Konfigurasikan event processing flow untuk menyaring dan mengklasifikasikan event alert - Application Real-Time Monitoring Service - Alibaba Cloud - Application Real-Time Monitoring Service

Setelah mengintegrasikan berbagai sumber alert menggunakan Alert Management di ARMS, Anda dapat mengonfigurasi alur pemrosesan event untuk memfilter dan mengklasifikasikan event dari sumber-sumber tersebut. Topik ini menjelaskan cara membuat alur pemrosesan event.

Buat alur pemrosesan event

Masuk ke ARMS console.
Di panel navigasi sebelah kiri, pilih Alert Management > Event Processing Flows.
Pada halaman Event Processing Flows, klik Create Processing Flow di pojok kanan atas.
Pada halaman Create Processing Flow, masukkan nama alur pemrosesan di bagian Basic Information.

Di bagian Flow Action Settings, konfigurasikan alur pemrosesan event.

Seret aksi dari bagian Available Actions ke bagian Event Processing Flows.

Di bagian paling kanan, konfigurasikan kondisi eksekusi untuk setiap aksi dalam alur pemrosesan event.

Catatan

Setelah mengonfigurasi suatu aksi, Anda dapat menguji field alert di bagian Test Data untuk memverifikasi konfigurasi tersebut.

Action	Description	Example
Trigger Condition	Hanya event yang memenuhi kondisi pemicu yang akan memulai alur pemrosesan event saat ini.	Scenario Sebuah integrasi bernama Container CPU Utilization Alert memicu alur pemrosesan event saat ini. Configuration Tetapkan kondisi menjadi `_aliyun_arms_integration_name equals Container CPU Utilization Alert`.
Filter Events	Event yang memenuhi kondisi filter akan melewati alur pemrosesan event saat ini dan dilanjutkan ke alur berikutnya. Event yang tidak difilter akan melanjutkan ke aksi berikutnya dalam alur saat ini. Catatan Jika aturan alert Anda belum menghasilkan event, Anda hanya dapat mengonfigurasi field ARMS preset `_aliyun_arms_integration_id` dan `_aliyun_arms_integration_name`. Jika Anda perlu menggunakan field event lain seperti `severity` atau `alertname`, gunakan salah satu metode berikut: Masukkan nama field secara manual. Tambahkan aturan alert dan picu event alert. Setelah event dihasilkan, Anda dapat memilih field-nya. Execution Result Execution Result Execution Result Execution Result Execution Result	Scenario Event alert dengan level P4 tidak memicu alur pemrosesan event saat ini. Configuration Tetapkan kondisi menjadi `severity equals P4`.
Identify Event Type	Berdasarkan nilai field event yang dipilih, sebuah algoritma mengidentifikasi kelas event dan tipe event. Informasi ini mendukung kueri serta analisis statistik event dan alert. Kelas event berikut didukung: Network Storage Compute OS Application Database Change Tipe event berikut didukung: Availability Latency Capacity Error Unknown	Scenario Identifikasi kelas event dan tipe event berdasarkan nilai field `alertname` dan `message`. Configuration Tetapkan Fields for Type Identification menjadi `alertname` dan `message`. Execution Result Sistem menulis hasil identifikasi ke label `class` dan `type`. Contohnya, setelah event dengan `alertname` `tcp package error percentage` diproses, class pada field tambahan diatur menjadi network, dan type diatur menjadi error.
Set Event Level	Menetapkan level event tertentu untuk event yang diproses oleh alur saat ini.	Scenario Tetapkan level event untuk event alert terkait jaringan dari layanan inti menjadi P1. Configuration Tetapkan aksi Trigger Condition menjadi `class equals network`. Tetapkan aksi Set Event Level menjadi P1. Execution Result Hasil pengujian menunjukkan bahwa setelah diproses, field severity diatur menjadi `critical`, yang menandakan bahwa aturan berhasil diterapkan.
Set Business Tag	Menambahkan tag bisnis (label) ke event yang diproses oleh alur saat ini. Tag ini mendukung kueri serta statistik event dan alert. Field: Gunakan nilai field event sebagai nilai field `label`. Value: Tetapkan nilai tetap untuk field `label`.	Scenario Gunakan level alert sebagai label alert untuk memungkinkan analisis statistik event berdasarkan level. Configuration Tetapkan tag bisnis menjadi `Field: severity`. Execution Result Field `label` akan ditambahkan ke event alert, dan nilai field `label` adalah nilai field `severity`.
Delete Field	Menghapus field tertentu dari sebuah event.	Scenario Sebuah event alert berisi field `location` dan `region`. Field `location` sudah mencakup informasi region, sehingga hapus field `region`. Configuration Tetapkan field yang akan dihapus menjadi `region`.
