Kibana 中的告警和操作设置

一个 32 个或更多字符的字符串，用于在告警规则和操作的敏感属性存储到 Elasticsearch 之前对其进行加密。第三方凭证（例如用于连接到 SMTP 服务的用户名和密码）是加密属性的示例。

Kibana 提供了一个 CLI 工具来帮助生成此加密密钥。

如果未设置，Kibana 将在启动时生成一个随机密钥，但所有告警和操作功能都将被阻止。不允许为告警和操作使用生成的密钥，因为当重新启动时生成新密钥时，现有的加密数据将无法访问。出于同样的原因，如果密钥在 Kibana 的所有实例上不相同，则 Kibana 的高可用性部署中的告警和操作行为将异常。

尽管可以在 kibana.yml 中以明文形式指定密钥，但建议将此密钥安全地存储在 Kibana 密钥库中。请务必将加密密钥值备份到安全的地方，因为如果丢失它，您的告警规则和操作将因解密失败而停止工作。如果要轮换加密密钥，请务必按照加密密钥轮换上的说明进行操作。

Kibana 在触发内置操作时允许连接的主机名列表。它默认为 ["*"]，允许任何主机，但请记住，当主机未显式添加到允许的主机时，存在 SSRF 攻击的潜在风险。空列表 [] 可用于阻止内置操作建立任何外部连接。

请注意，与内置操作（例如 Slack 和 PagerDuty）关联的主机不会自动添加到允许的主机。如果您不使用默认的 ["*"] 设置，则必须确保将相应的端点也添加到允许的主机。

用于覆盖现有全局设置的自定义主机设置列表。默认值：空列表。

列表中的每个条目都必须具有 url 属性，以将连接类型（邮件或 https）、主机名和端口与条目中的其余选项关联。

在以下示例中，定义了两个自定义主机设置。第一个为使用端口 465 的邮件服务器 mail.example.com 提供自定义主机设置，该设置从文件和内联提供服务器证书身份验证数据，并且需要 TLS 进行连接。第二个为 https 服务器 webhook.example.com 提供自定义主机设置，该设置关闭了服务器证书身份验证，这将允许 Kibana 连接到使用自签名证书的服务器。可以在设置中使用的各个属性记录在下面。

xpack.actions.customHostSettings:
  - url: smtp://mail.example.com:465
    ssl:
      verificationMode: 'full'
      certificateAuthoritiesFiles: [ 'one.crt' ]
      certificateAuthoritiesData: |
          -----BEGIN CERTIFICATE-----
          MIIDTD...
          CwUAMD...
          ... multiple lines of certificate data ...
          -----END CERTIFICATE-----
    smtp:
      requireTLS: true
  - url: https://webhook.example.com
    ssl:
      verificationMode: 'none'

xpack.actions.customHostSettings 中的设置可用于覆盖全局选项 xpack.actions.ssl.verificationMode，并为每个服务器提供自定义的 TLS 设置。将 xpack.actions.ssl.verificationMode 设置为所有服务器默认使用的值，然后在 xpack.actions.customHostSettings 中为每个需要自定义设置的服务器添加一个条目。

与此自定义主机设置关联的 URL。应采用 protocol://hostname:port 的形式，其中 protocol 为 https 或 smtp。如果未提供端口，则 https 使用 443，smtp 使用 25。smtp URL 用于使用此服务器的电子邮件操作，https URL 用于使用 https 连接到服务的操作。

具有 https URL 的条目可以使用 ssl 选项，具有 smtp URL 的条目可以使用 ssl 和 smtp 选项。

此 URL 中不应包含任何其他 URL 值，包括路径、查询字符串和身份验证信息。当作为运行操作的一部分发出 http 或 smtp 请求时，仅使用该请求的 URL 的协议、主机名和端口来查找这些配置值。

允许用于电子邮件连接器的允许电子邮件域列表。当未使用此设置时，允许所有电子邮件域。当使用此设置时，如果尝试发送的任何电子邮件 (a) 包含一个收件人的电子邮件域不在允许列表中，或 (b) 包含一个发件人地址域不在允许列表中，它将失败，并显示一条消息，指示不允许该电子邮件。

一个已启用的操作类型列表。它默认为 ["*"]，启用所有类型。内置 Kibana 操作类型的名称以 . 为前缀，包括：.email、.index、.jira、.opsgenie、.pagerduty、.resilient、.server-log、.servicenow、.servicenow-itom、.servicenow-sir、.slack、.swimlane、.teams、.thehive、.tines、.torq、.xmatters、.gen-ai、.bedrock、.gemini、.d3security 和 .webhook。空列表 [] 将禁用所有操作类型。

禁用操作类型在创建新连接器时不会显示为选项，但该类型的现有连接器和操作将保留在 Kibana 中，且无法正常工作。

指定要使用的代理 URL（如果操作使用代理）。默认情况下，不使用代理。

代理可用于通过 http 或 https 协议代理 http 或 https 请求。Kibana 仅在“CONNECT”模式（有时称为“隧道”TCP 模式，与 HTTP 模式相比）中使用代理。也就是说，Kibana 始终使用 HTTP CONNECT 方法通过代理发出请求。

如果您的代理使用 https 协议（而不是 http 协议），则可能需要设置 xpack.actions.ssl.proxyVerificationMode: none，除非您的代理证书是使用公开可用的证书颁发机构签名的。

