正在加载

Watcher UI

Elastic Stack Serverless

使用导航菜单或全局搜索字段转到 Watcher 页面。 使用此 UI,您可以

Watcher list

关于集群和索引事件的警报 提供了有关 Watch 如何工作的详细信息。 如果您正在使用 UI 创建阈值 Watch,请查看不同的 Watcher 操作。 如果您正在创建高级 Watch,您应该熟悉 Watch 的各个部分:输入、时间表、条件和操作。

注意

Watcher 中存在影响 Kibana 的限制。 有关信息,请参阅限制

要在 Kibana 中使用 Watcher,您必须拥有内置的 kibana_admin 角色以及以下任一 Watcher 角色

  • watcher_admin。 您可以执行所有 Watcher 操作,包括创建和编辑 Watch。
  • watcher_user。 您可以查看 Watch,但不能创建或编辑它们。

要管理角色,请转到 角色 管理页面,或使用 角色 API。 Watch 在具有相同角色的所有用户之间共享。

注意

如果您正在创建阈值 Watch,您还必须拥有 view_index_metadata 索引权限。 有关详细信息,请参阅索引管理

阈值警报是您可以创建的最常见的 Watch 类型之一。 此警报会定期检查在给定的时间间隔内,您的数据何时高于、低于、等于或介于某个阈值之间。

以下示例将引导您创建阈值警报。 当机器上的最大总 CPU 使用率超过某个百分比时,将触发该警报。 该示例使用 Metricbeat 从您的系统和服务收集指标。 了解更多关于如何安装 Metricbeat 并开始使用。

定义 Watch 输入和时间表

  1. 单击 创建,然后选择 创建阈值警报

    您将导航到一个页面,您需要在此页面定义 Watch 名称、您要评估的数据以及触发 Watch 的频率。

  2. 输入您要调用的警报名称,例如 cpu_threshold_alert

  3. 要查询的索引 字段中,输入 metricbeat-* 并选择 @timestamp 作为时间字段。

  4. 使用默认时间表每 1 分钟运行一次 Watch。

    Input and schedule for threshold alert

添加条件

您现在应该会看到一个面板,其中包含默认条件以及基于这些条件的数据可视化。 该条件评估您已加载到 Watch 中的数据,并确定是否需要任何操作。

  1. 单击 WHEN 表达式并将值更改为 max()

    现在会出现 OF 表达式。

  2. 搜索 system.process.cpu.total.norm.pct 并从列表中选择它。

  3. 选择 IS ABOVE 表达式并将值更改为 .25,以便在 CPU 高于 25% 时触发警报。

    在您更改条件时,可视化会自动更新。 黑线表示阈值 (25%),而绿色波动线表示在设定时间段内 CPU 的变化。

    Condition for threshold alert

添加操作

现在已设置条件,您必须添加一个操作。 当满足 Watch 条件时,将触发该操作。 有关操作的完整列表以及如何配置它们,请参阅向操作添加条件

在此示例中,您将配置电子邮件操作。 您必须在 Elasticsearch 中配置电子邮件帐户,此示例才能工作。

  1. 单击 添加操作 并选择 电子邮件

  2. 收件人电子邮件地址 字段中,输入一个或多个电子邮件地址,以便在满足条件时向其发送消息。

  3. 输入电子邮件的主题和正文。

  4. 要在保存 Watch 之前测试该操作,请单击 发送测试电子邮件

    将使用您设置的配置发送示例电子邮件。

  5. 单击 创建警报

    该警报将显示在 Watcher 概览页面上,您可以在其中深入了解 Watch 历史记录和状态。

删除警报

在此示例中,您将阈值设置为 25%,以便您可以查看 Watch 执行其操作。 在实际场景中,此阈值可能太低,因为警报会过于频繁。 完成实验后,您应该删除该警报。 在 Watcher 概览页面上找到该警报,然后单击 操作 列中的垃圾桶图标。

编辑警报

或者,您可以保留该警报并调整阈值。 要编辑警报,请在 Watcher 概览页面上找到该警报,然后单击 操作 列中的铅笔图标。

Watcher 概览页面列出了您的 Watch,包括每个 Watch 的状态、上次满足其条件的时间、上次检查条件的时间,以及是否已确认、限制或未能执行其任何操作。 每个 Watch 可以处于以下三种状态之一

  • 活动。 Watch 正常工作。
  • 非活动。 Watch 正常工作,但故意禁用,因此不会执行任何操作。
  • 错误。 Watch 未正常工作。

在此页面中,您可以深入了解 Watch 以调查其历史记录和状态。

查看 Watch 历史记录

执行历史记录 选项卡显示每次触发 Watch 的时间以及查询结果、是否满足条件以及采取了哪些操作。

Execution history tab

确认操作状态

操作状态 选项卡列出了与 Watch 关联的所有操作以及每个操作的状态。 可以确认某些操作,这将防止相关 Watch 过多执行该操作。 有关详细信息,请参阅确认和限制

Action status tab

用于停用和删除 Watch 的操作位于每个 Watch 详细信息页面上

  • 如果您知道计划好的情况会导致误报,请 停用 Watch。 您可以在情况解决后重新激活 Watch。
  • 删除 Watch 以从系统中永久删除它。 您可以删除当前正在查看的 Watch,也可以转到 Watcher 概览并批量删除 Watch。

高级 Watch 适用于更熟悉 Elasticsearch 查询语法和 Watcher 框架的用户。 UI 与使用 REST API 保持一致。 有关详细信息,请参阅Query DSL

创建 Watch

在 Watch 概览页面上,单击 创建 并选择 创建高级 Watch。 高级 Watch 需要名称和 ID。 名称是一种用户友好的方式来标识 Watch,而 ID 指的是 Elasticsearch 使用的标识符。 有关如何输入 Watch JSON,请参阅Watch 定义

Create advanced watch

模拟 Watch

模拟 选项卡允许您覆盖 Watch 的各个部分,然后运行模拟。 请注意有关覆盖的这些实现细节

  • 触发器覆盖使用 日期计算
  • 输入覆盖接受 JSON blob。
  • 条件覆盖表明您是否要强制条件始终为 true
  • 操作覆盖支持 多个选项

某些 Watch(例如那些使用基本身份验证凭据的 Watch)包含密码。 出于安全原因,这些密码将从 Watcher UI 加载的任何 Watch 中删除。 您需要手动重新输入这些密码才能模拟 Watch。

启动模拟后,您将看到一个结果屏幕。 有关响应中字段的更多信息,请参阅 执行 Watch API

Create advanced watch

高级 Watch 示例

有关创建高级 Watch,请参阅以下示例

© . All rights reserved.