Extract Content	Mengekstraksi konten dari field event menggunakan ekspresi reguler dan mengisi field baru dengan data yang diekstraksi.	Scenario Field alert: `"location":"cn-hangzhou-hz4"` Ekstraksi informasi region dan data center dari field `location` dan isi field `region` dan `datacenter`. Configuration Field to Extract From: `location` Extraction Regex: `([a-zA-z]+-[a-zA-z]+)-(.)` Fields to Populate: `region`, `datacenter` Hasil ekstraksi untuk field region* adalah `cn-hangzhou`, dan hasil untuk field datacenter adalah `hz4`.
Match and Update	Jika field event tertentu berisi konten tertentu, sistem akan mengisi field target dengan nilai yang dikonfigurasi.	Scenario Field alert: `"message":"ping to i-bp1e42d0ydxf7pstuepz > 100ms"` Jika field `message` berisi `ping`, ini menandakan event jaringan, dan event tersebut ditandai sebagai tipe jaringan. Configuration Field to Match: `message` Update Condition: Jika berisi `ping`, output `network`. Catatan Nilai yang dicocokkan dapat berupa string literal atau ekspresi reguler. Field to Populate: `class` Setelah menguji aksi match and update, jika field `message` suatu event berisi `ping`, sistem akan mengisi field `class` dengan `network`.
Enrich Field	Memperkaya data event dengan memanggil API atau melakukan kueri ke sumber data Excel lokal, lalu mengisi field target dengan hasilnya. Catatan Fitur sumber data saat ini sedang dalam rilis canary. Untuk menggunakan fitur ini, hubungi dukungan teknis ARMS di DingTalk (ID: `d9j_rg9e4062f`).	Scenario Gunakan field IP dalam event alert untuk melakukan kueri ke sumber data Excel yang diunggah guna mengambil hostname yang sesuai dan mengisi field `hostname` event tersebut. Configuration Data Source: Get Host Data Source-excel Match and Update Mode: `ip` (mencocokkan nama kolom dalam file Excel) equals `ip` (mencocokkan nilai kolom dalam file Excel) Field to Populate: `$.hostName` (nama kolom dari hasil kueri Excel) mengisi `hostname`
Replace Content	Menemukan dan mengganti konten dalam field tertentu menggunakan string literal atau ekspresi reguler.	Scenario Ganti string `d.b.` dalam event alert dengan string `database`. Configuration Field to Replace In: `message` Find: `d\.b\.` Catatan Anda dapat menggunakan string literal atau ekspresi reguler. Replace With: `database` Klik Test. Sebelum diproses, nilai field message adalah `d.b. call timeout`. Setelah diproses, nilainya berubah menjadi `database call timeout`, yang menunjukkan bahwa aturan penggantian efektif.
Split Content	Memisahkan nilai field berdasarkan delimiter dan menggunakan hasilnya untuk mengisi beberapa field target.	Scenario Field alert: `"message":"myhostid_myuserid_myruleid"` Pisahkan nilai field `message`, lalu isi field baru `hostid`, `userid`, dan `ruleid` masing-masing dengan bagian hasil pemisahan. Configuration Field to Split: `message` Delimiter: `_` Fields to Populate with Split Results: `hostId`, `userId`, `ruleId` Catatan Field target diisi secara berurutan.
Populate from Template	Masukkan konten templat (contoh: Sumber event bertipe `${class}` adalah `${source}`). Nama variabel adalah nama field dari integrasi event, dan konten diisi ke field target setelah templat dirender.	Scenario Field alert: `"source":"server", "class":"network"` Tetapkan field `message` menjadi `Event of type ${class} is from source ${source}`, merujuk pada nilai field `class` dan `source`. Configuration Template: `Event of type ${class} is from source ${source}` Field to Populate: `message` Field message dirender sebagai `Event of type network is from source server`, dengan variabel templat diganti oleh nilai field yang sesuai.
Discard	Membuang event yang diproses oleh alur saat ini. Aksi ini harus menjadi node terakhir dalam alur pemrosesan event dan tidak memerlukan konfigurasi.	None

Di bagian Test Data, masukkan field dan nilai uji di sebelah kiri, atau klik Select From Events untuk menguji event alert yang sudah ada. Lalu, klik Test.
Setelah menyelesaikan konfigurasi, klik Save.

Setelah alur pemrosesan event dibuat, sistem akan memfilter event dari sumber alert terintegrasi berdasarkan urutan alur. Anda dapat melihat event yang telah difilter di halaman riwayat event alert. Untuk informasi lebih lanjut, lihat View alert event history.

Kelola alur pemrosesan event

Setelah membuat alur pemrosesan event, Anda dapat mengelolanya di halaman Event Processing Flows:

Untuk mengubah urutan alur, klik Up atau Down di kolom Actions.
Untuk mengaktifkan atau menonaktifkan alur, klik Enable atau Stop di kolom Actions.
Untuk memperbarui alur, klik Edit di kolom Actions.
Untuk menghapus alur, klik Delete di kolom Actions lalu klik Confirm.

Lihat event alert yang telah diproses

Di panel navigasi sebelah kiri, pilih Alert Management > Alert Event History.

Halaman Alert Event History menampilkan semua event alert. Klik nama event untuk melihat detailnya. Untuk informasi lebih lanjut, lihat View alert event history.