一站式告警响应平台Flashduty,立即注册免费试用
夜莺-Nightingale
夜莺V8
前言必读 前言必读
项目介绍 对比 Prometheus 前置知识 夜莺架构 商业版 视频教程
安装 安装
前置说明 升级 二进制部署 Docker Compose Helm 配置讲解
采集器 采集器
前置说明 Categraf Telegraf Datadog-Agent
快速体验 快速体验
数据源 即时查询 指标告警 日志告警 通知规则 仪表盘
监控实践 监控实践
Linux OS 进程监控 端口监控 插件脚本 MySQL Redis Oracle Java
功能详解 功能详解
告警原理和流程说明 业务组 屏蔽规则 订阅规则 事件处理器 Processor 通知媒介 单点登录 SSO API
夜莺V7
项目介绍 功能概览
部署升级 部署升级
部署说明 老版本升级 附:Docker Compose 附:二进制部署 附:高可用部署 附:Prometheus 部署 附:部署采集器 附:边缘机房部署
数据接入 数据接入
数据源接入 导入仪表盘 数据采集
告警管理 告警管理
快速入门 PromQL 邮件推送 企微推送 钉钉推送 回调推送 脚本推送 自定义通知模板 告警屏蔽 告警自愈 告警事件
数据查看 数据查看
即时查询 仪表盘
功能介绍 功能介绍
告警管理 告警管理
告警规则 告警规则
基础配置 生效配置
查询统计 查询统计
Prometheus Elasticsearch MySQL 阿里云 SLS 腾讯云 CLS 变量查询
告警条件 告警条件
告警表达式 MySQL 举例
告警屏蔽 告警订阅 告警历史
通知管理 通知管理
通知规则介绍 阿里云短信 Relabel 事件处理 Event Drop 事件处理 Event Update 事件处理 Callback 事件处理 Script 事件处理 Label Enrich 事件处理 AI Summary 事件处理 模板函数
仪表盘 仪表盘
巡检报告 集成仪表盘
数据源 数据源
Prometheus Elasticsearch Loki TDengine MySQL SLS CLS Jaeger Zabbix
时序指标 时序指标
快捷视图
即时查询 即时查询
Prometheus TDengine MySQL Zabbix
日志分析 日志分析
Elasticserch 阿里云 SLS 腾讯云 CLS Loki
告警自愈 告警自愈
自愈脚本 临时任务
基础设施 基础设施
机器列表 采集配置 网络设备 设备采集模板
集成中心 集成中心
告警规则模板 仪表盘模板 指标模板 采集模板
人员组织 人员组织
用户管理 团队管理 业务组管理 权限管理 联系方式
系统配置 系统配置
单点登录 单点登录
OIDC OAUTH2 LDAP CAS
通知设置 通知设置
通知媒介 阿里云短信 阿里云语音 腾讯云短信 腾讯云语音
通知模板 站点设置 变量设置 告警引擎
API FAQ
夜莺V6
项目介绍 架构介绍
快速开始 快速开始
最快速体验
黄埔营
安装部署 安装部署
部署说明 Docker Compose 高级部署方案 附:Prometheus 部署
升级
采集器 采集器
概述 Categraf Datadog-agent Falcon插件 Grafana-agent Telegraf
使用手册 使用手册
仪表盘 仪表盘
仪表盘 图表配置
告警管理 告警管理
告警规则 内置规则 告警屏蔽 告警订阅 活跃告警 历史告警 通知媒介
时序指标 时序指标
即时查询 快捷视图 记录规则
日志分析 日志分析
即时查询
基础设施 基础设施
机器列表 采集配置
告警自愈 人员组织 数据源 通知配置 通知模板 单点登录 ES日志监控(专业版) 自监控 权限管理
API API
数据读取 数据推送 操作类接口 回调地址对接方式
数据库表结构 数据库表结构
users notify_tpl board users target target user_group user_group_member task_tpl task_tpl_host task_record sso_config role role_operation recording_rule notify_tpl metric_view datasource configs chart_share busi_group busi_group_member builtin_cate builtin_cate builtin_cate builtin_cate board board_payload alerting_engines alert_subscribe alert_rule alert_mute alert_his_event alert_cur_event alert_aggr_view
FAQ FAQ
转发数据给多个时序库 机器列表数据异常 数据流图 监控数据时有时无 查询原始监控数据 快捷视图详解 告警自愈模块使用 仪表盘里只展示我的机器 仪表盘里图表数据缺失 设置自定义告警通知方式 target_up指标的问题 夜莺可以监控 x 么 夜莺告警常见问题排查思路 告警和恢复的判断逻辑 容量规划问题 connection refused 登录与认证 数据采集器Categraf 日志写到`/var/log/messages` 告警规则&告警模板如何引用变量 采集到的数据是字符串怎么处理 管理员密码忘记了 制作大盘如何添加图片 添加loki数据源报错 v6小版本升级有什么 sql 要执行吗 机器列表有展示,但采集数据查询不到 n9e 启动异常报错 n9e集群部署配置修改 推送 Promethus 报错 OOO 机器列表怎么忽略云资源 告警规则仅在本业务组生效失败 categraf 启动 oracle 插件报错 告警自愈不生效 n9e查询时序库EOF报错 手动编译项目报错 promQL 使用函数标签信息丢失 内存使用率+可用率不等于100 夜莺仪表盘有哪些内置变量 categraf配置文件支持热加载吗 导入 Grafana 仪表盘无效数据源 如何查看报错消息
