如何从SumoLogic警报中排除尖峰？

Question

如果在60分钟内记录了10多个错误，我们就会发出SumoLogic警报。

我更喜欢这样的东西：

如果出现尖峰并在1分钟内发生所有错误(考虑问题已经自动解决)，则

1. 不要生成警报。

如何设置这样的sumoLogic查询？

所需经费差异：

1. 日志有clientIp字段，如果为同一个客户端报告了所有错误，则不要生成警报(特定客户端的问题，而不是应用程序的问题)

1. 如果记录在60分钟内的错误超过10个，则发送警报，除非错误为A类型，但如果A类型的错误超过100个，则发送警报。(A类型的日志错误是可以接受的，除非数量太大)

1. 如果记录在60分钟内的错误超过10个，则仅在上次错误发生在30分钟前(否则视为自动修复)

时才发送警报。

Answer 1

我不太清楚你的数据是如何形成的，但是.

如果出现尖峰，并且所有错误都发生在1分钟内(考虑问题已经自动解决)，

不要生成警报。

您可以通过聚合解决这个问题：

| timeslice 1m
| count by _timeslice
| where _count > 1

或者类似的。

如果为同一个客户端报告了所有错误，请不要生成警报。

听起来像是：

| count by _timeslice, clientIp

会做好这份工作。

如果记录在60分钟内的错误超过10个，则发送警报，除非错误为A类型，但如果A类型的错误超过100个，

查询子句的概要如下：

| if(something, 1, 0) as is_of_type_A
| count by is_of_type_A, ...
| where (is_of_type_A = 1 and _count > 100)
       OR (is_of_type_A = 0 and _count > 10)

免责声明:我目前受雇于相扑逻辑。