活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
免费活动
  • 活动
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 算力套餐
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

Loki日志告警Ruler配置示例

日志审计天翼云监控
2023-08-21 09:25:16
244
0

logQL简介

存储在Loki中的日志,是按行存储的,而LogQL就是可以快速按各种条件检索出日志的一种手段(语言)

LogQL:Loki 提供的日志查询语言,类似 Prometheus 的 PromQL,LogQL也是使用标签和运算符进行过滤,它主要分为两个部分:

  • log stream selector (日志流选择器)
  • filter expression (过滤器表达式)

logQL有两种形式的Query:

  • Log queries:按行返回log
{job="portal_log"}|= `ERROR`
  • Metric queries:计算统计query的结果,可以使用sum、count_over_time等函数。
count_over_time(({host=~"192.168.*"}|~"error")[2m])

日志告警规则示例:

1、日志中出现大量error

groups:
  - name: error-alerting
    rules:
    - alert: 大量报错日志
      expr: count_over_time(({host=~"192.168.*"}|~"error")[2m]) >10 
      for: 0m
      labels:
        severity: warnning
        instance: "logs"
      annotations:
        summary: Too many error logs
        description: Too many error logs

2、日志中错误率超过5%

groups:
  - name: portal_log_error_rate_alerting
    rules:
    - alert: portal_log_error_rate
      expr: sum(rate({job="portal_log"} |= "error" [5m])) by (job) / sum(rate({job="portal_log"}[5m])) by (job) > 0.05
      for: 10m
      annotations:
        summary: "portal_log 日志的错误率大于5%"
        description: "portal_log 日志的错误率大于5%"

3、日志中出现“WARN”、“hasAccessAuthorize fail”日志,并输出日志行

groups:
  - name: notice_access_authorize_alerting
    rules:
    - alert: notice_access_authorize_alerting
      expr: sum by (host, job, error) (count_over_time({job="notice_log"} |= `WARN` |= `hasAccessAuthorize fail`| regexp "(?P<error>.*)$"[5s])) > 0
      for: 0m
      annotations:
        summary: "notice hasAccessAuthorize fail, host:{{ $labels.host }} \n 异常日志:{{ $labels.error }}"
        description: notice hasAccessAuthorize fail

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
0 / 1000
z****n
2文章数
0粉丝数
z****n
2 文章 | 0 粉丝
Ta的热门文章查看更多
promtail+loki+alertmanager实现自定义日志监控告警Loki日志告警Ruler配置示例
z****n
2文章数
0粉丝数
z****n
2 文章 | 0 粉丝
原创

Loki日志告警Ruler配置示例

日志审计天翼云监控
2023-08-21 09:25:16
244
0

logQL简介

存储在Loki中的日志,是按行存储的,而LogQL就是可以快速按各种条件检索出日志的一种手段(语言)

LogQL:Loki 提供的日志查询语言,类似 Prometheus 的 PromQL,LogQL也是使用标签和运算符进行过滤,它主要分为两个部分:

  • log stream selector (日志流选择器)
  • filter expression (过滤器表达式)

logQL有两种形式的Query:

  • Log queries:按行返回log
{job="portal_log"}|= `ERROR`
  • Metric queries:计算统计query的结果,可以使用sum、count_over_time等函数。
count_over_time(({host=~"192.168.*"}|~"error")[2m])

日志告警规则示例:

1、日志中出现大量error

groups:
  - name: error-alerting
    rules:
    - alert: 大量报错日志
      expr: count_over_time(({host=~"192.168.*"}|~"error")[2m]) >10 
      for: 0m
      labels:
        severity: warnning
        instance: "logs"
      annotations:
        summary: Too many error logs
        description: Too many error logs

2、日志中错误率超过5%

groups:
  - name: portal_log_error_rate_alerting
    rules:
    - alert: portal_log_error_rate
      expr: sum(rate({job="portal_log"} |= "error" [5m])) by (job) / sum(rate({job="portal_log"}[5m])) by (job) > 0.05
      for: 10m
      annotations:
        summary: "portal_log 日志的错误率大于5%"
        description: "portal_log 日志的错误率大于5%"

3、日志中出现“WARN”、“hasAccessAuthorize fail”日志,并输出日志行

groups:
  - name: notice_access_authorize_alerting
    rules:
    - alert: notice_access_authorize_alerting
      expr: sum by (host, job, error) (count_over_time({job="notice_log"} |= `WARN` |= `hasAccessAuthorize fail`| regexp "(?P<error>.*)$"[5s])) > 0
      for: 0m
      annotations:
        summary: "notice hasAccessAuthorize fail, host:{{ $labels.host }} \n 异常日志:{{ $labels.error }}"
        description: notice hasAccessAuthorize fail

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
监控告警
2 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0
售前咨询热线
400-810-9889转1
  • 天翼云APP
    天翼云APP
  • 天翼云微信公众号
    微信公众号
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2024天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号