创建跟踪包含规则
编辑创建跟踪包含规则
编辑当实体被包含在边界内或不再被包含在边界内时,跟踪包含规则会发出警报。
在 Stack Management(堆栈管理) > Rules(规则) 中,单击 Create rule(创建规则)。选择 Tracking containment(跟踪包含) 规则类型,然后填写名称和可选标签。
定义条件
编辑创建跟踪包含规则时,必须定义它检测的条件。例如
- 定义实体索引,该索引必须包含
geo_point或geo_shape字段、date字段和实体标识符。实体标识符是keyword、number或ip字段,用于标识实体。预计实体数据会更新,以便发生实体移动时触发警报。 - 定义边界索引,该索引包含
geo_shape数据。预计边界数据是静态的(不更新)。边界在规则创建时收集一次,并在之后边界配置修改时收集。 - 设置检查间隔,该间隔定义评估规则条件的频率。
- 在高级选项中,您可以更改在发生警报之前必须满足规则条件的连续运行次数。默认值为
1。
查询实体位置以确定它们是否包含在任何受监控的边界内。实体数据应具有一定的“实时性”,这意味着新文档的日期不应早于当前时间减去间隔量。如果摄入的数据早于 now - <check interval>,则不会触发规则。
添加操作
编辑当满足规则条件时,您可以选择发送通知。特别是,此规则类型支持
- 警报摘要
- 当满足包含条件时运行的操作
- 当实体不再被包含时运行的操作
对于每个操作,您必须选择一个连接器,该连接器为 Kibana 服务或第三方集成提供连接信息。有关所有受支持的连接器的更多信息,请转到 连接器。
选择连接器后,必须设置操作频率。您可以选择在每个检查间隔或自定义间隔创建警报摘要。或者,您可以设置操作频率,以便为每个警报运行操作。选择操作运行的频率(在每个检查间隔、仅当警报状态更改时或在自定义操作间隔)。您还必须选择一个操作组,该操作组指示操作是在满足包含条件时运行还是在实体不再被包含时运行。每个连接器都支持每个操作组的一组特定操作。例如
您可以进一步细化运行操作的条件,方法是指定操作仅在它们与 KQL 查询匹配或在特定时间范围内发生警报时才运行。
添加操作变量
编辑您可以将规则值传递给操作以提供上下文详细信息。要查看每个操作可用的变量列表,请单击“添加规则变量”按钮。例如
以下操作变量特定于跟踪包含规则。您还可以指定 所有规则通用的变量。
-
context.containingBoundaryId - 包含实体的边界的标识符。此值未为已恢复的警报设置。
-
context.containingBoundaryName - 包含实体的边界的名称。此值未为已恢复的警报设置。
-
context.detectionDateTime - 发生警报时检查间隔的结束时间。
-
context.entityDateTime - 在边界中记录实体的日期。
-
context.entityDocumentId - 包含的实体文档的标识符。
-
context.entityId - 生成警报的文档的实体标识符。
-
context.entityLocation - 实体的位置。