创建自定义阈值规则

创建自定义阈值规则，当可观测性数据类型达到或超过给定值时触发警报。

指定以下设置以定义规则适用的数据

设置规则使用聚合、等式和阈值来检测的条件。

聚合汇总您的数据，以便于分析。设置以下任何聚合类型以收集数据以创建您的规则：平均值、最大值、最小值、基数、计数、总和、百分位数或速率。有关这些选项的更多信息，请参阅聚合选项。

例如，要收集日志级别为warn的日志文档总数

使用您的聚合设置等式。根据等式的结果，设置阈值以定义何时触发警报。等式使用基本数学或布尔逻辑。请参阅以下示例以了解可能的用例。

对您的聚合进行加、减、乘或除运算，以定义警报条件。

示例

设置等式和阈值，以便在指标超过阈值时触发警报。在此示例中，我们将使用平均 CPU 使用率（CPU 时间在非idle或IOWait状态下花费的百分比，按 CPU 核心数量归一化），并在 CPU 使用率超过特定百分比时触发警报。为此，请设置以下聚合、等式和阈值

将条件运算符和比较运算符与您的聚合一起使用，以定义警报条件。

示例

设置等式和阈值，以便在有状态 Pod 的数量与所需 Pod 的数量不同时触发警报。在此示例中，我们将使用kubernetes.statefulset.ready和kubernetes.statefulset.desired，并在其值不同时触发警报。为此，请设置以下聚合、等式和阈值

预览图表提供了有多少条目与您的配置匹配的可视化效果。阴影区域显示您设置的阈值。

如果您使用按分组警报选项，则最大条形大小为 3。它只会显示前 3 个字段。

为自定义阈值规则设置一个或多个按分组警报字段，以针对所选字段执行复合聚合。当这些组中的任何一个匹配选定的规则条件时，将每个组触发一个警报。

当您选择多个分组时，组名称以逗号分隔。

例如，如果您按host.name和host.architecture字段对警报进行分组，并且有两个主机（Host A和Host B）和两种体系结构（Architecture A和Architecture B），则复合聚合将形成多个组。

如果Host A, Architecture A组匹配规则条件，但Host B, Architecture B组不匹配，则会为Host A, Architecture A触发一个警报。

如果您选择一个字段——例如host.name——并且Host A匹配条件但Host B不匹配，则会为Host A触发一个警报。如果两个组都匹配条件，则会为两个组触发警报。

可以选择配置规则以在以下情况下触发警报

为此，请选择如果无数据则通知我。

警报的行为取决于是否指定了任何按分组警报字段

您必须选择一个范围值（Logs或Metrics），这会影响访问规则所需的Kibana 功能权限。例如，当它设置为Logs时，您必须具有相应的可观测性 > 日志功能权限才能查看或编辑规则。

通过将规则连接到使用以下支持的内置集成的操作来扩展您的规则。

选择连接器后，必须设置操作频率。您可以选择在每个检查间隔或自定义间隔创建警报摘要。或者，您可以设置操作频率，以便选择操作运行的频率（例如，在每个检查间隔、仅在警报状态更改时或在自定义操作间隔）。在这种情况下，您还必须选择影响操作运行时间的特定阈值条件：Alert、No Data或Recovered。

您还可以通过指定操作仅在与 KQL 查询匹配或警报在特定时间范围内发生时运行来进一步细化操作运行的条件。

使用默认通知消息或自定义它。您可以通过单击消息文本框上方的图标并从可用变量列表中选择来向消息添加更多上下文。

以下变量特定于此规则类型。您还可以指定所有规则共有的变量。