- Kibana 指南其他版本
- 什么是 Kibana?
- 8.17 版本的新增功能
- Kibana 概念
- 快速入门
- 设置
- 生产注意事项
- Discover
- 仪表板
- Canvas
- 地图
- 报告和共享
- 机器学习
- Graph
- 告警
- 可观测性
- 搜索
- 安全性
- 开发工具
- Fleet
- Osquery
- 堆栈监控
- 堆栈管理
- REST API
- Kibana 插件
- 问题排查
- 辅助功能
- 发行说明
- 升级说明
- Kibana 8.17.0
- Kibana 8.16.1
- Kibana 8.16.0
- Kibana 8.15.5
- Kibana 8.15.4
- Kibana 8.15.3
- Kibana 8.15.2
- Kibana 8.15.1
- Kibana 8.15.0
- Kibana 8.14.3
- Kibana 8.14.2
- Kibana 8.14.1
- Kibana 8.14.0
- Kibana 8.13.4
- Kibana 8.13.3
- Kibana 8.13.2
- Kibana 8.13.1
- Kibana 8.13.0
- Kibana 8.12.2
- Kibana 8.12.1
- Kibana 8.12.0
- Kibana 8.11.4
- Kibana 8.11.3
- Kibana 8.11.2
- Kibana 8.11.1
- Kibana 8.11.0
- Kibana 8.10.4
- Kibana 8.10.3
- Kibana 8.10.2
- Kibana 8.10.1
- Kibana 8.10.0
- Kibana 8.9.2
- Kibana 8.9.1
- Kibana 8.9.0
- Kibana 8.8.2
- Kibana 8.8.1
- Kibana 8.8.0
- Kibana 8.7.1
- Kibana 8.7.0
- Kibana 8.6.1
- Kibana 8.6.0
- Kibana 8.5.2
- Kibana 8.5.1
- Kibana 8.5.0
- Kibana 8.4.3
- Kibana 8.4.2
- Kibana 8.4.1
- Kibana 8.4.0
- Kibana 8.3.3
- Kibana 8.3.2
- Kibana 8.3.1
- Kibana 8.3.0
- Kibana 8.2.3
- Kibana 8.2.2
- Kibana 8.2.1
- Kibana 8.2.0
- Kibana 8.1.3
- Kibana 8.1.2
- Kibana 8.1.1
- Kibana 8.1.0
- Kibana 8.0.0
- Kibana 8.0.0-rc2
- Kibana 8.0.0-rc1
- Kibana 8.0.0-beta1
- Kibana 8.0.0-alpha2
- Kibana 8.0.0-alpha1
- 开发人员指南
Kibana 中的告警和操作设置
编辑Kibana 中的告警和操作设置
编辑告警和操作在 Kibana 中默认启用,但需要您配置以下内容
- 设置 Kibana 以使用 Elastic Stack 安全功能.
- 设置 Kibana 和 Elasticsearch 之间的 TLS 加密.
- 如果您使用的是本地部署的 Elastic Stack,请为
xpack.encryptedSavedObjects.encryptionKey指定一个值。
您可以在 kibana.yml 文件中配置以下设置。
常规设置
编辑-
xpack.encryptedSavedObjects.encryptionKey -
一个 32 个或更多字符的字符串,用于在告警规则和操作的敏感属性存储到 Elasticsearch 之前对其进行加密。第三方凭证(例如用于连接到 SMTP 服务的用户名和密码)是加密属性的示例。
Kibana 提供了一个 CLI 工具来帮助生成此加密密钥。
如果未设置,Kibana 将在启动时生成一个随机密钥,但所有告警和操作功能都将被阻止。不允许为告警和操作使用生成的密钥,因为当重新启动时生成新密钥时,现有的加密数据将无法访问。出于同样的原因,如果密钥在 Kibana 的所有实例上不相同,则 Kibana 的高可用性部署中的告警和操作行为将异常。
尽管可以在
kibana.yml中以明文形式指定密钥,但建议将此密钥安全地存储在 Kibana 密钥库中。请务必将加密密钥值备份到安全的地方,因为如果丢失它,您的告警规则和操作将因解密失败而停止工作。如果要轮换加密密钥,请务必按照加密密钥轮换上的说明进行操作。
操作设置
编辑-
xpack.actions.allowedHosts
-
Kibana 在触发内置操作时允许连接的主机名列表。它默认为
["*"],允许任何主机,但请记住,当主机未显式添加到允许的主机时,存在 SSRF 攻击的潜在风险。空列表[]可用于阻止内置操作建立任何外部连接。请注意,与内置操作(例如 Slack 和 PagerDuty)关联的主机不会自动添加到允许的主机。如果您不使用默认的
["*"]设置,则必须确保将相应的端点也添加到允许的主机。 -
xpack.actions.customHostSettings
-
用于覆盖现有全局设置的自定义主机设置列表。默认值:空列表。
列表中的每个条目都必须具有
url属性,以将连接类型(邮件或 https)、主机名和端口与条目中的其余选项关联。在以下示例中,定义了两个自定义主机设置。第一个为使用端口 465 的邮件服务器
