SLS智能告警-全局监控告警

前言

SLS是一站式的云原生可观测分析平台，用户可以将Log, Metric, Trace数据接入到SLS；根据业务的需要，用户可能将数据存储在不同的账户、地域、Project下，在对数据进行监控分析时，如果只能对特定Project或者特定区域进行监控，往往会有一定的局限性，SLS智能告警可以提供跨Project，甚至跨地域，跨账号的监控，然后对告警进行统一降噪管理，通知管理等；实现对SLS资源的全局监控。

本文将介绍如何使用SLS智能告警来进行全局监控，介绍全局监控需要的查询的三种授权方式，并通过一个跨账号监控的例子来介绍如果进行全局监控。

全局监控概述

在SLS中可以将不同云产品的日志存储在SLS中，在不同的主账号下都可以有这些云产品的日志，除了云产品的日志，每个主账号下也会有个字的系统，中间件，服务的日志；对于一个企业来说，可能会因为业务的需要，使用不同的主账号来管理企业在阿里云的日志资源。SLS智能告警提供了一种对不同主账号下日志资源的全局监控机制，允许对不同账号，不同区域下的Project进行统一监控，不需要将数据同步到某一个特定的账号或者区域下面。

举例来说，比如某企业有主账号A和主账号B分别接入了各类云产品日志和业务日志，对这些日志的监控告警运维是专门的运维团队进行负责，比如有一个主账号C，每天监测被审计账号A、B的每日访问日志量正常，这时候就需要用到了跨账号、跨Project的查询；对查询的数据统一建立告警规则，统一进行告警的降噪管理，通知管理和事务管理。

使用SLS智能告警进行全局监控，会涉及到对不同账号不同区域的资源的授权，比如上述例子中的主账号C需要有账号A、B的授权才可以对其资源进行监控查询，以下将对告警权限和授权方式进行介绍。

告警规则权限

SLS智能告警的权限包括两部分

• 告警规则的管理权限
• 监控目标的查询权限

在SLS智能告警-访问控制与授权一文中，我们主要介绍了创建告警规则的管理权限，对于监控目标的查询权限直接使用了创建告警规则实体（RAM用户或者主账户）本身被赋予的权限。监控规则实体的权限在使用上会有一定的限制，只能对当前Project下的不同Logstore进行查询。如果需要进行跨Project，跨账号的查询需要使用告警查询的授权方式。

告警查询授权方式

告警查询的授权方式主要包括三类：

• 默认：是指访问控制与授权文中使用的默认查询权限，只能查看当前告警规则所在Project下的资源。
• 内置角色：使用SLS内置的角色AliyunSLSAlertMonitorRole进行查询，可以进行跨Project的查询，只有点击授权即可，操作简单。
• 自定义角色：对于查询可以使用更精细的控制，支持跨账号，跨区域，跨Project的查询。

在介绍三种授权方式之前，先来看下阿里云RAM角色，RAM角色（RAM role）与RAM用户一样，都是RAM身份类型的一种。RAM角色是一种虚拟用户，没有确定的身份认证密钥，需要被一个受信的实体用户扮演才能正常使用。在告警中，告警查询用到的角色受信实体是阿里云SLS服务，也就是用户创建一个角色，配置相关的查询权限，允许SLS来扮演相关角色，SLS也就具有了角色中配置的查询权限，既可以对监控目标进行查询。

默认

默认授权方式表示可以对当前项目下的不同Logstore进行查询，即支持跨Logstore的监控；如图，某主账号A下拥有成都和呼和浩特两个区域的日志资源，在Project1下面创建告警规则时，可以对Logstore1和Logstore2进行监控，但是不能对Project2或者Project3下的Logstore进行监控；

默认授权方式也是最常见的创建告警规则中使用的方式，如果只需要对当前Project下的资源进行监控，可以使用这种授权方式。

内置角色

内置角色是授权方式中的第二个选择，内置角色是指SLS默认定义的系统角色，名称为AliyunSLSAlertMonitorRole，角色中定义了跨Project访问所需要的权限和受信实体阿里云SLS服务，角色ARN格式为acs:ram::主账号UID:role/aliyunslsalertmonitorrole

内置角色默认允许跨区域监控当前账号下Project，比如账号A可以对成都区域的Project1的Logstore1和呼和浩特区域的Project3下的Logstore1同时进行监控。

在配置告警规则时，点击查询统计，在弹出的查询统计框中，可以选择授权方式，这里选择内置角色。

如图所示，如果之前没有授权过内置角色，会出现点击授权的按钮，点击前往授权，会跳转到云资源访问授权页面；当前登录账号需要是主账号或者具有RAM写权限的子账号，可以点击同意授权按钮，授权完成后，再返回上一次一个面，点击完成授权，即可看到角色ARN已经自动填充好，并且区域列表会展开，可以选择当前账号下其他区域的Project及Logstore，通过输入查询分析语句即可完成对当前账号的跨区域，跨Project监控。

注意

如果使用内置角色需要对跨账号的资源进行监控，需要修改找到在RAM控制台找到内置角色，然后修改其信任策略；

例如主账号A需要监控主账号B下的Project，需要主账号B或者主账号B下具有RAM操作权限的子账号在界面执行上述前往授权的操作，然后账号B登录RAM控制台-RAM角色管理，找到AliyunSLSAlertMonitorRole，然后修改其信任策略，在Service中增加主账号A的UID@log.aliyuncs.com。

自定义角色

自定义角色是在查询统计中可以选择的第三种授权方式，该授权方式允许用户自己定义一个角色，并对角色进行精细的权限管理和信任策略管理，其中权限管理可以设置不同的权限粒度，比如只有限制某个区域的Project可以被监控，其他区域的不能监控；信任策略允许用户的资源可以被哪些账户进行监控。

