カスタムクエリステートメントを使用して専用のLogstoreでアラートログを分析する - Simple Log Service

Simple Log Serviceは、各アラートのライフサイクルをログとして記録し、アラートログを専用のログストアに保存します。アラートログを使用して、監視対象の全体的なステータスや安定性などの情報を取得できます。このトピックでは、カスタムクエリステートメントを使用して専用のLogstoreのアラートログを分析する方法について説明します。

背景情報

Simple Log Serviceのアラート機能を初めて使用するときに、リージョンを選択するように求められます。リージョンを選択すると、Simple Log Serviceは自動的にsls-alert-Alibaba CloudアカウントID-regionという名前のプロジェクトとinternal-alert-center-logという名前のLogstoreを作成し、アラートログを保存します。

説明

internal-alert-center-log Logstoreは課金されません。デフォルトでは、Logstoreのインデックスが作成されます。

Simple Log Serviceは、internal-alert-center-log Logstoreに基づいて組み込みダッシュボードを生成します。組み込みダッシュボードには、トリガーされたアラートやアラート通知の詳細など、アラートに関する情報が表示されます。詳細については、「アラートセンターのダッシュボード」をご参照ください。 Logstoreでカスタムクエリステートメントを実行して、ビジネス要件に基づいてアラートログを分析できます。

ログトピック

アラートログのトピックは、アラートログのステータスによって異なります。 __topic__ フィールドの値に基づいて、アラートログのステータスを識別できます。次の表に、一般的なログトピックを示します。

ログトピック	説明
__topic __: alert_state	データはアラートモニタリングルールに基づいて評価されます。
__topic __: alert_received	アラート管理システムはアラートを受信します。
__topic __: alert_routed	アラートは、アラートの受信後にアラートポリシーに基づいてルートごとにマージされます。
__topic __: alert_pre_filter	アラートは抑制または沈黙の段階に入ります。
__topic __: alert_silenced	アラートは抑制または沈黙します。
__topic __: alert_pre_notify	アラートは通知送信ステージに入ります。
__topic __: alert_notified	アラート通知が送信されます。
__topic __: system_config	構成エラーが発生したときにログが生成されます。

手順

Simple Log Serviceコンソール.
[プロジェクト] セクションで、管理するプロジェクトをクリックします。例: sls-alert-13 **** 47-cn-hangzhou。
[ログストレージ] > [Logstores] タブで、[internal-alert-center-Log] をクリックします。
Logstoreのクエリと分析ページで、カスタムクエリステートメントを実行してアラートログを分析します。
クエリステートメントは、searchステートメント | analyticステートメント形式の検索ステートメントと分析ステートメントで構成されます。クエリ文の構文の詳細については、「検索構文」および「SQL分析構文」をご参照ください。
- 例1: 特定の期間内にアラートをトリガーするアラートモニタリングルールの数を計算し、その期間内の各アラートモニタリングルールのトリガーの数を計算します。
  - クエリ文
```
__topic__: alert_received |
select
  "alert.project" as project,
  "alert.alert_name" as alert_name,
  count(*) as cnt
group by
  project,
  alert_name
order by
  cnt desc
```
  - クエリと分析結果
- 例2: 特定の期間内に各通知方法を使用して、アラート通知の送信に失敗した回数を計算します。
  - クエリ文
```
__topic__: alert_notified and level: error |
select
  "notifierConfig.type" as notificationType,
  count(*) as cnt
group by
  notificationType
order by
  cnt desc
```
  - クエリと分析結果
- 例3: アラート通知の失敗の原因を表示します。
  - クエリ文
```
__topic__: system_config
and alert.alert_id: alert -1626423664 -868572 |
select
  level,
  error,
  msg,
  "desc"
```
  - クエリおよび分析の結果
    - クエリと分析の結果にデータが含まれている場合、設定エラーが発生しました。設定エラーの詳細については、「設定エラー」をご参照ください。
    - クエリおよび分析結果にデータが含まれていない場合、指定された通知方法は無効である可能性があります。たとえば、指定されたwebhook URLが無効であるか、指定されたDingTalkチャットボットが削除されます。次のクエリ文を実行して、詳細な原因を表示できます。
      __topic__: alert_notified and level: error and alert.alert_id: alert -1626423664 -868572 | select error
      この例では、次のメッセージが返されます。返されたメッセージは、指定されたwebhook URLが無効であるため、アラート通知の送信に失敗したことを示します。