规则类型
Elastic Stack Serverless
规则是一组条件、计划和操作,用于启用通知。Kibana 提供了内置于 Elastic Stack 中的规则以及由 Kibana 应用程序之一注册的规则。您可以在Stack Management > Rules中创建大多数规则类型。安全规则必须在 Security 应用程序中定义。有关更多信息,请参阅有关创建检测规则的文档。
注意
某些规则类型是订阅功能,而另一些是免费功能。有关 Elastic 订阅级别的比较,请参阅订阅页面。
Stack 规则内置于 Kibana 中。要访问 Stack Rules 功能并创建和编辑规则,用户需要 all 权限。有关更多信息,请参阅功能权限。
| Elasticsearch 查询 | 运行用户配置的 Elasticsearch 查询,将匹配数与配置的阈值进行比较,并安排在满足阈值条件时运行的操作。 |
| 索引阈值 | 使用 Elasticsearch 查询聚合文档中的字段值,将它们与阈值进行比较,并安排在满足阈值时运行的操作。 |
| 转换规则 | [beta] 对持续转换运行计划的检查,以检查其运行状况。如果持续转换满足条件,则会创建一个警报并触发关联的操作。 |
| 跟踪遏制 | 运行 Elasticsearch 查询以确定是否有任何文档当前包含在指定边界索引中的任何边界中,并在满足规则条件时生成警报。 |
可观测性规则检测可观测性数据中的复杂条件,并在满足规则条件时创建警报。例如,您可以创建一个规则,用于检测指标的值何时超过指定阈值,或者在您正在监控的系统或服务上何时发生异常。有关更多信息,请参阅警报。
注意
如果在 Observability 应用程序中创建规则,则其警报在 Stack Management > Rules 中不可见。它们仅在 Observability 应用程序中可见。
[beta] 机器学习规则对异常检测作业运行计划的检查,以检测具有特定条件的异常。如果异常满足条件,则会创建一个警报并触发关联的操作。
安全规则使用预构建或自定义规则检测可疑的源事件,并在满足规则条件时创建警报。有关更多信息,请参阅安全规则。
注意
与安全规则关联的警报仅在 Elastic Security 应用程序中可见;它们在 Stack Management > Rules 中不可见。