60 分間に 10 件を超えるエラーが記録された場合に発生する SumoLogic アラートがあります。
私は次のようなものを好む:
- スパイクがあり、たとえば 1 分間ですべてのエラーが発生した場合 (問題は自動解決されたと見なされます)、アラートは生成されません。
そのような sumoLogic クエリを設定するにはどうすればよいですか?
要件の差異:
ログには clientIp フィールドがあり、すべてのエラーが同じクライアントに対して報告された場合、アラートを生成しません (アプリケーションではなく、特定のクライアントの問題)
60 分間に 10 件を超えるエラーがログに記録された場合、エラーがタイプ A でない限り、アラートを送信しますが、タイプ A のエラーが 100 件を超える場合は、アラートを送信します。大きすぎます)
60 分以内に 10 件を超えるエラーが記録された場合、アラートを送信する最後のエラーが 30 分以内に発生した場合にのみ (それ以外の場合は、自動修正と見なされます)