关键词告警

LTS支持对日志流中的日志数据进行关键词统计，通过设置日志告警规则，监控日志中的关键词，通过在一定时间段内，统计日志中关键字出现的次数，实时监控服务运行状态。目前每个帐户最多可以创建关键词告警与SQL告警共200个。

SQL告警

云日志服务支持将日志数据进行结构化，通过配置SQL告警规则，定时查询结构化数据，当且仅当条件表达式返回为true的时候，将告警进行上报，用户可以在LTS控制台查看SQL告警。

目前每个帐户最多可以创建关键词告警与SQL告警共200个。每条SQL告警规则可以关联1到3个图表，每个图表包含一条查询某个日志流的SQL查询语句。

消息模板是日志告警通知消息的固定格式，系统发送告警通知消息必须使用消息模板向订阅者发送。默认有四个内置消息模板，分别为关键词模板、keywords_template、sql模板和sql_template。不同协议的订阅者优先选择模板名称对应的协议模板，如果对应的协议模板不存在，则采用内置的消息模板。使用消息模板发送告警通知消息时，系统会自动将模板变量替换为告警规则中的内容。可以选择的消息通知方式类型有邮件、短信、企业微信、钉钉、语言和HHT/HTTPS

消息模板默认有四个内置模板，当您所选择的消息模板中未配置消息内容时，云日志服务默认使用内置模板。

关键词模板：关键词告警中文模板

keywords_template：关键词告警英文模板

sql模板：sql告警中文模板

sql_template：sql告警英文模板

规则名称：${event_name}

告警状态：$event.annotations.alarm_status

告警级别：${event_severity}

发生时间：${starts_at}

发生区域：${region_name}

告警源：$event.metadata.resource_provider

资源类型：$event.metadata.resource_type

资源标识：${resources}

表达式：$event.annotations.condition_expression

当前值：$event.annotations.current_value

统计周期：${frequency}

华为云账号：${domain_name};

查询时间：$event.annotations.results[0].time

查询日志：$event.annotations.results[0].raw_results

查询URL：$event.annotations.results[0].url

查询自定义字段$event.annotations.results[0].fields.xxx