检测规则监控仪表板

Elastic Stack Serverless Security

检测规则监控仪表板提供可视化，帮助您监控 Elastic Security 检测规则的整体运行状况和性能。查阅此仪表板可以获得规则是否成功运行、运行耗时、搜索数据和创建警报的高层视图。

×

仪表板显示了关于您的检测规则的各种信息。可视化会显示和计算仪表板顶部所选时间范围和过滤器内的数据。

仪表板还包含来自所有 Kibana 空间的数据。要仅显示来自特定空间的数据，请在 Kibana 中打开仪表板（Analytics → Dashboard），然后使用Kibana space 下拉过滤器。

包含以下可视化：

• 规则 KPI（关键绩效指标）：已启用规则的总数、它们共同运行的次数以及它们的响应状态。
• 按规则类型划分的执行次数：按规则类型细分的规则随时间推移的执行次数。
• 按状态划分的执行次数：按状态细分的规则随时间推移的执行次数。
• 总规则执行时长：规则从开始到结束的运行耗时。
• 规则计划延迟：规则计划开始时间与其实际开始运行之间的时间间隔。
• 搜索/查询时长：规则查询源索引或数据视图的耗时。
• 索引时长：规则生成警报并将其写入 .alerts-security.alerts-* 索引的耗时。
• 排名前 10 的规则：列出整体最慢的规则、延迟最高的规则以及具有最多失败和警告响应状态的规则。

打开面板的选项菜单（）以自定义面板或使用其数据进行进一步的分析和调查。

• 编辑面板设置：自定义面板的显示设置。选项因可视化类型而异。
• 检查：检查面板的底层数据和查询。
• 在 Discover 中探索数据：打开 Discover 并预加载过滤器以显示面板的数据。
• 最大化面板：展开面板。
• 下载为 CSV：以 CSV 文件格式下载面板的数据。
• 复制到仪表板：将面板复制到现有或新的仪表板。
• 添加到现有案例：将面板添加到现有案例。
• 添加到新案例：创建新案例并将其添加到其中。
• 创建异常检测作业：使用面板的数据创建机器学习异常检测作业。

此仪表板由 Kibana 管理，因此您所做的任何更改都不会持久。要进行持久更改，您可以克隆仪表板并编辑克隆的副本，但您的副本将不会收到 Elastic 的更新。

1. 点击Edit，然后点击Save as。
2. 在Save dashboard 对话框中，为您的克隆副本输入新的Title。
3. 确保选中Save as new dashboard，然后点击Save。您现在可以进行其他更改并将其保存到您的副本。