如何避免漏告警、误告警?
日志写入到查询期间存在低延时、索引构建存在低时间差,如果您在告警策略中配置查询时间范围和执行周期时未考虑上述时间差,可能导致告警监控任务的查询结果不准确,从而出现漏告警、误告警问题。
您可以通过扩大查询的时间范围来避免漏告警、误告警。详细说明,请参考告警监控任务时效性。
为什么配置了多个触发条件,只有一个生效?
日志服务告警触发条件之间为或关系,检索分析结果按照触发条件的顺序逐条匹配,检索分析结果符合第一条触发条件后,不再匹配后面的触发条件。即您在添加多条触发条件时,需按照高级别到低级别的顺序配置。具体步骤请参考创建告警策略。
为什么告警触发时间与通知时间相差较大?
使用日志服务默认的内容通知模板时,触发时间取值为{{StartTime}},即表示第一次触发告警的时间。告警触发后,在下一个周期仍未恢复时,第二次告警通知中的触发时间仍为上一个周期中第一次触发告警的时间。如果告警一直未恢复,则告警触发时间不会更新,因此造成告警触发时间和通知时间相差较大。
为什么 COUNT(*) 结果为 0,但我配置的“有数据”告警条件仍然被触发?
- 现象
在创建告警策略时,使用COUNT(*)函数统计相关的日志数量,且设置触发条件为有数据。当COUNT(*)结果为 0 时,仍然触发了告警。 - 原因
使用COUNT(*)函数时,返回结果中始终会返回一行数据,这行数据记录了COUNT(*)函数的计算结果。而设置触发条件为有数据,表示返回结果中有数据行就会触发结果。因此即使COUNT(*)结果为 0,即没有符合条件的日志,仍然会触发告警。 - 解决方案
使用检索分析的结果列设置触发条件。例如将触发条件设置为有数据匹配$1.num >= 1,表示至少存在 1 条符合条件的日志才会触发告警。
为什么检索分析结果有数据,但告警测试通知中变量值为空?
告警测试仅供检查告警策略、检索分析语法、触发表达式语法等配置,并非真正执行告警监控任务。当您的告警策略较为复杂时,告警测试无法检测出问题,需要根据告警文档手动排查。
为什么触发条件表达式提示字段不存在?
- 现象
触发条件表达式提示目标字段可能不存在。 - 解决方案
在触发条件表达式中引用字段作为变量时,请确保检索分析结果集合中存在目标字段。如果存储目标字段仍出现报错,请忽略该错误。
告警测试错误码
您在创建告警策略时,可通过告警测试预览告警通知以及验证告警策略配置的正确性。本文罗列了告警测试相关的错误码及其原因和解决方案。
错误码 | 错误信息 | 错误原因 | 解决方案 |
|---|---|---|---|
AlarmProjectNotExist | 日志项目(%s)不存在 | 告警监控的日志项目被删除。 | 创建新的日志项目和日志主题,并上传日志,然后在新日志项目中重新创建告警策略。 |
AlarmParseSQLErr | 告警执行语句%d解析失败:%s | 您所填写的执行语句的语法错误。 | |
AlarmParseTriggerConditionErr | 告警触发条件%d解析失败:%s | 您所填写的触发条件表达式的语法错误。 | 根据错误提示修改告警策略中的触发条件表达式。详细说明请参考触发条件表达式。 |
AlarmNotifyGroupNotExist | 通知组(%s)不存在 | 您所选择的通知组被删除。 | 重新创建通知组,并在告警策略中绑定新的通知组。 |
ErrAlarmUserDefineMsgParseErr | 用户自定义通知内容解析失败:%s | 您所填写的通知内容的语法错误。 | |
ErrAlarmWebhookBodyParseErr | 通知组(%s)中第%d个webhook请求体解析失败:%s | 您所填写的 WebHook 请求体语法错误。 | 根据错误提示修改 WebHook 请求体。 |
ErrAlarmCallWebhookErr | 通知组(%s)中第%d个webhook地址错误 | 调用 WebHook 地址失败。 | 检查通知组中 WebHook 地址的可用性。 |
ErrAlarmContentTemplateParseErr | 内容模版(%s)解析失败:%s | 您所填写的内容模版的语法错误。 | 根据错误提示修改内容模板。详细说明请参考创建内容模板。 |
ErrSendSmsMessageOutOfQuota | 用户%s发送短信超出限额 | 指定的 IAM 用户的短信通知频率超出限额。 | 参考告警限制了解限额,并稍后重试。 |
ErrMobileNotVerified | 用户%s电话未认证 | 指定的 IAM 用户在个人信息中配置的手机号码未通过验证。 | 在安全设置页面完成安全手机验证。 |
ErrSendVmsMessageOutOfQuota | 用户%s电话超出限额 | 指定的 IAM 用户的电话通知频率超出限额。 | 参考告警限制了解限额,并稍后重试。 |
ErrEmailNotVerified | 用户%s邮箱未认证 | 指定的 IAM 用户在个人信息中配置的邮箱未完成认证。 | 在安全设置页面完成安全邮箱验证。 |
ErrSendSmsFail | 用户%s发送短信失败:%s | 短信通知发送失败。 | 根据错误提示检查手机设置,并稍后重试。 |
ErrSendVmsFail | 用户%s语音通知失败:%s | 语音通知发送失败。 | 根据错误提示检查手机设置,并稍后重试。 |
ErrSendEmailFail | 用户%s发送邮件失败:%s | 邮件通知发送失败。 | 根据错误提示检查邮箱设置,并稍后重试。 |
ErrWebhookIntegrationNotExist | 告警webhook集成(%s)不存在 | 您所配置的 WebHook 集成配置被删除。 | 重新创建 WebHook 集成配置,并在通知组中绑定新的 WebHook 集成配置。 |
ErrCallWebhookIntegration | 告警webhook集成(%s)调用失败,错误码:%v,错误信息:%s | 调用 WebHook 地址失败,HTTP 状态码显示成功,但是发送告警通知到飞书、钉钉、企业微信失败。 | 根据错误提示检查及修改 WebHook 集成配置,并稍后重试。 |
AlarmDefaultErr | 告警测试失败,请稍后重试 | 无。 | 稍后重试。 |