mail.example.com提供自定义主机设置,该设置从文件和内联提供服务器证书身份验证数据,并且需要 TLS 进行连接。第二个为 https 服务器webhook.example.com提供自定义主机设置,该设置关闭了服务器证书身份验证,这将允许 Kibana 连接到使用自签名证书的服务器。可以在设置中使用的各个属性记录在下面。xpack.actions.customHostSettings: - url: smtp://mail.example.com:465 ssl: verificationMode: 'full' certificateAuthoritiesFiles: [ 'one.crt' ] certificateAuthoritiesData: | -----BEGIN CERTIFICATE----- MIIDTD... CwUAMD... ... multiple lines of certificate data ... -----END CERTIFICATE----- smtp: requireTLS: true - url: https://webhook.example.com ssl: verificationMode: 'none'
xpack.actions.customHostSettings中的设置可用于覆盖全局选项xpack.actions.ssl.verificationMode,并为每个服务器提供自定义的 TLS 设置。将xpack.actions.ssl.verificationMode设置为所有服务器默认使用的值,然后在xpack.actions.customHostSettings中为每个需要自定义设置的服务器添加一个条目。 -
xpack.actions.customHostSettings[n].url
-
与此自定义主机设置关联的 URL。应采用
protocol://hostname:port的形式,其中protocol为https或smtp。如果未提供端口,则https使用 443,smtp使用 25。smtpURL 用于使用此服务器的电子邮件操作,httpsURL 用于使用https连接到服务的操作。具有
httpsURL 的条目可以使用ssl选项,具有smtpURL 的条目可以使用ssl和smtp选项。此 URL 中不应包含任何其他 URL 值,包括路径、查询字符串和身份验证信息。当作为运行操作的一部分发出 http 或 smtp 请求时,仅使用该请求的 URL 的协议、主机名和端口来查找这些配置值。
-
xpack.actions.customHostSettings[n].smtp.ignoreTLS
- 一个布尔值,指示此连接不得使用 TLS。
smtp.ignoreTLS和smtp.requireTLS选项不能都设置为 true。默认值:false。 -
xpack.actions.customHostSettings[n].smtp.requireTLS
- 一个布尔值,指示此连接必须使用 TLS。
smtp.ignoreTLS和smtp.requireTLS选项不能都设置为 true。默认值:false。 -
xpack.actions.customHostSettings[n].ssl.rejectUnauthorized -
[8.0.0] 在 8.0.0 中已弃用。 请改用
xpack.actions.customHostSettings.ssl.verificationMode。一个布尔值,指示是否绕过服务器证书验证。覆盖为此主机名/端口发出的请求的常规xpack.actions.rejectUnauthorized配置。 -
xpack.actions.customHostSettings[n].ssl.verificationMode
- 控制 Kibana 在对主机服务器建立出站 SSL/TLS 连接时收到的服务器证书的验证。有效值为
full、certificate和none。使用full执行主机名验证,使用certificate跳过主机名验证,使用none跳过验证。默认值:full。等效的 Kibana 设置。覆盖为此主机名/端口发出的请求的常规xpack.actions.ssl.verificationMode配置。 -
xpack.actions.customHostSettings[n].ssl.certificateAuthoritiesFiles - 用于验证服务器的 PEM 编码证书文件的文件名或文件名列表。
-
xpack.actions.customHostSettings[n].ssl.certificateAuthoritiesData
- 一个或多个 PEM 编码证书文件的内容,采用多行格式。此配置可用于无法提供文件的环境。
-
xpack.actions.email.domain_allowlist
-
允许用于电子邮件连接器的允许电子邮件域列表。当未使用此设置时,允许所有电子邮件域。当使用此设置时,如果尝试发送的任何电子邮件 (a) 包含一个收件人的电子邮件域不在允许列表中,或 (b) 包含一个发件人地址域不在允许列表中,它将失败,并显示一条消息,指示不允许该电子邮件。
此功能在 Kibana 7.17.4 和 8.3.0 及更高版本中可用,但在 Kibana 8.0、8.1 或 8.2 中不受支持。因此,应在从 7.17 升级到 8.0、8.1 或 8.2 之前删除此设置。可以在 7.17.4 中配置设置,然后直接升级到 8.3.0。
-
xpack.actions.enableFooterInEmail
- 一个布尔值,指示应将带有相关链接的页脚添加到作为告警操作发送的电子邮件中。默认值:true。
-
xpack.actions.enabledActionTypes
-
一个已启用的操作类型列表。它默认为
