设置

Elastic Stack Serverless

Kibana 告警功能已自动启用，但可能需要一些额外的配置。

如果您使用的是本地部署的 Elastic Stack

• 在 kibana.yml 配置文件中，添加 xpack.encryptedSavedObjects.encryptionKey 设置。
• 为了使电子邮件包含返回 Kibana 的链接的页脚，请设置 server.publicBaseUrl 配置设置。

如果您使用的是具有安全性的本地部署的 Elastic Stack

• 如果您无法访问 Kibana 告警功能，请确保您没有显式禁用 API 密钥。

告警框架使用需要将 search.allow_expensive_queries 设置为 true 的查询。 请参阅脚本文档。

当依赖告警和操作作为关键任务服务时，请确保您遵循告警生产注意事项。

有关告警功能的可扩展性的更多信息，请转到扩展指导。

要在 Kibana 应用程序中使用告警功能，您必须具有相应的特性权限

Kibana 权限

• 管理 > Stack 规则 特性的 全部。
• 管理 > 规则设置 特性的 全部。
• 管理 > 操作和连接器 特性的 全部。

Kibana 权限

• 管理 > Stack 规则 特性的 读取。
• 管理 > 规则设置 特性的 读取。
• 管理 > 操作和连接器 特性的 读取。

Kibana 权限

• .alerts-* 系统索引的 读取 索引权限。

Kibana 权限

• 管理 > Stack 规则 特性的 无。
• 管理 > 规则设置 特性的 无。
• 管理 > 操作和连接器 特性的 无。
• .alerts-* 系统索引的无索引权限。

有关配置提供对特性访问的角色, 访问特性权限.

规则使用 API 密钥进行授权。 它的凭据用于运行与规则关联的所有后台任务，包括 Elasticsearch 查询和触发操作等条件检查。

在 Kibana 中创建规则时，会创建一个 API 密钥，用于捕获权限的快照。 同样，当您更新规则时，API 密钥会使用您编辑时的权限快照进行更新。

当您禁用规则时，它会保留关联的 API 密钥，该密钥会在启用规则时重复使用。 如果在启用规则时缺少 API 密钥，则会生成一个具有您当前安全权限的新密钥。 导入规则时，必须先启用它才能使用它，并且届时会生成一个新的 API 密钥。

您可以随时通过在操作菜单中选择 更新 API 密钥，在 Stack Management > 规则 或规则详细信息页面中生成新的 API 密钥。

如果您使用 Kibana API 管理规则，它们支持基于密钥和基于令牌的身份验证，如身份验证中所述。 要使用基于密钥的身份验证，请创建 API 密钥并在 API 调用的标头中使用它们，如API 密钥中所述。 要使用基于令牌的身份验证，请提供用户名和密码； 将自动创建一个与用户当前权限匹配的 API 密钥。 在这两种情况下，API 密钥随后都与规则关联并在规则运行时使用。

出于安全原因，您可能希望限制 Kibana 连接到外部服务的程度。 您可以使用 操作设置禁用某些 连接器并允许 Kibana 可以连接的主机名列表。

规则和连接器与创建它们的 Kibana 空间隔离。 在一个空间中创建的规则或连接器在另一个空间中不可见。

如果要将告警规则与跨集群搜索一起使用，则必须配置 CCS 和 Kibana 的权限。 请参阅远程集群。