启用 Watcher

Elastic Stack Serverless

可以在配置集群时启用 Watcher。您可以从实际监视的数据集群分离出一个独立的集群来运行警报。

添加警报时，有一些限制。要了解更多信息，请查看警报（通过 Watcher）的限制。

要在集群上启用 Watcher，您可能首先需要执行以下一个或多个步骤。 UI 中显示的选项因堆栈版本而异；如果某个选项不可用，您可以跳过它。

• 要接收默认的 Elasticsearch Watcher 警报（集群状态、节点更改、版本不匹配），您需要启用监控才能发送到 Kibana 中指定的管理员电子邮件地址。要启用此功能，请转到高级设置 > 管理员电子邮件。

要了解有关 Kibana 警报以及如何使用它的更多信息，请查看警报和操作。

您可以配置类似于 Elastic Cloud 自动发送的运营电子邮件的通知，以提醒您集群中的性能问题。

Elastic Cloud 中的 Watcher 预先配置了电子邮件服务，无需任何其他配置即可使用。或者，可以按照配置自定义邮件服务器中所述配置自定义邮件服务器

您可以选择在 Elasticsearch 用户设置下添加 HTML 清理设置，以便在电子邮件通知中清理 HTML 元素。

有关通过电子邮件发送警报的更多信息，请查看电子邮件操作。

使用 Elastic 电子邮件服务时，适用以下配额

• 电子邮件发送配额：每 15 分钟 500 封电子邮件
• 每条消息的最大收件人数量：每封电子邮件 30 个收件人（To、CC 和 BCC 都算作收件人）。
• 最大消息大小（包括附件）：每条消息 10 MB（经过 base64 编码后）。
• 电子邮件发送者无法自定义（任何自定义From: 标头都将被删除）

在底层，警报通过elasticsearch.yml配置。如果您想自定义警报设置，您可以提供自定义的elasticsearch.yml代码段，它将附加到您的配置中。

要提供自定义代码段，您可以使用控制台Elasticsearch 设置编辑器进行部署。

例如，如果您想使用 Slack 集成

将 Elasticsearch 与 Slack 集成有三个步骤

1. 在 Slack 中生成 Webhook URL。它看起来类似于https://hooks.slack.com/services/..
2. 将 Slack 帐户名称添加到您的Elasticsearch 用户设置
3. 将 Slack 帐户与 Elasticsearch 密钥库中的 Slack Webhook 相关联

要在 Slack 中添加 webhook，请选择设置图标，然后选择添加应用程序并搜索webhook。

以下示例显示了在 elasticsearch.yml 中指定的具有多个 Slack 帐户（account1、account2 和 account3）的配置

xpack.notification.slack:
  default_account: account1
  account:
    account1:
      message_defaults:
        from: account1
        to: channel1
    account2:
      message_defaults:
        from: account2
        to: channel2
    account3:
      message_defaults:
        from: account3
        to: channel3

Slack Webhook 在 Elasticsearch 密钥库中为每个帐户设置，具有以下设置

设置名称

xpack.notification.slack.account.ACCOUNT_NAME.secure_url，其中 ACCOUNT_NAME 是 Slack 帐户，例如 account1。

类型

单字符串

密钥

您之前在 Slack 中生成的 Webhook URL。

如果您有一个当前未设置为default_account 的 Slack 帐户，并且您想将此帐户用于 Watcher 警报，您必须创建一个高级 Watch，并在 UI 的“操作”部分中显式定义要使用的 Slack 帐户。

PUT _watcher/watch/test-alarm
{
  "metadata" : {
    ...
  },
  "trigger" : {
    ...
  },
  "input" : {
    ...
  },
  "actions" : {
    "notify-slack" : {
      "throttle_period" : "10s",
      "slack" : {
        "account" : "account2",
        "message" : {
          "to" : [ "#testing-channel" ],
          "text" : "You Know, for Search"
        }
      }
    }
  }
}

在 7.0 之前的 Elasticsearch 版本中：，您不需要使用 Elasticsearch 密钥库。相反，您可以使用控制台 Elasticsearch 设置编辑器进行部署。

×

可以使用自定义邮件服务，而不是默认配置的服务。 可以按照Elasticsearch 文档配置电子邮件帐户进行配置。

从 Elastic Cloud 控制台配置新帐户的示例

1. 从您的部署菜单中，转到编辑页面。

2. 在 Elasticsearch 部分，选择管理用户设置和扩展。

3. 添加新邮件帐户的设置。

   xpack.notification.email:
     default_account: my_email_service
     account:
       my_email_service:
           smtp:
               auth: true
               starttls.enable: true
               starttls.required: true
               host: email-smtp.us-east-1.amazonaws.com
               port: 587
               user: <username>
   

4. 选择保存更改。

5. 要完成配置，必须将电子邮件服务的密码添加到密钥库

   1. 按照我们的安全设置文档中描述的步骤 将密钥值添加到密钥库
   2. 将设置名称设置为 xpack.notification.email.account.my_email_service.smtp.secure_password（帐户名称必须与用户设置中的配置匹配）。

6. 现在已设置新的电子邮件帐户。 它现在将默认用于 watcher 电子邮件操作。

有关所有可用设置的完整参考，请参阅 Elasticsearch 文档。