夜莺V5
项目介绍 藏经阁
安装部署 安装部署
事前必读 Docker Compose 方式 Helm 方式 二进制方式 VictoriaMetrics 告警自愈模块
采集器 采集器
Telegraf Grafana-agent Falcon插件 Datadog-agent Categraf
使用手册 使用手册
SNMP 应用监控 Mtail日志监控 JVM监控 钉钉告警 电话短信告警 告警通知 告警格式 Relabel 自监控
API API
数据读取 数据推送 Webapi接口
采集器-Categraf
总体介绍
安装部署
主配置文件
日志采集
Prometheus agent
Trace采集
高级配置
插件配置
插件综述 基础指标采集插件 netstat采集插件 netstat_filter采集插件 procstat采集插件 http_response mysql插件 redis插件 snmp插件 ipmi采集插件 dns_query插件 dcgm插件 nvidia_smi插件 cadvisor采集插件 sshd采集插件 systemd采集插件 smart采集插件 postgresql插件 mongodb插件 elasticsearch采集插件 exec采集插件 emqx采集插件 阿里云指标采集插件 Zabbix 指标转换插件 cloudwatch指标采集插件 google cloud指标采集插件 mtail插件 prometheus采集插件 页面配置采集插件
Flashcat 企业版
总体介绍
北极星
简介 落地步骤 最佳实践 SLA管理实践
灭火图
简介 落地步骤 最佳实践
事件墙
简介 落地步骤 最佳实践
日志分析
简介 落地步骤 最佳实践
最佳实践
跳转链接中的时间戳如何自定义格式 如何获取Flashcat即时查询带参数的URL 如何修改北极星大屏的Logo 如何嵌入Flashcat Web页面
开源生态
Telegraf
介绍、安装、初步测试 CPU、MEM、DISK、IO插件 kernel、system、processes插件 exec、net、netstat插件 端口监控、TCP探测 PING、Procstat插件
Prometheus
版权声明
第1章:天降奇兵 第1章:天降奇兵
开篇 Prometheus简介
初识Prometheus 初识Prometheus
安装Prometheus Server 使用Node Exporter采集主机数据 使用PromQL查询监控数据 使用Grafana创建可视化Dashboard
任务和实例 Prometheus核心组件讲解 小结
第2章:探索PromQL 第2章:探索PromQL
开篇 理解时间序列 Metrics类型 初识PromQL PromQL操作符 PromQL聚合操作 PromQL内置函数 在HTTP API中使用PromQL 最佳实践:4个黄金指标和USE方法 小结
第3章:Prometheus告警处理 第3章:Prometheus告警处理
开篇 Prometheus告警简介 自定义Prometheus告警规则 部署Alertmanager Alertmanager配置概述 基于标签的告警处理路由
使用Receiver接收告警信息 使用Receiver接收告警信息
概述 与SMTP邮件集成 与Slack集成 与企业微信集成 集成钉钉:基于Webhook的扩展
告警模板详解 屏蔽告警通知 使用Recoding Rules优化性能 小结
第4章:Exporter详解 第4章:Exporter详解
开篇 Exporter是什么
常用Exporter 常用Exporter
容器监控:cAdvisor 使用 Prometheus 监控 MySQL 运行状态:MySQLD Exporter 网络探测:Blackbox Exporter
使用Java自定义Exporter 使用Java自定义Exporter
使用Client Java构建Exporter程序 在应用中内置Prometheus支持
小结
第5章:数据与可视化 第5章:数据与可视化
开篇 使用Console Template Grafana基本概念
Grafana与数据可视化 Grafana与数据可视化
概述 变化趋势:Graph面板 分布统计:Heatmap面板 当前状态:SingleStat面板
模板化Dashboard 小结
第6章:集群与高可用 第6章:集群与高可用
开篇 Prometheus 本地存储 Prometheus 远程存储 Prometheus 联邦集群 Prometheus 高可用 Alertmanager 高可用 小结
第7章:Prometheus服务发现 第7章:Prometheus服务发现
开篇 Prometheus与服务发现 基于文件的服务发现 基于Consul的服务发现 服务发现与Relabeling 小结
第8章:监控Kubernetes 第8章:监控Kubernetes
开篇 初识Kubernetes 在Kubernetes下部署Prometheus Kubernetes下的服务发现 使用Prometheus监控Kubernetes集群 基于Prometheus的弹性伸缩 小结
第9章:Prometheus Operator 第9章:Prometheus Operator
开篇 什么是Prometheus Operator 使用Operator管理Prometheus 使用Operator管理监控配置 在Prometheus Operator中使用自定义配置 本章小结
参考资料

