需求:
message内容
开发人员提的需求
根据日志message中的【绑定耗时】的值大小判断,超过【3秒】就告警
实现:
-
先找到【绑定耗时】的 message的 message id 和 index
获取 message id 和 index
2、把【绑定耗时】的值通过正则表达式提取到单独的字段【binding_time】
System --> Inputs --> Beats --> Manage extractors
Add extractor --> Get started
Message ID --> Load message --> Select extractor type --> Regular expression
Extractor configuration
Extractor configuration result
3、新的message可以看到提取到字段【binding_time】的值
message binding_time
4、【binding_time】的值设置日志告警,超过3秒就告警
Alerts --> Event Definitions --> Create Event Definition
Event Details
Event Condition --> Filter & Aggregation
Notifications
5、测试告警是否生效
人工写入告警的message,测试告警是否生效
告警生效结果
