关于构建块规则
Elastic Stack 无服务器安全
如果您不希望在 UI 中看到构建块规则生成的告警,请创建构建块规则。这在以下情况下很有用:
- 记录低风险告警,而不会在告警表中产生干扰。
- 在告警索引 (
.alerts-security.alerts-<kibana space>) 上执行的规则。然后,您可以使用构建块规则创建隐藏的告警,作为普通规则生成可见告警的基础。
要创建搜索告警索引的规则,请选择 索引模式 作为规则的 来源,然后输入告警索引的索引模式 (.alerts-security.alerts-*)
默认情况下,构建块告警会从“概述”和“告警”页面中排除。您可以选择在“告警”页面上包含构建块告警,这将增加告警的数量。
- 在导航菜单中找到 告警,或使用全局搜索字段。
- 在告警表中,选择最右侧的 其他过滤器 → 包含构建块告警。
注意
在构建块规则详细信息页面上,会显示规则的告警(默认情况下,已选择 包含构建块告警)。