创建和管理自定义警报

使用InsightIdr,您可以选择在内置警报时创建自定义警报,不适合您的需求。

有三种自定义警报:

您还可以指定更多的粒度信息自定义警报详情, 和管理您的自定义警报

不活动检测警报

又称“上调监控”,不活动警报可用于在给定时间段内在整个日志,日志组或特定模式变为非活动状态时通知您。

不活动警报对于必须不断运行的系统资产(例如关键服务器)是有用的。设置不活动时间窗口的能力使您控制数据,环境和资产,并允许损坏控制和防止数据丢失。

不活动警报行为

不活动警报将单独监控每个日志。例如,如果警报正在监视两个日志中的特定事件,并且事件发生在第一个日志中但不是给定的时间范围内的第二个日志,则将触发第二日志的警报。检测到不活动并触发一个警报后,如果该模式或日志保持不活动,则只会获得单个警报。活动需要恢复以重新启动监控。

在日志搜索页面上,您可以以两种方式创建警报:

  • 自动填充警报
  • 手动配置警报

您可以在配置期间始终切换到不同的警报类型。

自动填充警报

要自动填充警报:

  1. 转到日志搜索页面。
  2. 在警报中选择所需的日志或日志设置,或使用搜索查询查找特定日志。
  3. 在右上角,选择添加警报按钮并根据所选日志选择警报类型。出现“创建警报”面板,具有已预先填充的适用步骤。
  4. 在“名称”字段中,命名您的警报。可选地提供描述。
  1. (可选)选择下一个按钮以完成触发部分。
  2. 点击跳过警报关联。
  3. 在“警报通知”部分中,定义如何接收通知。阅读更多信息通知设置
  4. 定义通知节水门以控制日志或日志集在接收警报之前的日志或日志集中无效的长度,以及控制您将接收的警报通知数量的油门。阅读更多信息警报限制
  5. 点击创建警报。

默认情况下启用通知。点击警报通知切换以关闭所有通知。

手动创建警报

要配置不活动警报:

  1. 在InsightIdr中,选择管理警报页面,或选择日志搜索从左菜单中的页面。
  2. 在右上角,选择添加警报按钮。将出现一个空的警报页面。
  3. 选择不活动检测警报。
  4. 在“名称”部分中,命名您的警报。
  5. 在“日志”部分中,选择要在警报中使用的一个或多个日志或日志集。
  6. 在“可选的”触发“部分中,选择保存的查询或可选地使用新查询关键词正则表达式
    • 如果未添加触发器或模式,则警报将自动使用日志来检测不活动。
  7. (可选)点击+或按钮添加另一个模式以监视相同的日志。
  8. 在“触发器设置”中,自定义日志或模式必须在触发警报之前不活动的时间量。默认情况下,触发器的不活动时间将触发警报。
  1. 在“警报通知”部分中,定义如何接收通知。阅读更多信息通知设置
  2. 定义通知节水门以控制日志或日志集在接收警报之前的日志或日志集中无效的长度,以及控制您将接收的警报通知数量的油门。阅读更多信息警报限制
  3. 点击创建警报。

模式检测警报

为了让警报触发,日志必须与您输入的精确模式匹配为搜索项。

在图案中提醒模式可以在监视服务器错误,关键异常和一般性能等情况下有用,并允许您仅监视对您很重要的事件。

在日志搜索页面上,您可以以两种方式创建模式检测警报:

  • 自动填充警报
  • 手动配置警报

自动填充警报

要自动填充警报:

  1. 转到“日志搜索”页面。
  2. 在警报中选择所需的日志或日志设置,或使用搜索查询查找特定的日志集。
  3. 在右上角,点击添加警报按钮并根据所选日志选择警报类型。“创建警报”面板显示已预先填充的适用步骤。
  4. 在“名称”部分中,命名您的警报并可选择添加描述。
  5. 选择下一个按钮以完成触发部分。
  6. 点击跳过警报关联。
  7. 在“警报通知”部分中,选择是否要将标签应用于模式或从电子邮件或其他集成接收警报。看警报设置。想要查询更多的信息。
  1. 选择所需的通知触发器设置。您不会在此特定警报之外收到警报。
  2. 定义通知节流阀以控制您在特定时间窗口中收到的警报。
  3. 点击创建警报。

