查看告警
Elastic Stack Serverless
当规则的条件满足时,它会创建告警。如果规则有操作,它们会以定义的频率运行。例如,规则可以以自定义间隔为每个告警发送电子邮件通知。有关规则、告警和操作概念的介绍,请参阅告警。
您可以在堆栈管理 > 规则中管理每个规则的告警。或者,在堆栈管理 > 告警中管理您的所有告警。[预览]
您必须具有相应的Kibana告警功能和索引权限才能查看告警。请参阅告警安全要求。
此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic将努力修复任何问题,但技术预览版的功能不受官方GA功能的SLA支持。
在堆栈管理 > 告警中,您可以筛选列表(例如,按告警状态或规则类型),并自定义筛选器控件。要搜索特定的告警,请使用KQL栏使用Kibana查询语言创建结构化查询。
默认情况下,该列表包含您有权查看的选定时间段内的所有告警,但不包括与安全规则关联的告警。要查看安全规则的告警,请单击查询菜单并选择安全规则类型
或者,在Elastic Security应用程序中查看这些告警。
要获取有关特定告警的更多信息,请打开其操作菜单(…),然后在堆栈管理 > 告警或规则中选择查看告警详情。在那里,您将看到告警的当前状态、持续时间和上次更新时间。为了帮助您确定导致告警的原因,提供了诸如预期和实际阈值以及告警原因摘要等信息。
如果告警受到维护窗口的影响,则告警详情会包括其标识符。有关它们对告警通知的影响的更多信息,请参阅维护窗口。
有三种常见的告警状态
active(活动)- 满足规则的条件,并且应根据通知设置生成操作。
recovered(已恢复)- 不再满足规则的条件,并且应生成恢复操作。
untracked(未跟踪)- 不再生成操作。例如,您可以选择在禁用或删除规则时将活动告警移动到此状态。
当告警在活动状态和已恢复状态之间反复切换时,它也可能处于“抖动”状态。只有在堆栈管理 > 规则 > 设置中启用了告警抖动检测时,才可能出现此状态。对于每个空间,您可以选择一个回溯窗口和阈值,用于确定告警是否抖动。例如,您可以指定告警必须在最近10次运行中至少更改状态6次。如果规则具有在告警状态更改时运行的操作,则在告警抖动时会禁止这些操作。
如果告警处于活动状态或抖动状态,您可以将其静音以暂时禁止将来的操作。在堆栈管理 > 告警和规则中,您可以打开相应告警的操作菜单(…)并选择静音。要永久禁止告警的操作,请打开操作菜单并选择标记为未跟踪。
要影响规则的行为而不是单个告警,请查看暂停和禁用规则。