# 根据日志触发警报
<a name="Alarm-On-Logs"></a>

以下各节中的步骤说明了如何创建监测日志的 CloudWatch 警报。

## 根据日志组指标筛选条件创建 CloudWatch 告警
<a name="Create_alarm_log_group_metric_filter"></a>

 本节中的过程介绍如何根据日志组指标筛选器创建告警。使用指标筛选条件，您可以在日志数据发送到 CloudWatch 时查找其中的字词和模式。有关更多信息，请参阅《Amazon CloudWatch Logs 用户指南》中的 [使用筛选条件从日志事件创建指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)**。在根据日志组指标筛选器创建告警之前，您必须完成以下操作：
+  创建日志组。有关更多信息，请参阅《Amazon CloudWatch Logs 用户指南》中的 [使用日志组和日志流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)**。
+  创建指标筛选条件。有关更多信息，请参阅《Amazon CloudWatch Logs 用户指南》中的 [为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)**。

**要根据日志组指标筛选条件创建告警**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1.  从左侧导航窗格中，选择 **Logs**（日志），然后选择 **Log groups**（日志组）。

1.  选择包含您的指标筛选器的日志组。

1.  选择 **Metric filters**（指标筛选条件）。

1.  在指标筛选器选项卡中，选中要用于创建告警的指标筛选器对应的复选框。

1.  选择**创建警报**。

1.  （可选）在 **Metric**（指标）下，编辑 **Metric name**（指标名称）、**Statistic**（统计数据）和 **Period**（周期）。

1.  在**条件**下面，指定以下内容：

   1.  对于 **Threshold type**（阈值类型），选择 **Static**（静态）或 **Anomaly detection**（异常检测）。

   1.  对于 **Whenever *your-metric-name* is . . .**（每当 your-metric-name . . .），选择 **Greater**（大于）、**Greater/Equal**（大于/等于）、**Lower/Equal**（小于/等于）或 **Lower**（小于）。

   1.  对于 **than . . .**（相比 . . .），为您的阈值指定一个数值。

1.  选择**其他配置**。

   1.  对于 **Data points to alarm**（触发告警的数据点数），指定多少数据点会触发您的告警进入 `ALARM` 状态。如果指定匹配的值，则如果多个连续评估期违例，该告警将变为 `ALARM` 状态。要创建 M-out-of-N（M（最大为 N））告警，为第一个值指定的数字应小于为第二个值指定的数字。有关更多信息，请参阅 [告警评估](alarm-evaluation.md)。

   1.  对于 **Missing data treatment**（缺失数据处理），选择一个选项以指定在评估告警时如何应对缺失数据。

1.  选择**下一步**。

1.  对于 **Notification**（通知），选择当您的告警处于 `ALARM`、`OK` 或 `INSUFFICIENT_DATA` 状态时要通知的 Amazon SNS 主题。

   1.  （可选）要为相同告警状态或不同告警状态发送多个通知，请选择 **Add notification**（添加通知）。

   1.  （可选）要想不发送通知，请选择 **Remove**（删除）。

1. 要让警报执行 Auto Scaling、EC2、Lambda 或 Systems Manager 操作，请选择相应的按钮，然后选择警报状态和要执行的操作。如果您选择 Lambda 函数作为警报操作，则需要指定函数名称或 ARN，并且可以选择该函数的特定版本。

   告警只有在进入“ALARM（告警）”状态时才能执行 Systems Manager 操作。有关 Systems Manager 操作的更多信息，请参阅[将 CloudWatch 配置为通过告警创建 OpsItems ](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-create-OpsItems-from-CloudWatch-Alarms.html)和[事件创建](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-creation.html)。
**注意**  
要创建执行 SSM Incident Manager 操作的告警，您必须具有特定的权限。有关更多信息，请参阅 [AWS Systems Manager Incident Manager 的基于身份的策略示例](https://docs.aws.amazon.com/incident-manager/latest/userguide/security_iam_id-based-policy-examples.html)。

1.  选择**下一步**。

1.  对于**名称和描述**，输入告警的名称和描述。名称必须仅包含 UTF-8 字符，并且不能包含 ASCII 控制字符。描述可以包含 Markdown 格式，该格式仅在 CloudWatch 控制台的警报**详细信息**选项卡中显示。Markdown 非常适合用于向运行手册或其他内部资源添加链接。

1.  对于 **Preview and create**（预览并创建），确保您的配置正确，然后选择 **Create alarm**（创建警告）。