*nixを使用していると、vmstatの結果を収集できます。

この結果から、例えばloadavgが継続的に2以上の時にアラートを出すということをしてみたいのですが、可能なんでしょうか？

sourcetype="vmstat"
| multikv fields loadAvg1mi
| table _time host loadAvg1mi
| eval th=2
| timechart span=10m avg(loadAvg1mi) as loadavg max(th) as 閾値 by host

とすると、10分間の平均が2以上となるし、閾値も同時にグラフ化できて状況の把握には便利ですが、アラート条件にはできません。

sourcetype="vmstat"
| multikv fields loadAvg1mi
| table _time host loadAvg1mi
| stats avg(loadAvg1mi) as loadavg by host | where loadavg>2

というような検索条件を、10分毎に実行するしかないでしょうか。