跟踪包含
Elastic Stack 无服务器
当实体被包含或不再被包含在边界内时,跟踪包含规则会发出警报。
在 Stack Management(堆栈管理) > Rules(规则) 中,单击 Create rule(创建规则)。 选择 Tracking containment(跟踪包含) 规则类型,然后填写名称和可选标签。
创建跟踪包含规则时,必须定义其检测的条件。 例如
- 定义实体索引,该索引必须包含
geo_point或geo_shape字段、date字段和实体标识符。 实体标识符是标识实体的keyword、number或ip字段。 实体数据预计会更新,以便根据实体移动发出警报。 - 定义边界索引,该索引包含
geo_shape数据。 边界数据预计是静态的(不更新)。 边界在创建规则时以及在边界配置修改后的任何时候都会收集一次。 - 设置检查间隔,该间隔定义了评估规则条件的频率。
- 在高级选项中,您可以更改必须满足规则条件的连续运行次数,然后才会发出警报。 默认值为
1。
查询实体位置以确定它们是否包含在任何受监控的边界内。 实体数据应该在某种程度上是“实时的”,这意味着新文档的日期不应早于当前时间减去间隔量。 如果摄入的数据早于 now - <check interval>,则不会触发规则。
您可以选择在满足规则条件时发送通知。 特别是,此规则类型支持
- 警报摘要
- 满足包含条件时运行的操作
- 实体不再包含时运行的操作
对于每个操作,您必须选择一个连接器,该连接器提供 Kibana 服务或第三方集成的连接信息。 有关所有受支持连接器的更多信息,请转到 连接器。
选择连接器后,必须设置操作频率。您可以选择在每个检查间隔或自定义间隔上创建警报摘要。或者,您可以设置操作频率,以便针对每个警报运行操作。选择操作的运行频率(在每个检查间隔、仅在警报状态更改时或在自定义操作间隔)。您还必须选择一个操作组,该操作组指示操作是在满足包含条件时还是在实体不再包含时运行。每个连接器都支持每个操作组的一组特定操作。例如
您可以通过指定操作仅在它们匹配 KQL 查询时或在特定时间范围内发生警报时才运行来进一步优化操作运行的条件。
您可以将规则值传递给操作以提供上下文详细信息。 要查看每个操作可用的变量列表,请单击“添加规则变量”按钮。 例如
以下操作变量特定于跟踪包含规则。 您还可以指定 所有规则通用的变量。
context.containingBoundaryId- 包含实体的边界的标识符。 此值未为已恢复的警报设置。
context.containingBoundaryName- 包含实体的边界的名称。 此值未为已恢复的警报设置。
context.detectionDateTime- 发生警报时检查间隔的结束时间。
context.entityDateTime- 实体在边界中记录的日期。
context.entityDocumentId- 包含的实体文档的标识符。
context.entityId- 生成警报的文档的实体标识符。
context.entityLocation- 实体的位置。