["*"],启用所有类型。内置 Kibana 操作类型的名称以.为前缀,包括:.email、.index、.jira、.opsgenie、.pagerduty、.resilient、.server-log、.servicenow、.servicenow-itom、.servicenow-sir、.slack、.swimlane、.teams、.thehive、.tines、.torq、.xmatters、.gen-ai、.bedrock、.gemini、.d3security和.webhook。空列表[]将禁用所有操作类型。禁用操作类型在创建新连接器时不会显示为选项,但该类型的现有连接器和操作将保留在 Kibana 中,且无法正常工作。
预配置的连接器不受此设置的影响。
-
xpack.actions.microsoftExchangeUrl - 用于 MS Exchange 电子邮件身份验证的 Microsoft Azure Active Directory 端点的 URL。默认值:
https://login.microsoftonline.com。 -
xpack.actions.microsoftGraphApiUrl - 用于 MS Exchange 电子邮件身份验证的 Microsoft Graph API 端点的 URL。默认值:
https://graph.microsoft.com/v1.0。 -
xpack.actions.microsoftGraphApiScope - 用于 MS Exchange 电子邮件身份验证的 Microsoft Graph API 范围端点的 URL。默认值:
https://graph.microsoft.com/.default。 -
xpack.actions.proxyUrl
-
指定要使用的代理 URL(如果操作使用代理)。默认情况下,不使用代理。
代理可用于通过 http 或 https 协议代理 http 或 https 请求。Kibana 仅在“CONNECT”模式(有时称为“隧道”TCP 模式,与 HTTP 模式相比)中使用代理。也就是说,Kibana 始终使用 HTTP
CONNECT方法通过代理发出请求。如果您的代理使用 https 协议(而不是 http 协议),则可能需要设置
xpack.actions.ssl.proxyVerificationMode: none,除非您的代理证书是使用公开可用的证书颁发机构签名的。目前不支持使用带有代理的基本身份验证(针对代理本身的身份验证,而不是通过代理请求的 URL)。
为了帮助诊断使用代理时出现的问题,可以使用带有选项的
curl命令来使用您的代理,并使用以下命令记录调试信息,并根据需要替换代理和目标 URL。这将强制请求以隧道模式发送到代理,并显示客户端和代理之间的一些交互。curl --verbose --proxytunnel --proxy https://127.0.0.1:8080 http://example.com
-
xpack.actions.proxyBypassHosts
-
指定不应使用代理的主机名(如果操作使用代理)。该值是主机名字符串的数组。示例
# If applicable, include the subdomain in the hostname xpack.actions.proxyBypassHosts: [ "events.pagerduty.com" ]
默认情况下,所有主机都将使用代理,但如果操作的主机名在此列表中,则不会使用代理。设置
xpack.actions.proxyBypassHosts和xpack.actions.proxyOnlyHosts不能同时使用。 -
xpack.actions.proxyOnlyHosts
-
指定仅应使用代理的主机名(如果操作使用代理)。该值是主机名字符串的数组。示例
# If applicable, include the subdomain in the hostname xpack.actions.proxyOnlyHosts: [ "events.pagerduty.com" ]
默认情况下,没有主机将使用代理,但如果操作的主机名在此列表中,则将使用代理。设置
xpack.actions.proxyBypassHosts和xpack.actions.proxyOnlyHosts不能同时使用。 -
xpack.actions.proxyHeaders
- 指定代理的 HTTP 标头(如果操作使用代理)。默认值:{}。
-
xpack.actions.proxyRejectUnauthorizedCertificates
-
[8.0.0] 在 8.0.0 中已弃用。 改用
xpack.actions.ssl.proxyVerificationMode。如果操作使用代理,则设置为false以绕过代理的证书验证。默认值:true。 -
xpack.actions.ssl.proxyVerificationMode
- 控制 Kibana 在向代理服务器建立出站 SSL/TLS 连接时接收的代理服务器证书的验证。有效值为
full、certificate和none。使用full执行主机名验证,使用certificate跳过主机名验证,使用none跳过验证。默认值:full。等效的 Kibana 设置。 -
xpack.actions.rejectUnauthorized
-
[8.0.0] 在 8.0.0 中已弃用。 改用
xpack.actions.ssl.verificationMode。设置为false以绕过操作的证书验证。默认值:true。作为设置
xpack.actions.rejectUnauthorized的替代方法,您可以使用设置xpack.actions.customHostSettings为特定服务器设置 SSL 选项。 -
xpack.actions.ssl.verificationMode
-
控制 Elastic Maps Server 在为操作建立出站 SSL/TLS 连接时接收的服务器证书的验证。有效值为