事件处理器 Processor

事件处理器(Event Processor)是夜莺 v8 版本引入的一个概念,当告警事件产生之后,在发送通知之前,可以使用事件处理器对告警事件做额外的处理,开源版本支持 Relabel、Callback、Event Update、Event Drop、AI Summary 5 类处理器,不同的处理器可以组成一个 Pipeline,对告警事件做一系列灵活的处理。场景比如:

  • 跟内部的 CMDB 打通,附加一些更丰富的信息到告警事件上
  • 调用 DeepSeek 的接口,对告警事件做一些智能分析,然后把分析结果附加到告警事件上
  • 把所有告警事件发送到自己的系统,相当于镜像一份,做后续的分析处理
  • 一些特定的告警事件可以 Drop 掉,比如一些恢复事件不想发送通知

这里涉及多个概念,通知规则、事件处理器(Processor)、事件处理管道(Pipeline),稍作解释:

  • 一个通知规则里可以配置多个事件处理管道(Pipeline),顺序执行
  • 一个事件处理管道(Pipeline)里可以配置多个事件处理器(Processor),也是顺序执行

Event Processor

上面的截图可以看出,入口菜单在 通知-通知规则,通知规则可能会有很多,在新增或编辑某个具体的通知规则时,可以看到有个 事件处理 的配置区域,这里可以引用多个提前创建好的事件管道(Pipeline),那在哪里对事件管道(Pipeline)增删改呢?入口比较隐藏,在 事件处理 右侧那个小齿轮里,点击可以展开一个侧拉板,在侧拉板里对事件管道(Pipeline)增删改。

