查看告警
编辑查看告警
编辑当规则的条件满足时,它会创建一个告警。如果规则有操作,它们会按照定义的频率运行。例如,规则可以按照自定义的时间间隔为每个告警发送电子邮件通知。有关规则、告警和操作的概念介绍,请参阅告警。
您可以在 Stack Management > 规则 中管理每个规则的告警。或者,在 Stack Management > 告警 中管理所有告警。 [预览] 此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。
您必须具有相应的 Kibana 告警功能和索引权限才能查看告警。请参阅 告警安全要求。
筛选告警
编辑此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。
在 Stack Management > 告警 中,您可以筛选列表(例如,按告警状态或规则类型)并自定义筛选器控件。要搜索特定的告警,请使用 KQL 栏,使用 Kibana 查询语言创建结构化查询。
默认情况下,列表包含您有权在选定时间段内查看的所有告警,但与安全规则相关的告警除外。要查看安全规则的告警,请单击查询菜单并选择 安全规则类型
或者,在 Elastic Security 应用中查看这些告警。
查看告警详情
编辑要获取有关特定告警的更多信息,请打开其操作菜单 (...),然后在 Stack Management > 告警 或 规则 中选择 查看告警详情。您将看到告警的当前状态、持续时间和上次更新时间。为了帮助您确定导致告警的原因,其中包含诸如预期和实际阈值以及告警原因摘要等信息。
如果告警受到维护窗口的影响,告警详情会包含其标识符。有关维护窗口对告警通知的影响的更多信息,请参阅 维护窗口。
告警状态
编辑有三种常见的告警状态
-
活动
- 满足规则的条件,并且应根据通知设置生成操作。
-
已恢复
- 不再满足规则的条件,并且应生成恢复操作。
-
未跟踪
- 不再生成操作。例如,您可以选择在禁用或删除规则时将活动告警移动到此状态。
当告警在活动和已恢复状态之间反复切换时,告警也可能处于“抖动”状态。仅当您在 Stack Management > 规则 > 设置 中启用了告警抖动检测时,才可能出现此状态。对于每个空间,您可以选择一个回溯窗口和阈值,用于确定告警是否正在抖动。例如,您可以指定告警必须在最近 10 次运行中至少更改 6 次状态。如果规则具有在告警状态更改时运行的操作,则在告警抖动时会禁止这些操作。
静音告警
编辑如果告警处于活动状态或抖动状态,您可以将其静音以暂时抑制将来的操作。在 Stack Management > 告警 和 规则 中,您可以打开相应告警的操作菜单 (...) 并选择 静音。要永久抑制告警的操作,请打开操作菜单并选择 标记为未跟踪。
要影响规则的行为而不是单个告警,请查看 暂停和禁用规则。