创建 TLS 证书规则
在 Kibana 中,您可以创建一个规则,以便在一个或多个监控器的 TLS 证书在指定的阈值内到期时,或者超出使用期限时,通知您。
有两种类型的 TLS 证书规则
Uptime TLS 规则,用于 Uptime 应用。
在 8.15.0 中已弃用Uptime 已在 8.15.0 中弃用。请改用 Synthetics。
在 Synthetics UI 中,创建 TLS 证书 规则以接收基于错误和中断的通知。
您可以为规则指定以下阈值
| 到期阈值 | HAS A CERTIFICATE EXPIRING WITHIN DAYS 条件指定何时通知您有关即将到期的证书。 |
| 使用期限 | OR OLDER THAN DAYS 条件指定何时通知您有关已生效太长时间的证书。 |
规则计划 定义了评估条件的频率。
您还可以设置 高级选项,例如在发生警报之前必须满足规则条件的连续运行次数。
在此示例中,当我们在监控的站点上的任何 TLS 证书在 30 天内到期或超过 730 天时,将满足条件。 这些条件每 6 小时评估一次,并且只有在连续三次满足条件时才会收到警报。
通过将规则连接到使用以下受支持的内置集成的操作来扩展您的规则。
- D3 Security
- 电子邮件
- IBM Resilient
- 索引
- Jira
- Microsoft Teams
- Observability AI 助手连接器
- Opsgenie
- PagerDuty
- 服务器日志
- ServiceNow ITOM
- ServiceNow ITSM
- ServiceNow SecOps
- Slack
- Swimlane
- Torq
- Webhook
- xMatters
某些连接器类型是付费商业功能,而另一些是免费的。 要比较 Elastic 订阅级别,请转到订阅页面。
选择连接器后,必须设置操作频率。 您可以选择在每个检查间隔或自定义间隔上创建警报摘要。 例如,发送电子邮件通知,以汇总每小时的新警报、正在进行的警报和已恢复的警报
或者,您可以设置操作频率,以便选择操作的运行频率(例如,在每个检查间隔、仅在警报状态更改时或在自定义操作间隔)。 在这种情况下,您还必须选择影响操作运行时间的特定阈值条件:Synthetics TLS 证书 更改或 已恢复(从关闭变为开启)。
您还可以通过指定操作仅在匹配 KQL 查询或警报发生在特定时间范围内时才运行,来进一步细化操作运行的条件
- 如果警报匹配查询:输入一个 KQL 查询,该查询定义了发送通知必须满足的字段值对或查询条件。 该查询仅在为规则指定的索引中搜索警报文档。
- 如果在时间范围内生成警报:设置时间范围详细信息。 仅当在您定义的时间范围内生成警报时,才会发送通知。
使用默认通知消息或自定义通知消息。 您可以通过单击消息文本框上方的图标并从可用变量列表中进行选择,来向消息添加更多上下文。
以下变量是此规则类型特有的。 您还可以指定 所有规则通用的变量。
context.checkedAt- 监控器运行的时间戳。
context.hostName- 执行检查的位置的主机名。
context.labels- 与监控器关联的标签。
context.lastErrorMessage- 监控器上次错误消息。
context.lastErrorStack- 监控器上次错误堆栈跟踪。
context.locationId- 执行检查的位置 ID。
context.locationName- 执行检查的位置名称。
context.locationNames- 执行检查的位置名称。
context.monitorType- 监控器的类型(例如,HTTP/TCP)。
context.monitorUrl- 监控器的 URL。
context.reason- 警报原因的简明描述。
context.recoveryReason- 恢复原因的简明描述。
context.serviceName- 与监控器关联的服务名称。
context.status- 监控器状态(例如,“down”)。
context.viewInAppUrl- 在 Synthetics 应用中打开警报详细信息和上下文。
Elastic Stack Serverless
使用Synthetic 监控而不是 Uptime 应用。
在 Uptime 应用中,创建一个 TLS 证书 规则以接收基于错误和中断的通知。
筛选依据 部分控制规则的范围。 该规则仅检查与此部分中定义的筛选器匹配的监控器。
您可以为规则指定以下阈值
| 到期阈值 | HAS A CERTIFICATE EXPIRING WITHIN DAYS 阈值指定何时通知您有关即将到期的证书。 |
| 使用期限 | OR OLDER THAN DAYS 阈值指定何时通知您有关已生效太长时间的证书。 |
在此示例中,当我们在监控的站点上的任何 TLS 证书在 30 天内到期或超过 730 天时,将满足条件。 这些条件每 6 小时评估一次,并且只有在连续三次满足条件时才会收到警报。
通过将规则连接到使用以下受支持的内置集成的操作来扩展您的规则。 操作是在满足规则条件时作为 Kibana 服务器上的后台任务运行的 Kibana 服务或与第三方系统的集成。
您可以在设置页面上配置操作类型。
- D3 Security
- 电子邮件
- IBM Resilient
- 索引
- Jira
- Microsoft Teams
- Observability AI 助手连接器
- Opsgenie
- PagerDuty
- 服务器日志
- ServiceNow ITOM
- ServiceNow ITSM
- ServiceNow SecOps
- Slack
- Swimlane
- Torq
- Webhook
- xMatters
某些连接器类型是付费商业功能,而另一些是免费的。 要比较 Elastic 订阅级别,请转到订阅页面。
选择连接器后,必须设置操作频率。 您可以选择在每个检查间隔或自定义间隔上创建警报摘要。 例如,发送电子邮件通知,以汇总每小时的新警报、正在进行的警报和已恢复的警报
或者,您可以设置操作频率,以便选择操作的运行频率(例如,在每个检查间隔、仅在警报状态更改时或在自定义操作间隔)。 在这种情况下,您还必须选择影响操作运行时间的特定阈值条件:Uptime TLS 警报 或 已恢复(从关闭变为开启)。
您还可以通过指定操作仅在匹配 KQL 查询或警报发生在特定时间范围内时才运行,来进一步细化操作运行的条件
- 如果警报匹配查询:输入一个 KQL 查询,该查询定义了发送通知必须满足的字段值对或查询条件。 该查询仅在为规则指定的索引中搜索警报文档。
- 如果在时间范围内生成警报:设置时间范围详细信息。 仅当在您定义的时间范围内生成警报时,才会发送通知。
使用默认通知消息或自定义通知消息。 您可以通过单击消息文本框上方的图标并从可用变量列表中进行选择,来向消息添加更多上下文。
以下变量是此规则类型特有的。 您还可以指定 所有规则通用的变量。
context.agingCommonNameAndDate- 检测到的证书的通用名称和过期日期/时间。
context.agingCount- 正在过期的证书数量。
context.alertDetailsUrl- 指向告警故障排除视图的链接,以获取更多上下文和详细信息。 如果未配置
server.publicBaseUrl,则这将是一个空字符串。 context.count- 告警执行器检测到的证书数量。
context.currentTriggerStarted- 如果触发了告警,则指示当前触发状态开始的时间戳。
context.expiringCommonNameAndDate- 检测到的证书的通用名称和过期日期/时间。
context.expiringCount- 告警检测到的即将过期的证书数量。
context.firstCheckedAt- 指示此告警首次检查的时间戳。
context.firstTriggeredAt- 指示告警首次触发的时间戳。
context.isTriggered- 指示告警当前是否正在触发的标志。
context.lastCheckedAt- 指示告警最近一次检查时间的时间戳。
context.lastResolvedAt- 指示此告警最近一次解决时间的时间戳。
context.lastTriggeredAt- 指示告警最近一次触发时间的时间戳。