full、certificate和none。使用full执行主机名验证,使用certificate跳过主机名验证,使用none跳过验证。默认值:full。等效的 Kibana 设置。可以通过使用设置
xpack.actions.customHostSettings[n].ssl.verificationMode(如上所述)将其设置为不同的值来覆盖特定 URL 的此设置。 -
xpack.actions.maxResponseContentLength
- 指定对外部资源的请求的 http 响应的最大字节数。默认值:1000000 (1MB)。
-
xpack.actions.responseTimeout
- 指定允许对外部资源发出请求的时间。超时的请求将被取消。时间格式为数字和时间单位(
ms、s、m、h、d、w、M或Y)。例如,20m、24h、7d、1w。默认值:60s。 -
xpack.actions.run.maxAttempts
- 指定操作可以尝试运行的最大次数。最小值为 1,最大值为 10。
-
xpack.actions.run.connectorTypeOverrides
-
覆盖给定 ID 的连接器类型的
xpack.actions.run下的配置。在对象数组中列出连接器类型标识符及其设置。例如xpack.actions.run: maxAttempts: 1 connectorTypeOverrides: - id: '.server-log' maxAttempts: 5
-
xpack.actions.queued.max
- 指定可以排队的最大操作数。默认值:1000000
预配置的连接器设置
编辑这些设置根据您添加的预配置连接器类型而异。例如
xpack.actions.preconfigured: my-server-log: name: preconfigured-server-log-connector-type actionTypeId: .server-log
有关更多示例,请转到预配置的连接器。
-
xpack.actions.preconfiguredAlertHistoryEsIndex
- 启用预配置的警报历史记录 Elasticsearch 索引连接器。默认值:
false。 -
xpack.actions.preconfigured - 指定特定于预配置连接器类型的配置详细信息。
-
xpack.actions.preconfigured.<connector-id>.actionTypeId - 预配置连接器的类型。例如:
.email、.index、.opsgenie、.server-log、.resilient、.slack和.webhook。 -
xpack.actions.preconfigured.<connector-id>.config - 配置详细信息,这些信息特定于预配置连接器的类型。
-
xpack.actions.preconfigured.<connector-id>.config.apiProvider - 对于OpenAI 连接器,指定 OpenAI API 提供商,可以是
OpenAI或Azure OpenAI。 -
xpack.actions.preconfigured.<connector-id>.config.apiUrl -
一个配置 URL,根据连接器而异
- 对于Amazon Bedrock 连接器,指定 Amazon Bedrock 请求 URL。
- 对于Google Gemini 连接器,指定 Google Gemini 请求 URL。
- 对于OpenAI 连接器,指定 OpenAI 请求 URL。
- 对于IBM Resilient 连接器,指定 IBM Resilient 实例 URL。
- 对于Jira 连接器,指定 Jira 实例 URL。
- 对于Opsgenie 连接器,指定 Opsgenie URL。例如,
https://api.opsgenie.com或https://api.eu.opsgenie.com。 - 对于PagerDuty 连接器,指定 PagerDuty 事件 URL。默认为
https://events.pagerduty.com/v2/enqueue。 - 对于ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定 ServiceNow 实例 URL。
- 对于Swimlane 连接器,指定 Swimlane 实例 URL。注意:如果您正在使用
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机中。
-
xpack.actions.preconfigured.<connector-id>.config.appId -
一个应用程序 ID,根据连接器而异
- 对于Swimlane 连接器,指定 Swimlane 应用程序标识符。
-
xpack.actions.preconfigured.<connector-id>.config.clientId -
一个客户端标识符,根据连接器而异
- 对于电子邮件连接器,指定与客户端 ID 对应的 GUID 格式的值,它是 OAuth 2.0 客户端凭据身份验证的一部分。
- 对于ServiceNow ITOM、ServiceNow ITSM 或 ServiceNow SecOps 连接器,指定分配给 OAuth 应用程序的客户端标识符。
-
xpack.actions.preconfigured.<connector-id>.config.configUrl - 对于具有基本身份验证的 xMatters 连接器,指定 xMatters 中 Elastic Alerts 触发器的请求 URL。
-
xpack.actions.preconfigured.<connector-id>.config.createCommentJson -
