查询告警索引

Elastic Stack Serverless Security

本页面解释了如何查询告警索引，例如，在构建规则查询、自定义仪表板或可视化时。有关告警事件字段定义的更多信息，请查阅告警模式。

我们建议查询以下索引别名

我们建议查询 .alerts-security.alerts-<space-id> 索引别名。您不应在空间 ID 之后包含破折号或通配符。要查询所有空间，请使用以下语法：.alerts-security.alerts-*。

为了提供更多上下文，告警事件存储在隐藏的 Elasticsearch 索引中。我们不建议直接查询它们。这些索引及其别名的命名约定是 .internal.alerts-security.alerts-<space-id>-NNNNNN，其中 NNNNNN 是一个随着时间推移而增加的数字，从 000001 开始。