我不太确定您的数据的形状如何，但是...

如果出现峰值，并且所有错误均发生在例如1分钟（考虑到问题已自动解决），不会生成警报。

您可以通过汇总解决此问题：

| timeslice 1m
| count by _timeslice
| where _count > 1

或类似的

如果报告了同一客户端的所有错误，请不要生成警报

听起来像：

| count by _timeslice,clientIp

会做这份工作。

如果在60分钟内记录了10个以上的错误，请发送警报，除非这些错误的类型为A，但是如果有100个以上的错误类型为A，

查询子句的粗略图为：

| if(something,1,0) as is_of_type_A
| count by is_of_type_A,...
| where (is_of_type_A = 1 and _count > 100) OR (is_of_type_A = 0 and _count > 10)

免责声明：我目前在Sumo Logic工作。