规则类型
编辑规则类型
编辑规则是一组条件、计划和操作,用于启用通知。Kibana 提供了内置于 Elastic Stack 的规则以及由 Kibana 应用程序之一注册的规则。您可以在堆栈管理 > 规则中创建大多数规则类型。安全规则必须在安全应用程序中定义。有关更多信息,请参阅有关创建检测规则的文档。
某些规则类型是订阅功能,而其他规则类型是免费功能。有关 Elastic 订阅级别的比较,请参阅订阅页面。
堆栈规则
编辑堆栈规则内置于 Kibana 中。要访问堆栈规则功能并创建和编辑规则,用户需要 all 权限。有关更多信息,请参阅功能权限。
运行用户配置的 Elasticsearch 查询,将匹配数与配置的阈值进行比较,并在满足阈值条件时计划运行操作。 |
|
使用 Elasticsearch 查询聚合文档中的字段值,将其与阈值进行比较,并在满足阈值时计划运行操作。 |
|
[beta] 此功能处于 beta 测试阶段,可能会发生更改。设计和代码不如正式 GA 功能成熟,并按原样提供,不提供任何保证。Beta 功能不受官方 GA 功能的支持 SLA 的约束。 对连续转换运行计划检查以检查其运行状况。如果连续转换满足条件,则会创建警报并触发关联的操作。 |
|
运行 Elasticsearch 查询以确定是否有任何文档当前包含在指定边界索引的任何边界中,并在满足规则条件时生成警报。 |
可观测性规则
编辑可观测性规则检测可观测性数据中的复杂条件,并在满足规则条件时创建警报。例如,您可以创建一条规则,以检测指标值何时超过指定阈值,或者当您正在监视的系统或服务上发生异常时。有关更多信息,请参阅告警。
如果您在可观测性应用程序中创建规则,则其警报在堆栈管理 > 规则中不可见。它们仅在可观测性应用程序中可见。
机器学习规则
编辑[beta] 此功能处于 beta 测试阶段,可能会发生更改。设计和代码不如正式 GA 功能成熟,并按原样提供,不提供任何保证。Beta 功能不受官方 GA 功能的支持 SLA 的约束。 机器学习规则对异常检测作业运行计划检查,以检测具有某些条件的异常。如果异常满足条件,则会创建警报并触发关联的操作。
安全规则
编辑安全规则使用预构建或自定义规则检测可疑的源事件,并在满足规则条件时创建警报。有关更多信息,请参阅安全规则。
与安全规则关联的警报仅在 Elastic Security 应用程序中可见;它们在堆栈管理 > 规则中不可见。