,仅支持查询近一天的数据。 |
预览结果 | 配置查询条件后,单击预览可实时查看匹配结果及 Top 5 数据。 |
查询开始时间 | 设置告警检测的起始时间。 |
查询频率 | 设置告警检测的执行频率,支持分钟和小时粒度。 |
触发条件 | 设置当查询统计中的结果达到设定的阈值时,触发告警。支持如大于、等于等多种条件。 |
注意:
告警检测需基于时间类型字段,请确保所选索引中包含对应的时间字段。
若配置了多个查询索引,请确保所有索引均包含相同的时间字段。
频繁或大批量的查询可能会对集群带来影响,建议根据业务实际情况设置合适的查询条件和查询频率。
告警通知
开启告警通知开关后,可从下拉列表中选择已创建的通知模板。一个告警策略下可以支持关联多个通知模板。
若尚未创建通知模板,可单击新建通知模板快速跳转创建。
支持单击查看进入通知模板详情页,或单击移除取消关联。取消关联通知模板并不会删除模板本身。
日志投递
开启日志投递后,符合查询条件的日志将被自动投递至目标索引进行存储,方便后续分析和追溯。
配置项 | 说明 |
目标索引类型 | 当前系统支持两种类型: ES 集群普通索引:投递至指定 ES 集群的普通索引,默认保存7天,可自行修改。 Serverless 索引:投递至 Serverless 索引,根据您选择的索引存储时长进行保存。Serverless 索引是腾讯云推出的自动弹性、完全免运维的 Elasticsearch 服务,无集群概念,按需创建索引,按量付费。 |
目标集群 ID | 当选择的目标索引类型为 ES 集群普通索引时,选择目标集群 ID。 |
索引名称前缀 | 当选择的目标索引类型为 ES 集群普通索引时,输入的索引名称前缀将作为 ES 索引名称的一部分,索引将按天进行滚动。如: |
项目空间 | 当选择的目标索引类型为 Serverless 索引时,选择/新建 Serverless 项目空间。 |
目标索引名称 | 当选择的目标索引类型为 Serverless 索引时,选择/新建目标索引。 |
用户名/密码 | 此处需填写目标集群 / Serverless 索引的用户名和密码,用户名默认为 elastic 。 |
附加字段 | 支持添加元数据字段(如策略名称)和自定义 Key-Value 字段(支持 keyword、double 和 boolean 3种数据类型)。 |
注意:
日志投递仅支持目标集群与当前集群在同一个大版本间进行投递,比如都是7.x 或者8.x 的版本。
请确保附加字段与原始日志字段无重复,否则可能导致投递失败。
自定义集群子用户需具备集群写入权限,否则投递会失败。另外,非 elastic 用户被删除也会导致日志投递失败。
说明:
使用限制:每个 ES 集群最多可创建 50 条告警策略。
2.2 告警策略列表
在告警策略列表页,您可以执行以下操作:
操作 | 说明 |
搜索 | 支持按策略名称、策略 ID、通知模板、通知模板 ID、最后修改人进行精准搜索。 |
数据导出 | 支持将列表信息导出至本地 |
开启/关闭告警通知 | 控制是否通过配置的渠道发送告警通知。屏蔽告警通知不会影响策略的运行状态,告警记录仍会正常生成。 |
策略状态 | 显示当前策略的运行状态,并且支持过滤查询操作:运行中、未运行、处理中、已删除 |
启用/停用策略 | 启用后策略进入"运行中"状态,系统将按照配置的查询频率自动执行检测;停用后策略进入"未运行"状态,不再执行检测。 |
查看告警记录 | 单击操作列的告警记录可查看该策略下的所有告警记录详情。 |
编辑 | 修改已有策略的配置信息。 |
复制 | 基于已有策略快速创建新策略。 |
删除 | 删除告警策略,已经删除的告警策略,将立刻停止运行,但已产生告警记录的策略删除后,告警记录仍可在告警列表中查看。 |
2.3 告警记录
在告警策略列表页,点击操作栏的告警记录,可以查询该告警策略产生的所有告警记录,帮助您掌握当前告警策略运行的情况。
告警记录列表包含以下字段:
字段 | 说明 |
告警时间 | 告警触发的时间,默认按时间由近及远排序,支持排序切换。 |
查询范围 | 告警策略命中时对应的查询时间范围。 |
命中数量 | 该次告警匹配到的日志条数。单击数字可通过侧边栏查看告警详情。 |
趋势 | 以 1 分钟为粒度展示告警趋势直方图。单击可在侧边栏查看告警详情。 |
操作-告警详情 | 查看该次告警的详细信息,详见下述3.2部分。 |
3. 告警列表
告警列表汇总展示所有告警策略产生的告警记录,帮助您全局掌握集群异常告警情况。
3.1 查看告警列表
在集群详情页,选择异常告警 > 告警列表页签。默认展示近一小时的告警记录,支持通过快捷按钮或时间选择器自定义查看范围。
告警列表包含以下字段:
字段 | 说明 |
告警时间 | 告警触发的时间,默认按时间由近及远排序,支持排序切换。 |
策略名称/ID | 触发告警的策略名称及唯一标识 ID。单击策略名称可查看策略详情。 |
索引名称 | 告警策略配置的查询索引名称。 |
查询范围 | 告警策略命中时对应的查询时间范围。 |
命中数量 | 该次告警匹配到的日志条数。单击数字可通过侧边栏查看告警详情。 |
通知模板 | 该策略关联的通知模板名称。单击模板名称可查看模板详情。 |
趋势 | 以 1 分钟为粒度展示告警趋势直方图。单击可在侧边栏查看告警详情。 |
在告警列表页,您可以执行以下操作:
操作 | 说明 |
搜索 | 支持按策略名称、策略 ID、查询索引和通知模板名称进行精准搜索。 |
数据导出 | 支持将告警列表信息导出至本地(趋势图不支持导出)。 |
3.2 告警详情
单击告警列表或告警记录中的命中数量、趋势图或告警详情,可通过侧边栏查看该条告警的详细信息。
模块 | 说明 |
基本信息 | 展示策略名称/ID、查询范围、告警时间、查询索引信息。 |
趋势图 | 以直方图形式展示告警趋势,支持 1 分钟和 5 分钟粒度切换查看,支持手动刷新。 |
日志明细 | 展示触发告警的日志条目,支持关键字搜索和高亮显示、时间正序/倒序排列、日志内容展开与收起,以及分页查看。 |
可以在侧边栏的右上角对告警策略进行操作:
操作 | 说明 |
屏蔽告警/恢复告警 | 屏蔽当前告警策略的告警通知,或恢复已屏蔽的告警通知。 |
停用策略/启用策略 | 快速停用或启用当前告警策略。 |
