Graylog 根据 message 的某个值大小实现告警

需求：

message内容
开发人员提的需求
根据日志message中的【绑定耗时】的值大小判断，超过【3秒】就告警

实现：

1. 先找到【绑定耗时】的 message的 message id 和 index

   
   获取 message id 和 index
   

   2、把【绑定耗时】的值通过正则表达式提取到单独的字段【binding_time】

   
   System --> Inputs --> Beats --> Manage extractors
   Add extractor --> Get started
   Message ID --> Load message --> Select extractor type --> Regular expression
   Extractor configuration
   Extractor configuration result
   

   3、新的message可以看到提取到字段【binding_time】的值

   
   message binding_time
   4、【binding_time】的值设置日志告警，超过3秒就告警
   Alerts --> Event Definitions --> Create Event Definition
   Event Details
   Event Condition --> Filter & Aggregation
   Notifications

5、测试告警是否生效

人工写入告警的message，测试告警是否生效 告警生效结果