正在加载

监控规则执行

Elastic Stack Serverless Security

多种工具可以帮助您深入了解检测规则的性能

  • 规则监控选项卡 — 所有检测规则的当前状态及其最近的执行情况。转到**规则监控**选项卡,全面了解哪些规则正在运行,它们花费的时间以及它们是否遇到任何问题。
  • 执行结果 — 单个检测规则随时间推移的执行历史数据。查阅执行结果,了解特定规则的运行方式以及是否正在创建您期望的告警。
  • 检测规则监控仪表盘 — 可视化,帮助您监控 Elastic Security 检测规则的整体健康状况和性能。查阅此仪表盘,以获取规则是否成功运行以及运行、搜索数据和创建告警所需时间的高级视图。

如果规则没有创建预期的告警,请参阅排查缺失告警部分,了解调整规则的策略。

要查看所有规则执行的摘要(包括最近的失败、执行时间和规则执行中的间隙),请在**规则**页面上选择**规则监控**选项卡。要访问该选项卡,请在导航菜单中找到**检测规则 (SIEM)**,或使用全局搜索字段搜索“检测规则 (SIEM)”,然后转到**规则监控**选项卡。

monitor table

在**规则监控**选项卡上,您可以像在**已安装规则**选项卡上一样排序和筛选规则

提示

要对规则列表进行排序,请单击任何列标题。要以降序排序,请再次单击列标题。

有关规则、其生成的告警以及相关错误的详细信息,请单击表格中的名称。这还允许您执行与**已安装规则**选项卡上可用的操作相同的操作,例如修改或删除规则,激活或停用规则,导出或导入规则以及复制预构建规则。

有关规则执行间隙(即规则未运行的时间段)的信息,请使用表格上方的面板。左侧的时间筛选器允许您选择一个时间范围以查看间隙数据。**具有间隙的规则总数:**字段会告诉您有多少规则在选定的时间范围内具有未填充或部分填充的间隙。右侧的**仅具有间隙的规则**筛选器允许您仅显示具有未填充或部分填充间隙的规则。

在表格中,**上次间隙(如果有)**列表示规则最近的间隙持续了多长时间。**未填充的间隙持续时间**列显示规则是否仍有间隙,并提供剩余的未填充或部分填充的间隙的总和。总和可以根据您在表格上方的面板中选择的时间范围而变化。如果规则没有间隙,则这些列显示短划线 (––)。

提示

要详细查看规则的间隙,请转到**执行结果**选项卡并查看间隙表

从**执行结果**选项卡中,您可以访问规则的执行日志、监控和解决规则执行计划中的间隙以及检查规则的手动运行。要找到该选项卡,请单击规则的名称以打开其详细信息,然后向下滚动。

每次检测规则执行都会被记录下来,包括执行类型、执行成功或失败、任何警告或错误消息、搜索数据、创建告警和完成所需的时间。如果特定规则的行为不符合预期(例如,如果它没有创建告警或运行时间过长),这可以帮助您排除故障。

Execution log table on the rule execution results tab

您可以将鼠标悬停在每个列标题上以显示有关该列数据的工具提示。单击列标题以按该列对表进行排序。在“执行日志”表格中,您可以单击行尾的箭头来展开较长的警告或错误消息。

使用这些控件来筛选日志表格中包含的内容

  • **运行类型**下拉列表按规则执行类型筛选表格

    • **计划**:自动计划的规则执行。
    • **手动**:手动启动的规则执行。

  • **状态**下拉列表按规则执行状态筛选表格

    • **已成功**:规则完成了其定义的搜索。这并不一定意味着它生成了告警,只是意味着它在没有错误的情况下运行。
    • **失败**:规则遇到阻止其运行的错误。例如,一个相应的机器学习作业未运行的机器学习规则。
    • **警告**:没有任何东西阻止规则运行,但它可能返回了意外的结果。例如,一个自定义查询规则尝试搜索在 Elasticsearch 中找不到的索引模式。

  • 日期和时间选择器设置表格中包含的规则执行的时间范围。这与规则详细信息页面顶部的全局日期和时间选择器是分开的。

  • **源事件时间范围**按钮切换与手动运行的时间范围相关的数据的显示。

  • **显示指标列**切换包括表格中更多或更少的数据,这些数据与每次规则执行的计时相关。

  • **操作**列允许您显示从给定规则执行生成的告警。单击筛选器图标 (筛选器图标) 以基于规则执行的 ID 值创建全局搜索筛选器。这会替换任何先前应用的筛选器,将全局日期和时间范围更改为规则执行前后 24 小时,并显示确认通知。您可以通过单击通知中的**恢复以前的筛选器**来恢复此操作。

警告

此功能处于 Beta 阶段,可能会发生变化。设计和代码不如官方 GA 功能成熟,并且按原样提供,不提供任何保证。Beta 功能不受官方 GA 功能的支持 SLA 的约束。

规则执行中的间隙是规则未运行的时间段。它们可能是由各种中断引起的,包括系统更新、规则失败或简单地关闭规则。解决间隙对于保持一致的覆盖范围和避免错过告警至关重要。

提示

请参阅排查间隙部分,了解避免间隙的策略。

使用“间隙”表中的信息来评估规则执行间隙的范围和严重性。要控制表中显示的内容,您可以按间隙状态筛选表格,选择查看间隙数据的时间范围,并对多个列进行排序。

Gaps table on the rule execution results tab

“间隙”表具有以下列

  • **状态**:间隙的当前状态。它可以是已填充部分填充未填充

  • **检测到时间**:首次发现间隙的日期和时间。

  • **手动填充任务**:填充间隙的手动运行的状态。有关手动运行的更多详细信息,请参阅手动运行表中的条目。

  • **事件时间覆盖范围**:手动运行在填充间隙方面取得了多少进展。

    注意

    如果您停止尚未完成填充间隙的手动运行,则间隙的状态将设置为部分填充。要填充剩余的间隙,您可以选择**填充剩余间隙**操作或在间隙的时间范围内手动运行规则。

  • **范围**:间隙开始和结束的时间。

  • **总间隙持续时间**:间隙持续了多长时间。

  • **操作**:您可以对间隙执行的操作。它们可以是**填充间隙**(启动手动运行以填充间隙)或**填充剩余间隙**(启动手动运行以填充间隙的剩余部分)。

您可以手动运行已启用的规则,针对特定时间段进行测试,以提供额外的规则覆盖范围,或填补规则执行中的空白。每次手动运行可以产生多次规则执行,具体取决于运行的时间范围和规则的执行计划。

注意

手动运行以低优先级和有限的并发执行,这意味着它们可能需要更长的时间才能完成。对于需要多次执行的规则,这一点尤其明显。

“手动运行”表跟踪手动规则执行,并提供重要的详细信息,例如:

  • 手动运行将产生的规则执行总数,以及失败、待处理、运行中和已完成的数量。

  • 手动运行开始的时间及其将覆盖的时间范围。

    注意

    要停止活动运行,请转到表中相应的行,然后单击操作列中的停止运行。每次手动运行的已完成规则执行都会记录在“执行日志”表中。

  • 每次手动运行的状态:

    • 待处理:规则尚未运行。
    • 运行中:规则正在您指定的时间范围内执行。某些规则类型(例如,指示器匹配规则)可能需要更长的时间才能运行。
    • 错误:规则的配置阻止其正确运行。例如,无法验证规则的条件。
Manual rule runs table on the rule execution results tab
© . All rights reserved.