在新版告警中，我们可以使用查询分析语句来进行日志查询，并对结果集设置告警。其中，当我们希望对查询结果进行进一步的分组时，可以使用我们的分组评估功能。

基本概念

分组评估是告警监控规则中的一个参数。当告警监控系统对查询和分析结果进行计算时，可基于特定字段进行分组，每个分组单独评估触发条件并触发告警。即您可以使用一条告警监控规则同时监控多个目标，并对每个分组进行独立的告警管理和事件管理。

例如，我们的在时序库中存储了主机和 cpu 使用率的信息，通过查询返回一个包含 IP 和 CPU 字段的结果集，如下图：

这时候我们设置告警的评估条件为 CPU > 80, 那么在任何一台主机的 cpu > 80 的时候，都会触发告警，若只是想要这样的效果，那么到这里就可以了。

但这时候我们无法对不同的 ip 做不同的处理，如果想要更进一步，例如由于主机的归属不同，告警的时候想要通知不同的接受人，那么就需要进行分组评估了。对 ip 进行分组之后。告警的评估条件会对每个分组进行单独评估，最后根据评估结果进行告警。同时，分组的字段会自动加入 label 中，提供给之后的行动策略作为判断条件。

简单来说，如果我们不使用分组评估功能，而想要根据查询结果的某个字段进行分组，并分别通过不同渠道告警，那么只能通过在查询语句中添加 group 语句，并创建多个告警来实现了。

使用场景示例：

CPU使用率

多个服务器的指标数据存储在一个时序库中，但希望每个服务器的CPU使用率（cpu_util）超过95%时，日志服务可以分开发送每个服务器的告警信息。针对此需求，您可以在创建告警监控规则时设置分组评估。

在时序库中，选择我们要查询的指标 cpu_util，这时会自动帮我们填入对应的查询语句

* | select promql_query_range('cpu_util') from metrics limit 1000

点击“另存为告警”按钮

这时会打开新建告警界面，并会自动将刚才的查询语句引入

点击语句输入框，可以查看详情

可以看到项目，指标库等详细信息，并可以对查询语句进行修改，点击预览可以查看数据图表

返回刚才的界面，设置好告警触发的条件为“有数据匹配” value > 95，这里 value 即是指 cpu_util 的值

默认情况下，使用时序库时，分组评估会自动选择“标签自动”选项，在该选项下，会自动对时序指标进行分组。

如果选择不分组，那么在当前状况下，任意一台或者多台主机的 cpu 大于 95 都会触发一次告警。

如果我们选择标签自定义，并选择 ip 字段，那么每次评估有一台主机满足条件会触发一次告警，有多台同时满足的话，就会触发多条告警。如果想要给不同的主机设置不同的告警接收人，需要配合行动策略进行设置。

在行动策略编辑时，可以指定条件和行动组，如下图，

如之前所说，用于分组评估的字段会被加到标签中，所以这里就指定了 ip 作为条件，并指定对应的接收人。将行动策略保存之后，在告警编辑页面进行选择就可以完成全部的告警设置。

监控OSS访问日志

监控OSS访问日志时，希望每分钟发生500错误超过1000次的Bucket可以分开告警。针对此需求，您可以在创建告警监控规则时设置分组评估。

在查询框中输入 http_status=500 可以查询所有 http_status 为 500 的日志记录。

进一步将语句改为

http_status=500 | select bucket,count(1) as pv group by bucket  order by pv desc

可以看到各个 bucket 的记录数。

我们将条件设到 pv > 60 得到一条结果。点击右上角“另存为告警”

这里我们将分组评估设置为 bucket 字段，同时将触发条件设置为“有数据”

这样就完成了告警的设置。如果想要对不同的 bucket 做不同的告警处理，可以参考 cpu 的场景在行动策略中进行设置。