检测规则监控仪表盘

Elastic Stack 无服务器安全性

检测规则监控仪表盘提供可视化，以帮助您监控 Elastic Security 检测规则的整体运行状况和性能。查看此仪表盘，可以大致了解您的规则是否成功运行以及它们运行、搜索数据和创建警报所花费的时间。

×

该仪表盘提供有关检测规则的各种信息。可视化显示和计算仪表盘顶部选择的时间范围和过滤器内的数据。

该仪表盘还包含来自所有 Kibana 空间的数据。要仅显示来自特定空间的数据，请在 Kibana 中打开仪表盘（Analytics → Dashboard）并使用 Kibana space 下拉过滤器。

包括以下可视化

• 规则 KPI（关键绩效指标）：已启用的规则总数、它们集体运行的次数以及它们的响应状态。
• 按规则类型执行：随时间推移的规则执行情况，按规则类型细分。
• 按状态执行：随时间推移的规则执行情况，按状态细分。
• 总规则执行持续时间：规则从开始到结束的运行时间。
• 规则计划延迟：规则计划开始时间和实际开始运行之间的时间延迟。
• 搜索/查询持续时间：规则查询源索引或数据视图所花费的时间。
• 索引持续时间：规则生成警报并将它们写入 .alerts-security.alerts-* 索引所花费的时间。
• 前 10 个规则：总体上最慢的规则、延迟最长的规则以及具有最多 Failed 和 Warning 响应状态的规则的列表。

打开面板的选项菜单（）自定义面板或使用其数据进行进一步的分析和调查

• 编辑面板设置：自定义面板的显示设置。选项因可视化类型而异。
• 检查：检查面板的基础数据和查询。
• 在 Discover 中探索数据：打开 Discover 并预加载过滤器以显示面板的数据。
• 最大化面板：展开面板。
• 下载为 CSV：以 CSV 文件格式下载面板的数据。
• 复制到仪表盘：将面板复制到现有或新的仪表盘。
• 添加到现有案例：将面板添加到现有案例。
• 添加到新案例：创建一个新案例并将面板添加到其中。
• 创建异常检测作业：使用面板的数据创建机器学习异常检测作业。

此仪表盘由 Kibana 管理，因此您对其所做的任何更改都不会持久保留。要进行持久更改，您可以克隆仪表盘并编辑克隆的副本，但您的副本不会从 Elastic 获得更新。

1. 单击 Edit，然后单击 Save as。
2. 在 Save dashboard 对话框中，为克隆的副本输入新的 Title。
3. 确保选中 Save as new dashboard，然后单击 Save。 现在，您可以进行其他更改并将它们保存到您的副本中。