Watcher

Elastic Stack Serverless

您可以使用 Watcher 来监视数据中的更改或异常，并执行必要的响应操作。例如，您可能希望

• 监视社交媒体，作为检测自动售款机或票务系统等面向用户的自动化系统故障的另一种方式。当某个区域的推文和帖子数量超过重要阈值时，通知服务技术人员。
• 监视您的基础设施，跟踪随时间推移的磁盘使用情况。当任何服务器在未来几天内可能耗尽可用空间时，打开一个服务台工单。
• 跟踪网络活动以检测恶意活动，并主动更改防火墙配置以拒绝恶意用户。
• 监视 Elasticsearch，并在节点离开集群或查询吞吐量超出预期范围时，立即通知系统管理员。
• 跟踪应用程序响应时间，如果页面加载时间超过 SLA 超过 5 分钟，则打开一个服务台工单。如果 SLA 超出时间超过一小时，则呼叫值班管理员。

所有这些用例都具有几个关键特性

• 可以通过定期的 Elasticsearch 查询来识别相关数据或数据更改。
• 可以根据条件检查查询结果。
• 如果条件为真，则执行一个或多个操作——发送电子邮件、通知第三方系统或存储查询结果。

告警功能提供了一个用于创建、管理和测试Watcher的 API。Watcher 描述了一个单一的告警，并且可以包含多个通知操作。

Watcher 由四个简单的构建块构成

计划

用于运行查询和检查条件的计划。

查询

作为条件输入的查询。Watcher 支持完整的 Elasticsearch 查询语言，包括聚合。

条件

一个决定是否执行操作的条件。您可以使用简单的条件（始终为真），或者使用脚本来处理更复杂的情况。

操作

一个或多个操作，例如发送电子邮件、通过 webhook 将数据推送到第三方系统，或索引查询结果。

所有 Watcher 的完整历史记录都保存在 Elasticsearch 索引中。此历史记录跟踪 Watcher 触发的每次事件，并记录查询结果、条件是否满足以及执行了哪些操作。