目前不支持使用带有代理的基本身份验证（针对代理本身的身份验证，而不是通过代理请求的 URL）。

为了帮助诊断使用代理时出现的问题，可以使用带有选项的 curl 命令来使用您的代理，并使用以下命令记录调试信息，并根据需要替换代理和目标 URL。这将强制请求以隧道模式发送到代理，并显示客户端和代理之间的一些交互。

curl --verbose --proxytunnel --proxy https://127.0.0.1:8080 http://example.com

指定不应使用代理的主机名（如果操作使用代理）。该值是主机名字符串的数组。示例

# If applicable, include the subdomain in the hostname
xpack.actions.proxyBypassHosts: [ "events.pagerduty.com" ]

默认情况下，所有主机都将使用代理，但如果操作的主机名在此列表中，则不会使用代理。设置 xpack.actions.proxyBypassHosts 和 xpack.actions.proxyOnlyHosts 不能同时使用。

指定仅应使用代理的主机名（如果操作使用代理）。该值是主机名字符串的数组。示例

# If applicable, include the subdomain in the hostname
xpack.actions.proxyOnlyHosts: [ "events.pagerduty.com" ]

默认情况下，没有主机将使用代理，但如果操作的主机名在此列表中，则将使用代理。设置 xpack.actions.proxyBypassHosts 和 xpack.actions.proxyOnlyHosts 不能同时使用。

[8.0.0] 在 8.0.0 中已弃用。 改用 xpack.actions.ssl.verificationMode。设置为 false 以绕过操作的证书验证。默认值：true。

作为设置 xpack.actions.rejectUnauthorized 的替代方法，您可以使用设置 xpack.actions.customHostSettings 为特定服务器设置 SSL 选项。

控制 Elastic Maps Server 在为操作建立出站 SSL/TLS 连接时接收的服务器证书的验证。有效值为 full、certificate 和 none。使用 full 执行主机名验证，使用 certificate 跳过主机名验证，使用 none 跳过验证。默认值：full。等效的 Kibana 设置。

可以通过使用设置 xpack.actions.customHostSettings[n].ssl.verificationMode（如上所述）将其设置为不同的值来覆盖特定 URL 的此设置。

覆盖给定 ID 的连接器类型的 xpack.actions.run 下的配置。在对象数组中列出连接器类型标识符及其设置。例如

xpack.actions.run:
    maxAttempts: 1
    connectorTypeOverrides:
        - id: '.server-log'
          maxAttempts: 5

一个配置 URL，根据连接器而异

一个应用程序 ID，根据连接器而异

一个客户端标识符，根据连接器而异

对于 Webhook - 案例管理连接器，指定一个带有 Mustache 变量的字符串化 JSON 有效负载，该有效负载发送到创建评论 URL 以创建案例评论。必需的变量是 case.description。

对于 Webhook - 案例管理连接器，指定一个 REST API URL 字符串，以通过 ID 在第三方系统中创建案例评论。

对于 Webhook - 案例管理连接器，指定一个带有 Mustache 变量的字符串化 JSON 有效负载，该有效负载发送到创建案例 URL 以创建案例。必需的变量是 case.title 和 case.description。

对于 Webhook - 案例管理连接器，指定一个 REST API URL 字符串，以在第三方系统中创建案例。

用于请求的默认模型，根据连接器而异

对于 Webhook - 案例管理连接器，指定一个带有外部服务 ID Mustache 变量的 REST API URL 字符串，以从第三方系统中获取案例。

对于 Webhook - 案例管理连接器，指定一个带有 Mustache 变量的字符串化 JSON 有效负载，该负载将发送到更新案例 URL 以更新案例。所需的变量为 case.title 和 case.description。

对于 Webhook - 案例管理连接器，指定用于在第三方系统中通过 ID 更新案例的 REST API URL。

一个配置 URL，根据连接器而异

敏感的配置详细信息，例如用户名、密码和密钥，这些详细信息特定于连接器类型。

对于 Google Gemini 连接器，指定用于身份验证的 GCP 服务帐户凭据 JSON 文件。

一个客户端密钥，它因连接器而异

一个电子邮件地址，它因连接器而异

一个密码，它因连接器而异

对于使用 URL 身份验证的 xMatters 连接器，指定 xMatters 中 Elastic Alerts 触发器的请求 URL，其中 API 密钥包含在 URL 中。仅当 xpack.actions.preconfigured.<connector-id>.config.usesBasic 为 false 时才使用。

一个令牌，它因连接器而异

一个用户名字段，它因连接器而异。

一个 URL，它因连接器而异。

指定每次检测检查运行时规则可以生成的最大告警数。默认值：1000。

使用给定的 ID 覆盖 xpack.alerting.rules.run 下的规则类型配置。在对象数组中列出规则标识符及其设置。例如

xpack.alerting.rules.run:
    timeout: '5m'
    ruleTypeOverrides:
        - id: '.index-threshold'
          timeout: '15m'

使用给定的 ID 覆盖 xpack.alerting.rules.run.actions 下的连接器类型配置。在对象数组中列出连接器类型标识符及其设置。例如

xpack.alerting.rules.run:
    actions:
        max: 10
        connectorTypeOverrides:
            - id: '.server-log'
              max: 5