创建、编辑事件管道(Pipeline)时,又会展开一个新的侧拉板,在这个新侧拉板里编辑 Pipeline,我们可以在 Pipeline 里配置多个事件处理器(Processor):

Event Processor Editor

点击事件处理器类型字段旁边的 使用说明 可以查看事件处理器的使用说明文档。

Relabel 处理器

Relabel 处理器,类似 Prometheus 中对监控指标的 Relabel 操作,只不过夜莺这里,是对告警事件的 Relabel,告警事件里也有标签字段,也有需求对标签做一些加工处理,所以这里提供了 Relabel 处理器。

Relabel 处理器的具体使用说明,在夜莺的页面上点击事件处理器类型字段旁边的 使用说明,即可查看。

Callback 处理器

事件触发后,夜莺可以通过 Callback 通知外部系统,外部系统可以根据事件内容进行自动化处理。比如我见过有些公司自研了一套告警通知的系统,不用夜莺的通知机制,就直接把所有告警事件通过 Callback 处理器发送到自研的系统。

下面做一个简单的演示:

  1. 首先创建一个“通知规则”,因为 Callback 处理器属于某个 Pipeline,而 Pipeline 又属于某个通知规则。
  2. 在“通知规则”里,引用事件处理的 Pipeline,Pipeline 需要提前创建好(在通知规则编辑页面,点击处理器右侧的小齿轮打开侧拉板,在侧拉板里创建、编辑 Pipeline),下面截图是一个 Pipeline 的详情页面,里边有一个 Callback 处理器。

Event Processor

这里的 http://10.99.1.107:8888/print 是我的一个测试程序,可以把接收到的 HTTP 请求打印出来,方便演示。这个程序也是一个开源小程序,地址在 github gohttpd

创建了 Pipeline 之后,回到通知规则页面,在事件处理那里,选择刚才创建的 Pipeline。

Add Event Processor

接下来,就可以去配置“告警规则”做测试了,测试一下产生的告警能否被第三方程序接收到。

为了尽快看到效果,可以创建一个肯定会触发阈值的告警规则,然后在通知规则那里,选择刚才创建的通知规则:

Add Alert Rule

稍等片刻,去观察 http://10.99.1.107:8888/print 这个程序是否收到回调的 HTTP 请求。我的环境里看到的结果如下:

Webhook request

从上图可以看出,HTTP request 中包含了告警事件的信息,其内容如下:

{
	"id": 1097371,
	"cate": "prometheus",
	"cluster": "prom",
	"datasource_id": 1,
	"group_id": 2,
	"group_name": "DBA-Postgres",
	"hash": "54f5543591c6dc0e30139cae196a1eee",
	"rule_id": 54,
	"rule_name": "测试事件回调",
	"rule_note": "",
	"rule_prod": "metric",
	"rule_algo": "",
	"severity": 2,
	"prom_for_duration": 0,
	"prom_ql": "cpu_usage_active{ident=\"ulric-flashcat.local\"} \u003e 0",
	"rule_config": {
		"queries": [{
			"from": 0,
			"prom_ql": "cpu_usage_active{ident=\"ulric-flashcat.local\"} \u003e 0",
			"range": {
				"display": "now-undefineds to now-undefineds",
				"end": "now-undefineds",
				"start": "now-undefineds"
			},
			"severity": 2,
			"to": 0,
			"unit": "none"
		}]
	},
	"prom_eval_interval": 15,
	"callbacks": [],
	"runbook_url": "",
	"notify_recovered": 1,
	"target_ident": "ulric-flashcat.local",
	"target_note": "",
	"trigger_time": 1749180264,
	"trigger_value": "33.06867",
	"trigger_values": "",
	"trigger_values_json": {
		"values_with_unit": {
			"v": {
				"value": 33.06867479671808,
				"unit": "",
				"text": "33.07",
				"stat": 33.06867479671808
			}
		}
	},
	"tags": ["__name__=cpu_usage_active", "cpu=cpu-total", "ident=ulric-flashcat.local", "rulename=测试事件回调"],
	"tags_map": {
		"__name__": "cpu_usage_active",
		"cpu": "cpu-total",
		"ident": "ulric-flashcat.local",
		"rulename": "测试事件回调"
	},
	"original_tags": ["", "", "", ""],
	"annotations": {},
	"is_recovered": false,
	"last_eval_time": 1749180264,
	"last_sent_time": 1749180264,
	"notify_cur_number": 1,
	"first_trigger_time": 1749180264,
	"extra_config": {
		"enrich_queries": []
	},
	"status": 0,
	"claimant": "",
	"sub_rule_id": 0,
	"extra_info": null,
	"target": null,
	"recover_config": {
		"judge_type": 0,
		"recover_exp": ""
	},
	"rule_hash": "dc128d86d65326499bd03ecfbe56e4c3",
	"extra_info_map": null,
	"notify_rule_ids": [3],
	"notify_version": 0,
	"notify_rules": null
}

