« 何时使用 Transform 大规模使用 Transform »
Elastic 文档 Elasticsearch 指南 [8.14] 汇总或转换数据 转换数据

为 Transform 生成警报

编辑

为 Transform 生成警报编辑

Kibana 警报功能包括对 Transform 健康规则的支持,这些规则使用特定条件检查连续 Transform 的健康状况。如果满足规则的条件,则会创建警报并运行关联的操作。例如,您可以创建一个规则来检查连续 Transform 是否已启动,如果未启动,则通过电子邮件通知您。要详细了解 Kibana 警报功能,请参阅 警报

创建规则编辑

您可以在 堆栈管理 > 规则 下创建 Transform 规则。

  1. 创建规则 窗口中,为规则命名并可选地提供标签。选择 Transform 健康规则类型

    Creating a transform health rule
  2. 选择要包含的一个或多个 Transform。您还可以使用特殊字符 (*) 将规则应用于所有 Transform。规则创建后创建的 Transform 将自动包含在内。

  3. 以下健康检查可用并默认启用

    Transform 未启动
    当 Transform 未启动或未索引任何数据时获取警报。通知消息会建议解决错误所需的操作。
    不健康的 Transform
    当 Transform 处于不健康状态时获取警报。通知消息包含状态详细信息和相关问题。
    Selecting health check
  4. 设置检查间隔,该间隔定义评估规则条件的频率。
  5. 在高级选项中,您可以更改在发出警报之前必须满足规则条件的连续运行次数。默认值为 1。

作为规则创建过程的最后一步,定义其操作。

定义操作编辑

您可以在规则中添加一个或多个操作,以便在其条件满足和不再满足时生成通知。特别是,此规则类型支持

  • 警报摘要
  • 检测到问题时运行的操作
  • 在规则条件不再满足时运行的恢复操作

对于每个操作,您必须选择一个连接器,该连接器提供 Kibana 服务或第三方集成的连接信息。有关所有受支持连接器的更多信息,请访问 连接器

选择连接器后,您必须设置操作频率。您可以选择在每个检查间隔或自定义间隔上创建警报摘要。例如,发送汇总新的、正在进行的和已恢复的警报的通知

Setting action frequency to summary of alerts

如果您选择自定义操作间隔,则它不能短于规则的检查间隔。

或者,您可以设置操作频率,以便为每个警报运行操作。选择操作运行的频率(在每个检查间隔、仅当警报状态更改时或在自定义操作间隔)。您还必须选择一个操作组,该组指示操作是在检测到问题时运行还是在其恢复时运行。

您可以通过指定操作仅在匹配 KQL 查询或在特定时间范围内发生警报时运行来进一步细化操作运行的条件。

您可以使用一组变量来自定义每个操作的通知消息。单击消息文本框上方的图标以获取变量列表,或参阅 操作变量

Selecting action variables

保存配置后,规则将显示在 规则 列表中,您可以在其中检查其状态并查看其配置信息的概述。

警报的名称始终与其触发的关联 Transform 的 Transform ID 相同。您可以在列出各个警报的规则页面上静音特定 Transform 的通知。您可以通过选择规则名称,通过 规则 打开它。

操作变量编辑

以下变量特定于 Transform 健康规则类型。您还可以指定 所有规则通用的变量

context.message
规则的预构建消息。例如:Transform test-1 未启动。
context.results

最新结果,您可以使用 Mustache 模板数组语法对其进行迭代。例如,电子邮件连接器操作中的消息可能包含

[{{rule.name}}] Transform health check result:
{{context.message}}
{{#context.results}}
  Transform ID: {{transform_id}}
  {{#description}}Transform description: {{description}}
  {{/description}}{{#transform_state}}Transform state: {{transform_state}}
  {{/transform_state}}{{#health_status}}Transform health status: {{health_status}}
  {{/health_status}}{{#issues}}Issue: {{issue}}
  Issue count: {{count}}
  {{#details}}Issue details: {{details}}
  {{/details}}{{#first_occurrence}}First occurrence: {{first_occurrence}}
  {{/first_occurrence}}
  {{/issues}}{{#failure_reason}}Failure reason: {{failure_reason}}
  {{/failure_reason}}{{#notification_message}}Notification message: {{notification_message}}
  {{/notification_message}}{{#node_name}}Node name: {{node_name}}
  {{/node_name}}{{#timestamp}}Timestamp: {{timestamp}}
  {{/timestamp}}
{{/context.results}}

有关更多示例,请参阅 规则操作变量

« 何时使用 Transform 大规模使用 Transform »