自定义角色可以最大限度的对资源进行全局监控，比如账号A和账号B，用于日志资源如下图，账号C需要同时对账号A下的成都-Project1下的Logstore1和账号B下的上海-Project6下的Logstore2进行监控；那么账号A和账号B可以创建自定义角色，权限策略分别设置成都Project下Logstore的查询权限和上海Project下Logstore的查询权限，信任策略设置为信任账号C；然后账号C就可以使用两个创建好的角色来配置告警规则中的查询统计，并对两个账号下的资源进行监控告警。

跨账号监控告警配置示例

这里我们将提供了一个跨账号监控配置告警的示例，主要使用到了用户自定义角色的授权方式。

示例背景：我们在SLS智能告警-访问控制与授权一文中介绍了如何使用RAM账号创建告警规则，这里为了例子的简洁性，突出跨账号及自定义角色的定义，这里都使用主账号来完成。

假设账号A在成都有项目p1和nginx访问日志nginx-access-log，账号B在呼和浩特有项目p2和nginx访问日志nginx-access-log，需求是账号A需要同时监控项目p1下的nginx 500错误数和p2下的nginx 500错误数，在15分钟内两者错误数加起来大于10就告警。

账号B创建自定义角色

• 登录RAM控制台，在权限管理-权限策略管理中，创建自定义权限策略，假设为p2-monitor-policy，策略内容参考如下，其中Statement中第二条限制了对p2项目的查询分析日志，不允许对其他项目进行监控。

{
"Version": "1",
"Statement": [
        {
"Effect": "Allow",
"Action": [
"log:ListProject"            ],
"Resource": [
"acs:log:*:*:*"            ]
        },
        {
"Effect": "Allow",
"Action": [
"log:ListLogStores",
"log:GetLogStoreLogs",
"log:GetIndex"            ],
"Resource": [
"acs:log:*:*:project/p2/*"            ]
        }
    ]
}

• 在RAM角色管理中，创建RAM角色，类型选择阿里云服务，下一步中角色类型选择普通服务角色，角色名称为allow-a-monitor-role，选择受信服务为日志服务，点击完成。
• 添加权限，授权应用范围选择整个云账号，选择权限选择自定义策略，找到之前创建好的p2-monitor-policy，点击选中，点击确定。

账号A配置告警规则

• 登录SLS控制台，在p1项目下找到nginx-access-log，点击查询分析图标，输入查询分析语句status >= 500 | SELECT count(1) as p1_nginx_err_cnt，点击查询/分析，然后另存为告警-新版告警；
• 点击查询统计后面的添加按钮，增加一条查询统计

• 在弹出的查询统计中，授权方式选择自定义角色，角色ARN填写在账号B中创建的角色allow-a-monitor-role的ARN；区域选择呼和哈特，项目选择p2，日志库选择nginx-access-log，输入查询语句status >= 500 | SELECT count(1) as p2_nginx_err_cnt，点击预览。

• 确认后，在告警规则配置页面，集合操作选择笛卡尔积，触发条件填写p1_nginx_err_cnt + p2_nginx_err_cnt > 10

• 其余配置保持默认，告警策略选择极简模式，填写相应的渠道，等待告警的触发。如果数据中有满足告警条件，会触发告警，并发送通知到相应的渠道。说明账号A可以通过自定义角色的授权方式，实现了对账号B的日志资源的监控。

注意

如果是账号A下的RAM账号a需要监控账号B下的资源，需要对a赋予passrole的权限，在本例中，账号B的创建的自定义角色ARN假设是acs:ram::11*****:role/allow-a-monitor-role；

需要账号A登录RAM控制台，对RAM账号a进行增加权限如下：

{
"Statement": [
    {
"Action": "ram:PassRole",
"Effect": "Allow",
"Resource": "acs:ram::11*****:role/allow-a-monitor-role"    }
  ],
"Version": "1"}

总结

本文主要介绍了如何使用SLS智能告警来实现全局监控告警，对于跨账号、跨区域、跨Project的监控目标，通过使用不同的授权方式，可以实现不同粒度资源的监控。文中主要介绍了默认授权方式，内置角色授权方式和自定义角色授权方式，其中自定义角色授权方式最为灵活，配置也最为复杂。用户可以根据自身的需求来选择不同的授权方式和监控粒度。

参考

• 日志告警介绍【链接】
• 授予RAM用户告警操作权限【链接】
• 配置访问控制【链接】
• RAM角色概览【链接】

进一步参考

• SLS（日志服务）云原生观测分析平台：https://www.aliyun.com/product/sls
• SLS新版告警文档首页：https://help.aliyun.com/document_detail/207609.html
• 欢迎扫群加入阿里云-日志服务（SLS）技术交流（集团同学请直接搜索群号11702236加入）, 获得第一手资料与支持
• 后续系列直播与培训视频会同步到B站，敬请留意

最后，如果您还想了解更多智能运维前沿资讯，欢迎您报名参加【数智创新行·智能运维专场】。

6月25日|上海·西岸国际人工智能中心

数智创新行上海站·智能运维专场

阿里云将带来云原生智能运维解决方案，满足海量事件有效感知、高效响应，可观测数据统一分析、故障定位，以及基于AI的异常检测等需求，助力企业构建自己的运维平台，成为开发、运维人员高效可靠的助手。

扫描海报二维码或点击下方链接报名， 期待您一起开启智能运维新时代！

https://www.aliyun.com/page-source//developer/special/osssalon