对于 Webhook - 案例管理连接器,指定一个带有 Mustache 变量的字符串化 JSON 有效负载,该有效负载发送到创建评论 URL 以创建案例评论。必需的变量是
case.description。当 REST 方法运行时,在放置 Mustache 变量后验证 JSON。您应手动确保 JSON 有效,忽略 Mustache 变量,以便稍后的验证通过。
-
xpack.actions.preconfigured.<connector-id>.config.createCommentMethod - 对于 Webhook - 案例管理连接器,指定 REST API HTTP 请求方法,以在第三方系统中创建案例评论。例如:
post、put(默认) 或patch。 -
xpack.actions.preconfigured.<connector-id>.config.createCommentUrl -
对于 Webhook - 案例管理连接器,指定一个 REST API URL 字符串,以通过 ID 在第三方系统中创建案例评论。
如果您正在使用
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机中。 -
xpack.actions.preconfigured.<connector-id>.config.createIncidentJson -
对于 Webhook - 案例管理连接器,指定一个带有 Mustache 变量的字符串化 JSON 有效负载,该有效负载发送到创建案例 URL 以创建案例。必需的变量是
case.title和case.description。当 REST 方法运行时,在放置 Mustache 变量后验证 JSON。您应手动确保 JSON 有效,忽略 Mustache 变量,以便稍后的验证通过。
-
xpack.actions.preconfigured.<connector-id>.config.createIncidentMethod - 对于 Webhook - 案例管理连接器,指定 REST API HTTP 请求方法,以在第三方系统中创建案例,可以是
post(默认)、put或patch。 -
xpack.actions.preconfigured.<connector-id>.config.createIncidentUrl -
对于 Webhook - 案例管理连接器,指定一个 REST API URL 字符串,以在第三方系统中创建案例。
如果您正在使用
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机中。 -
xpack.actions.preconfigured.<connector-id>.config.createIncidentResponseKey - 对于 Webhook - 案例管理连接器,指定来自创建案例方法的响应主体的字符串,该字符串与外部服务标识符对应。
-
xpack.actions.preconfigured.<connector-id>.config.defaultModel -
用于请求的默认模型,根据连接器而异
- 对于Amazon Bedrock 连接器,当前支持 Anthropic Claude 模型。默认为
anthropic.claude-3-5-sonnet-20240620-v1:0。 - 对于Google Gemini 连接器,当前支持 Gemini 模型。默认为
gemini-1.5-pro-002。 - 对于OpenAI 连接器,它是可选的,并且仅当
xpack.actions.preconfigured.<connector-id>.config.apiProvider为OpenAI时适用。
- 对于Amazon Bedrock 连接器,当前支持 Anthropic Claude 模型。默认为
-
xpack.actions.preconfigured.<connector-id>.config.executionTimeField - 对于索引连接器,表示文档何时被索引的字段。
-
xpack.actions.preconfigured.<connector-id>.config.from - 对于电子邮件连接器,指定连接器发送的所有电子邮件的发件人地址。它必须以
user@host-name格式指定。 -
xpack.actions.preconfigured.<connector-id>.config.getIncidentResponseExternalTitleKey - 对于 Webhook - 案例管理连接器,指定来自获取案例方法的响应主体的字符串,该字符串与外部服务标题对应。
-
xpack.actions.preconfigured.<connector-id>.config.getIncidentUrl -
对于 Webhook - 案例管理连接器,指定一个带有外部服务 ID Mustache 变量的 REST API URL 字符串,以从第三方系统中获取案例。
如果您正在使用
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机中。 -
xpack.actions.preconfigured.<connector-id>.config.hasAuth - 对于电子邮件、Webhook 或 Webhook - 案例管理连接器,指定在机密配置中是否需要用户和密码。默认为
true。 -
xpack.actions.preconfigured.<connector-id>.config.headers - 对于Webhook 或 Webhook - 案例管理连接器,指定一组键值对,这些键值对作为标头随请求发送。
-