测试正常。如果您有类似需求,就可以使用这种 Callback 处理器来对接,在您的程序中做一些自动化的逻辑。

Event Update 处理器

事件处理器中,还有一个 Event Update 处理器,和 Callback 的配置方式一样,这俩工作逻辑也很像,区别如下:

夜莺在调用 Callback 地址的时候,是不关注 HTTP Response 的,而在调用 Event Update 的时候,会把 HTTP Response 的内容作为新的告警事件走后续处理。

所以,Event Update 如其名,就是用来修改告警事件的。通常用于附加一些额外信息到告警事件中,比如:

  • 把事件交给 AI 分析,得到一些结论性质的信息,附加到事件中
  • 去 CMDB 查询一些元信息,附加到事件中

注意,告警事件的结构不能乱改,比如直接在 JSON 顶层增加一个字段,后续流程是不认的。通常建议把新内容附加到 annotations 字段,我上面 Callback 处理器的例子中,annotations 是空的所以看不出来数据结构,实际 annotations 是一个 map 结构,map key 和 map value 都是字符串类型,你要附加内容的时候,也需要遵循这个结构。

高级玩家也可以修改 Event 的其他字段,但是你得清楚你的修改对后续的影响,普通用户就只需要把内容附加到 annotations 字段,然后把整个新的 Event 序列化为 JSON 放到 HTTP Response 的 body 中即可。

Event Drop 处理器

事件处理器中,还有一个 Event Drop 处理器,顾名思义,就是用来丢弃告警事件的。比如:

  • 有些场景,虽然产生了告警事件,但是不想走后面的通知逻辑,就可以使用 Event Drop 处理器来丢弃这个事件。

要 Drop 掉一些告警事件,那肯定要做过滤,通常可以利用标签、注解、级别等各种字段做过滤,这个过滤规则可能会写的很复杂,那这个功能怎么设计才能如此灵活呢?我们想了一个稍微复杂但是极度灵活的办法,就是用户直接使用 go template 语法配置一段 template,template 中可以引用告警事件,使用 if 等语法来做过滤。只要这个 go template 最终渲染的结果是 true,就会丢弃这个事件。

具体使用说明,在夜莺的页面上点击 Event Drop 事件处理器类型字段旁边的 使用说明,即可查看。

AI Summary 处理器

AI Summary 处理器的文档也很齐全,如下图:

AI Summary Processor

点击 AI Summary 事件处理器类型字段旁边的 使用说明,即可查看 AI Summary 处理器的使用说明文档。下面各个字段右侧都有一个小问号的 icon,鼠标挪上去也可以看到相关提示说明。

快猫星云 联系方式 快猫星云 联系方式
快猫星云 联系方式
快猫星云 联系方式
快猫星云 联系方式
快猫星云Email
申请技术交流产品试用
快猫星云
OpenSource
开源版
Nightingale
Categraf
Flashcat
Flashcat
企业版
FlashDuty
Flashduty
产品介绍
控制台
API
文档中心
下载中心
视频中心
开发者中心
话题中心