« 何时使用转换 大规模使用转换 »
Elastic 文档 Elasticsearch 指南 [8.17] 汇总或转换您的数据 转换数据

为转换生成警报

编辑

为转换生成警报

编辑

Kibana 警报功能包括对转换运行状况规则的支持,该规则会检查具有特定条件的连续转换的运行状况。如果满足规则的条件,则会创建警报并运行关联的操作。例如,您可以创建一个规则来检查连续转换是否已启动,并在未启动时通过电子邮件通知您。要了解有关 Kibana 警报功能的更多信息,请参阅警报

创建规则

编辑

您可以在堆栈管理 > 规则下创建转换规则。

  1. 单击创建规则,然后选择转换运行状况规则类型。
  2. 为规则指定名称,并可选择提供标签。

  3. 选择要包括的一个或多个转换。您还可以使用特殊字符(*)将规则应用于所有转换。在该规则之后创建的转换会自动包含在内。

    Selecting health check

  4. 以下运行状况检查可用,并且默认启用

    转换未启动
    当转换未启动或未索引任何数据时获取警报。通知消息会建议解决错误所需的必要操作。
    运行状况不佳的转换
    当转换处于运行状况不佳状态时获取警报。通知消息包含状态详细信息和相关问题。
  5. 设置检查间隔,该间隔定义评估规则条件的频率。
  6. 在高级选项中,您可以更改在发生警报之前必须满足规则条件的连续运行次数。默认值为 1。

作为规则创建过程的最后一步,定义其操作。

定义操作

编辑

您可以向规则添加一个或多个操作,以便在其条件得到满足以及不再满足时生成通知。特别是,此规则类型支持

  • 警报摘要
  • 在检测到问题时运行的操作
  • 在不再满足规则条件时运行的恢复操作

对于每个操作,您必须选择一个连接器,该连接器提供 Kibana 服务或第三方集成的连接信息。有关所有受支持连接器的更多信息,请访问连接器

选择连接器后,必须设置操作频率。您可以选择在每个检查间隔或自定义间隔上创建警报摘要。例如,发送通知,汇总新的、正在进行的和已恢复的警报

Setting action frequency to summary of alerts

如果您选择自定义操作间隔,则该间隔不能短于规则的检查间隔。

或者,您可以设置操作频率,以便为每个警报运行操作。选择操作运行的频率(在每个检查间隔、仅当警报状态更改时或在自定义操作间隔)。您还必须选择一个操作组,该组指示操作是在检测到问题时还是在问题恢复时运行。

您可以通过指定操作仅在它们匹配 KQL 查询时或当警报在特定时间范围内发生时运行来进一步细化操作运行的条件。

有一组变量可用于自定义每个操作的通知消息。单击消息文本框上方的图标以获取变量列表,或参阅操作变量

Selecting action variables

保存配置后,该规则将出现在规则列表中,您可以在其中查看其状态并查看其配置信息的概述。

警报的名称始终与触发它的关联转换的转换 ID 相同。您可以在列出各个警报的规则页面上禁用特定转换的通知。您可以通过选择规则名称,通过规则打开它。

操作变量

编辑

以下变量特定于转换运行状况规则类型。您还可以指定所有规则通用的变量

context.message
规则的预构造消息。例如:转换 test-1 未启动。
context.results

最新结果,您可以使用Mustache模板数组语法对其进行迭代。例如,电子邮件连接器操作中的消息可能包含

[{{rule.name}}] Transform health check result:
{{context.message}}
{{#context.results}}
  Transform ID: {{transform_id}}
  {{#description}}Transform description: {{description}}
  {{/description}}{{#transform_state}}Transform state: {{transform_state}}
  {{/transform_state}}{{#health_status}}Transform health status: {{health_status}}
  {{/health_status}}{{#issues}}Issue: {{issue}}
  Issue count: {{count}}
  {{#details}}Issue details: {{details}}
  {{/details}}{{#first_occurrence}}First occurrence: {{first_occurrence}}
  {{/first_occurrence}}
  {{/issues}}{{#failure_reason}}Failure reason: {{failure_reason}}
  {{/failure_reason}}{{#notification_message}}Notification message: {{notification_message}}
  {{/notification_message}}{{#node_name}}Node name: {{node_name}}
  {{/node_name}}{{#timestamp}}Timestamp: {{timestamp}}
  {{/timestamp}}
{{/context.results}}

有关更多示例,请参阅规则操作变量

« 何时使用转换 大规模使用转换 »