xpack.actions.preconfigured.<connector-id>.config.host - 对于电子邮件连接器,指定服务提供商的主机名。
-
xpack.actions.preconfigured.<connector-id>.config.index - 对于索引连接器,指定 Elasticsearch 索引。
-
xpack.actions.preconfigured.<connector-id>.config.isOAuth - 对于ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定是否使用基本身份验证或 OAuth 身份验证。
-
xpack.actions.preconfigured.<connector-id>.config.jwtKeyId - 对于ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定分配给 OAuth 应用程序 JWT 验证器映射的密钥 ID。当
xpack.actions.preconfigured.<connector-id>.config.isOAuth为true时,它是必需的。 -
xpack.actions.preconfigured.<connector-id>.config.mappings - 对于Swimlane 连接器,指定字段映射。
-
xpack.actions.preconfigured.<connector-id>.config.mappings.alertIdConfig - 对于Swimlane 连接器,警报标识符的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.caseIdConfig - 对于Swimlane 连接器,案例标识符的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.caseNameConfig - 对于Swimlane 连接器,案例名称的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.commentsConfig - 对于Swimlane 连接器,案例评论的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.descriptionConfig - 对于Swimlane 连接器,案例描述的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.ruleNameConfig - 对于Swimlane 连接器,规则名称的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.severityConfig - 对于Swimlane 连接器,指定严重程度的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.method - 对于 Webhook 连接器,指定 HTTP 请求方法,可以是
post或put。默认为post。 -
xpack.actions.preconfigured.<connector-id>.config.orgId - 对于 IBM Resilient 连接器,指定 IBM Resilient 组织标识符。
-
xpack.actions.preconfigured.<connector-id>.config.port - 对于 Email 连接器,指定要连接到服务提供商的端口。
-
xpack.actions.preconfigured.<connector-id>.config.projectKey - 对于 Jira 连接器,指定 Jira 项目键。
-
xpack.actions.preconfigured.<connector-id>.config.secure - 对于 Email 连接器,指定连接到服务提供商时是否使用 TLS。如果不是 true,则连接将首先通过 TCP 连接,然后尝试通过 SMTP STARTTLS 命令切换到 TLS。
-
xpack.actions.preconfigured.<connector-id>.config.service - 对于 Email 连接器,指定电子邮件服务的名称。例如,
elastic_cloud、exchange_server、gmail、other、outlook365或ses。 -
xpack.actions.preconfigured.<connector-id>.config.tenantId - 对于 Email 连接器,指定与租户 ID 对应的 GUID 格式值,它是 OAuth 2.0 客户端凭据身份验证的一部分。
-
xpack.actions.preconfigured.<connector-id>.config.updateIncidentJson -
对于 Webhook - 案例管理连接器,指定一个带有 Mustache 变量的字符串化 JSON 有效负载,该负载将发送到更新案例 URL 以更新案例。所需的变量为
case.title和case.description。当 REST 方法运行时,在放置 Mustache 变量后验证 JSON。您应手动确保 JSON 有效,忽略 Mustache 变量,以便稍后的验证通过。
-
xpack.actions.preconfigured.<connector-id>.config.updateIncidentMethod - 对于 Webhook - 案例管理连接器,指定用于在第三方系统中更新案例的 REST API HTTP 请求方法。例如:
post、put(默认)或patch。 -
xpack.actions.preconfigured.<connector-id>.config.updateIncidentUrl -