手动创建警报

要配置模式检测警报:

  1. 在InsightIdr中,选择管理警报页面,或选择日志搜索从左菜单中的页面。
  2. 在右上角,选择添加警报按钮。将出现一个空的警报页面。
  3. 选择模式检测警报。
  4. 在“名称”部分中,命名您的警报。
  5. 在“日志”部分中,选择要在警报中使用的一个或多个日志或日志集。
  6. 在“触发”部分中,选择保存的查询或使用新查询使用关键词正则表达式
  7. (可选)点击+或按钮在同一日志上添加最多五个模式。
  8. 在“警报通知”部分中,选择是否要将标签应用于模式,或从电子邮件或其他集成接收警报。或者,您可以选择两者。看警报设置想要查询更多的信息。
  1. 选择所需的触发器设置。您不会在此特定警报之外收到警报。
  2. 定义通知油门以控制您在特定时间窗口中收到的警报。
  3. 点击创建警报。

改变检测警报

更改检测警报将在条件更改时通知您,例如Web Access日志中的HTTP 500错误。它们基于计算到日志或LogSet的计算。

当某些东西被打破时,更改检测将帮助您留在临界条件之上,并且必须立即解决,或者发生必须升级的错误。此警报将最大限度地减少您的时间来调查和解决任何错误。

在日志搜索页面上,您可以以两种方式创建警报:

  • 自动填充警报
  • 手动配置警报

自动填充警报

要自动填充警报:

  1. 转到日志搜索页面。
  2. 在警报中选择所需的日志或日志设置,或使用搜索查询查找特定日志。
  3. 在右上角,选择添加警报按钮并根据所选日志选择警报类型。出现“创建警报”面板,具有已预先填充的适用步骤。
  4. 在“名称”字段中,命名您的警报。可选地提供描述。
  5. 如果适用,请选择下一个按钮以完成触发部分。阅读更多信息警报设置
  1. 点击跳过警报关联。
  2. 在“警报通知”部分中,定义如何接收通知。阅读更多信息警报设置
  3. 定义通知油门以控制您在特定时间窗口中收到的警报。
  4. 点击创建警报。

手动配置警报

要手动配置更改检测警报:

  1. 在InsightIdr中,选择管理警报页面,或选择日志搜索从左菜单中的页面。
  2. 在右上角,选择添加警报按钮。将出现一个空的警报页面。
  3. 选择改变检测警报。
  4. 在“名称”部分中,命名您的警报并可选择添加描述。
  5. 在“日志”部分中,选择要在警报中使用的一个或多个日志或日志集。
  6. 在“触发”部分中,选择保存的查询或可选地使用新查询关键词正则表达式或者莱卡
    • 新查询要求您指定要使用的计算,以及应用计算的键。基于计算的关键的任何更改都将触发警报。
  7. (可选)自定义通知设置以定义更改在触发警报之前的严重程度。
  1. (可选)点击+或按钮在同一日志上添加另一个模式检测警报。
  2. 在“警报通知”部分中,定义如何接收通知。阅读更多信息警报设置
  3. 定义通知油门以控制您在特定时间窗口中收到的警报。
  4. 点击创建警报。

管理警报

管理您现有的警报:

  1. 从左侧导航菜单中,选择检测规则>自定义警报。
  2. 在警报的右侧,单击铅笔图标要编辑警报。
  3. 如果适用,请选择复选框启用警报。
  4. 点击垃圾箱删除警报的图标。
  5. 选择一个收音机按钮为所有自定义警报选择批量操作,然后单击申请按钮。