如何設置告警規則
- 搜尋狀態碼(status code)不為 200 的 Query
如果要查詢域名 example.ninja.tw,在過去 10 分鐘內 status code 不等於 200 的請求數量,可以在 Query 欄位輸入:
server_name.keyword: example.ninja.tw AND NOT status: 200 AND timestamp: [now-10m TO now]
💡
.keyword 可以精確搜尋字串。如您的域名是 example.ninja.tw,搜尋條件為:
(1) server_name: example.ninja.tw,會找出 01example.ninja.tw、02example.ninja.tw、example.ninja.tw。
(2) server_name.keyword: example.ninja.tw,只會找出 example.ninja.tw。
(1) server_name: example.ninja.tw,會找出 01example.ninja.tw、02example.ninja.tw、example.ninja.tw。
(2) server_name.keyword: example.ninja.tw,只會找出 example.ninja.tw。
2.搜尋特定端口(port)的 Query
如果要查詢域名 example.ninja.tw,在過去 10 分鐘內端口 12345 接收到的請求數量,可以在 Query 欄位輸入: server_name.keyword: example.ninja.tw AND server_port: 12345 AND timestamp: [now-10m TO now]
3.同時搜尋兩筆域名,且只要其中一筆域名的流量超過 10 MB,就要觸發告警規則。
可以先在 Query 欄位輸入: server_name.keyword: (example01.ninja.tw OR example02.ninja.tw) AND timestamp: [now-10m TO now]
並在高於/低於選擇「above」、告警閥值設定「10」,以及閥值單位選擇「Sum MB」,即可在前述條件下觸發告警規則。
💡
如果您想進一步搜尋其他欄位,可以參考告警規則的 Query 欄位名稱。