对于 Webhook - 案例管理连接器,指定用于在第三方系统中通过 ID 更新案例的 REST API URL。
如果您正在使用
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机中。 -
xpack.actions.preconfigured.<connector-id>.config.url -
一个配置 URL,根据连接器而异
- 对于 D3 Security 连接器,指定 D3 Security API 请求 URL。
- 对于 Tines 连接器,指定 Tines 租户 URL。
- 对于 webhook 连接器,指定 Web 服务请求 URL。
如果您正在使用
xpack.actions.allowedHosts设置,请确保将此主机名添加到允许的主机中。 -
xpack.actions.preconfigured.<connector-id>.config.userIdentifierValue - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定用户标识符。当
xpack.actions.preconfigured.<connector-id>.config.isOAuth为true时,这是必需的。 -
xpack.actions.preconfigured.<connector-id>.config.usesBasic - 对于 xMatters 连接器,指定是否使用 HTTP 基本身份验证。默认为
true。 -
xpack.actions.preconfigured.<connector-id>.config.usesTableApi - 对于 ServiceNow ITSM 或 ServiceNow SecOps 连接器,指定连接器是否使用表 API 或导入集 API。如果设置为
false,则应在 ServiceNow 中安装 Elastic 应用程序。 -
xpack.actions.preconfigured.<connector-id>.config.viewIncidentUrl - 对于 Webhook - 案例管理连接器,指定一个 URL 字符串,其中包含外部服务 ID 或外部服务标题 Mustache 变量,以查看外部系统中的案例。
-
xpack.actions.preconfigured.<connector-id>.config.webhookIntegrationUrl - 对于 Torq 连接器,指定 Torq 中 Elastic Security 集成的端点 URL。
-
xpack.actions.preconfigured.<connector-id>.name - 预配置连接器的名称。
-
xpack.actions.preconfigured.<connector-id>.secrets -
敏感的配置详细信息,例如用户名、密码和密钥,这些详细信息特定于连接器类型。
诸如密码之类的敏感属性应存储在 Kibana 密钥库中。
-
xpack.actions.preconfigured.<connector-id>.secrets.accessKey - 对于 Amazon Bedrock 连接器,指定用于身份验证的 AWS 访问密钥。
-
xpack.actions.preconfigured.<connector-id>.secrets.apikey - 一个 API 密钥,它因连接器而异
-
xpack.actions.preconfigured.<connector-id>.secrets.credentialsJson -
对于 Google Gemini 连接器,指定用于身份验证的 GCP 服务帐户凭据 JSON 文件。
- 对于 OpenAI 连接器,指定用于身份验证的 OpenAI 或 Azure OpenAI API 密钥。
- 对于 Opsgenie 连接器,指定用于 HTTP 基本身份验证的 Opsgenie API 身份验证密钥。
-
xpack.actions.preconfigured.<connector-id>.secrets.apiKeyId - 对于 IBM Resilient 连接器,指定用于 HTTP 基本身份验证的身份验证密钥 ID。
-
xpack.actions.preconfigured.<connector-id>.secrets.apiKeySecret - 对于 IBM Resilient 连接器,指定用于 HTTP 基本身份验证的身份验证密钥。
-
xpack.actions.preconfigured.<connector-id>.secrets.apiToken - 对于 Jira 或 Swimlane 连接器,指定用于 HTTP 基本身份验证的 API 身份验证令牌。
-
xpack.actions.preconfigured.<connector-id>.secrets.clientSecret -
一个客户端密钥,它因连接器而异
- 对于 email 连接器,指定您在应用程序注册门户中为您的应用程序生成的客户端密钥。当电子邮件服务为
exchange_server时,这是必需的,它使用 OAuth 2.0 客户端凭据身份验证。 - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定分配给 OAuth 应用程序的客户端密钥。当
xpack.actions.preconfigured.<connector-id>.config.isOAuth为true时,这是必需的。
客户端密钥必须经过 URL 编码。
- 对于 email 连接器,指定您在应用程序注册门户中为您的应用程序生成的客户端密钥。当电子邮件服务为
