新的指標衡量警示規則種類-公開預覽

過去，OMS 警示只會利用從記錄搜尋回傳的結果數量來提供警示功能。有了指標衡量警示後，我們現在可以對一組物件進行廣泛的警示規則定義，進而能夠計算閾值，並對單一物件發起警示。此新功能還有更精細的觸發條件，例如：單一或是連續漏洞。

以下列表提供了警示種類的適用性。

透過與傳統 number of results 警示相同的流程來建立指標衡量。此外，任何用於性能指標的依需求之彙總查詢皆可以執行。查看 OMS 中依據需求的指標之彙總和視覺化來得到如何製作依需求的彙總搜尋指令的相關資訊。

在您定義指標衡量警示時，最大的不同是以下兩項先決條件：

"measure" statement – 指標衡量警示需要在一個欄位上分組來指明是哪個物件需要警示。
Ex: Type=Event | measure count() by Computer interval 5 minute
Ex: Type=Perf ObjectName=Processor CounterName= | measure avg(CounterValue) by Computer interval 2minute

"interval" statement – 這指定了您指標的取樣間隔，以了解數據的彙總方式。
Ex: Type=Perf ObjectName=Process CounterName=”% Processor Time”| measure avg(CounterValue) by InstanceName interval 3minute
Ex: Type=W3CIISLog | measure avg(TimeTaken) by Computer interval 30minute

1. 將警示種類從 Number of results 換為 Metric measurement。

2. 閾值是基於搜尋中的指標彙總。例如：若您以記憶體作為指標，並希望當記憶體低於 1 GB 時發出警示，您可以選擇 [低於] 並在欄位中輸入 1000。

3. 選擇觸發條件。

指標衡量能夠很精細的地定義觸發條件。此兩個條件為 違規總數 和連續違規。

違規總數： 當 Y 個取樣中有 X 個超過了發動警示的閾值。例如：若一個取樣間隔訂為 15 分鐘並將時間間隔訂為 60 分鐘，則有 60/15 也就是 4 個樣本可以選取。若將觸發條件設定為違規總數大於 2，則當 4 個取樣中有三個超過閾值時，便會發動警示。

下圖中，閾值設定為 15，並將觸發條件設定為違規總數大於 1，在特定時間有 2 個違規時便會發出警示。

連續違規：若 X 連續的取樣點超過合計值的閾值。時間間隔在此情況就變得不是那麼重要。例如：若觸發條件設為大於 2 個連續違規，則當前 3 個取樣點大於合計值的閾值時就會觸發警示。

下圖中，若將閾值設定為 10 並將觸發條件設為大於 2 個連續違規，則將在每個時間間隔發送警示，因為總共有 6 個連續違規。

由於指標衡量警示針對每個作為分組一部份的獨特物件做評估，每個物件都能得到特定的警示。這也代表了像是 email/runbook/ Webhook 等動作會在警示發動時被啟用。

此外，您可以以特定電腦欄位來分組。此欄位便可以在搜尋中的警示記錄中使用。

Additional resources