打开和管理案例
编辑打开和管理案例
编辑要执行这些任务,您必须在 Kibana 中拥有对相应案例功能的完全访问权限。
打开新案例
编辑打开新案例以跟踪问题并与同事分享其详细信息。
-
转到 管理 > 堆栈管理 > 案例,然后单击 创建案例。
- 如果您定义了模板,您可以选择使用其中一个模板的默认字段值。 [预览] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版的功能不受官方 GA 功能的支持 SLA 约束。
-
为案例命名,设置严重性和描述。
在
描述区域,您可以使用 Markdown 语法来创建格式化的文本。 - 您可以选择添加类别、受让人和标签。只有满足必要的先决条件的用户才可以添加。
- 如果您定义了任何自定义字段,它们会出现在 其他字段 部分。 [8.15.0] 在 8.15.0 中添加。
- 对于 外部事件管理系统,选择一个连接器。有关详细信息,请参阅 外部事件管理系统。
- 完成所有必填字段后,单击 创建案例。
[预览] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版的功能不受官方 GA 功能的支持 SLA 约束。 或者,您可以使用案例操作配置规则以自动创建案例。默认情况下,规则将指定时间窗口内的所有警报添加到单个案例中。您可以选择一个字段来对警报进行分组,并为每个组创建单独的案例。您还可以选择当时间窗口经过时,规则是否要重新打开案例或打开新案例。
添加电子邮件通知
编辑您可以配置在用户被分配到案例时发生的电子邮件通知。
对于 Elasticsearch Service 上托管的 Kibana
-
将电子邮件域名添加到通知域允许列表。
您无需执行其他步骤来配置电子邮件连接器或更新 Kibana 用户设置,因为默认情况下使用预配置的 Elastic-Cloud-SMTP 连接器。
对于自管理的 Kibana
-
创建一个预配置的电子邮件连接器。
目前,电子邮件通知仅支持预配置的连接器,这些连接器在
kibana.yml文件中定义。有关示例,请参阅电子邮件连接器和为常用服务配置电子邮件帐户。 - 将
notifications.connectors.default.emailKibana 设置设置为您的电子邮件连接器的名称。 - 如果您希望电子邮件通知包含返回案例的链接,则必须配置 server.publicBaseUrl 设置。
当您随后向案例添加受让人时,他们会收到一封电子邮件。
添加文件
编辑创建案例后,您可以在 文件 选项卡上上传和管理文件
可接受的文件类型和大小受您的 案例设置的影响。
要下载或删除文件或将文件哈希复制到剪贴板,请打开操作菜单 (…)。可用的哈希函数是 MD5、SHA-1 和 SHA-256。
当您上传文件时,会向案例活动日志添加一条评论。要查看图像,请单击活动或文件列表中的名称。
上传的文件也可在 堆栈管理 > 文件 中访问。当您将案例导出为已保存对象时,案例文件不会被导出。
添加可视化
编辑您还可以选择添加可视化。例如,您可以通过图表和图形来描述事件和警报数据。
要将可视化添加到案例中的评论中
- 单击 可视化 按钮。将出现 添加可视化 对话框。
-
从可视化库中选择现有可视化或创建新的可视化。
为可视化设置绝对时间范围。这可确保您的可视化在保存到案例后不会随着时间而改变,并为查看者提供重要的上下文。
- 完成可视化创建后,单击 保存并返回 以返回到您的案例。
- 单击 预览 以查看可视化在案例评论中的显示方式。
- 单击 添加评论 以将可视化添加到您的案例。
或者,在查看仪表板时,您可以打开面板的菜单,然后单击 更多 > 添加到现有案例 或 更多 > 添加到新案例。
将可视化添加到案例后,您可以通过单击案例评论菜单中的 打开可视化 选项来修改或与其交互。
管理案例
编辑在 管理 > 堆栈管理 > 案例 中,您可以搜索案例,并按受让人、类别、严重性、状态和标签等属性对其进行筛选。您还可以选择多个案例并使用批量操作来删除案例或更改其属性。
要查看案例,请单击其名称。然后您可以
- 添加新的评论。
- 编辑现有评论和描述。
- 添加或删除受让人。
- 添加连接器。
- 将更新发送到外部系统(如果配置了外部连接)。
- 编辑类别和标签。
- 刷新案例以检索最新更新。
- 更改状态。
- 更改严重性。
- 关闭或删除案例。
- 重新打开已关闭的案例。