如果您希望在一定时间范围内日志关键字出现的次数达到指定次数时，才触发告警，则您可以参考本案例设置查询分析语句和告警监控规则。

设置查询语句

选择查询时间范围为1小时（相对），然后执行如下语句，统计1小时内出现ERROR关键字的次数。具体操作，请参见查询和分析。

ERROR

查看查询结果

根据下述查询结果可知，当前1小时内出现11次ERROR关键字。

告警监控规则配置

• 基于上述查询分析结果创建告警监控规则。具体操作，请参见告警规则创建。重要配置项说明如下：设置触发条件为特定条数据 > 5，则1小时内日志中出现ERROR关键字大于5次时，触发告警。
• 设置标注中的描述为1小时内发生 {{fire_result_count}} 次ERROR报错，则告警通知中将显示当前1小时内日志中出现ERROR关键字的次数。

告警通知

创建上述告警监控规则后，只要当前1小时内日志中出现ERROR关键字的次数超过5次，您就可以收到告警通知。您还可以查看告警详情，进行溯源。