-
xpack.actions.preconfigured.<connector-id>.secrets.email -
一个电子邮件地址,它因连接器而异
-
xpack.actions.preconfigured.<connector-id>.secrets.password -
一个密码,它因连接器而异
- 对于 电子邮件、webhook 或 Webhook - 案例管理连接器,当
xpack.actions.preconfigured.<connector-id>.config.hasAuth为true时,指定必需的密码。 - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,当
xpack.actions.preconfigured.<connector-id>.config.isOAuth为false时,指定必需的密码。 - 对于 xMatters 连接器,当
xpack.actions.preconfigured.<connector-id>.config.usesBasic为true时,指定必需的密码。
- 对于 电子邮件、webhook 或 Webhook - 案例管理连接器,当
-
xpack.actions.preconfigured.<connector-id>.secrets.privateKey - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定 RSA 私钥。当
xpack.actions.preconfigured.<connector-id>.config.isOAuth为true时,这是必需的。 -
xpack.actions.preconfigured.<connector-id>.secrets.privateKeyPassword - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定 RSA 私钥的密码。
-
xpack.actions.preconfigured.<connector-id>.secrets.routingKey - 对于 PagerDuty 连接器,指定服务上集成的 32 个字符的 PagerDuty 集成密钥,也称为路由密钥。
-
xpack.actions.preconfigured.<connector-id>.secrets.secret - 对于 Amazon Bedrock 连接器,指定用于身份验证的 AWS 密钥。
-
xpack.actions.preconfigured.<connector-id>.secrets.secretsUrl -
对于使用 URL 身份验证的 xMatters 连接器,指定 xMatters 中 Elastic Alerts 触发器的请求 URL,其中 API 密钥包含在 URL 中。仅当
xpack.actions.preconfigured.<connector-id>.config.usesBasic为false时才使用。如果您正在使用
xpack.actions.allowedHosts设置,请确保将此主机名添加到允许的主机中。 -
xpack.actions.preconfigured.<connector-id>.secrets.token -
一个令牌,它因连接器而异
- 对于 D3 Security 连接器,指定 D3 Security 令牌。
- 对于 Slack 连接器,指定 Slack 机器人用户 OAuth 令牌。
- 对于 Tines 连接器,指定 Tines API 令牌。
- 对于 Torq 连接器,指定 Webhook 身份验证标头的密钥。
-
xpack.actions.preconfigured.<connector-id>.secrets.user -
一个用户名字段,它因连接器而异。
- 对于 电子邮件、Webhook 或 Webhook - 案例管理连接器,当
xpack.actions.preconfigured.<connector-id>.config.hasAuth为true时,指定所需的用户名称。 - 对于 xMatters 连接器,当
xpack.actions.preconfigured.<connector-id>.config.usesBasic为true时,指定所需的用户名称。
- 对于 电子邮件、Webhook 或 Webhook - 案例管理连接器,当
-
xpack.actions.preconfigured.<connector-id>.secrets.webhookUrl -
一个 URL,它因连接器而异。
- 对于 Microsoft Teams,指定传入 Webhook 的 URL。对于 Slack 连接器,指定 Slack Webhook URL。
如果您正在使用
xpack.actions.allowedHosts设置,请确保将主机名添加到允许的主机中。 -
xpack.actions.preconfigured.<connector-id>.secrets.username - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,当
xpack.actions.preconfigured.<connector-id>.config.isOAuth为false时,指定所需的用户名称。
告警设置
编辑-
xpack.alerting.maxEphemeralActionsPerAlert
-
[8.8.0] 在 8.8.0 中已弃用。 设置将临时运行的操作数。要使用此项,请先在任务管理器中使用
xpack.task_manager.ephemeral_tasks.enabled启用临时任务 -
xpack.alerting.cancelAlertsOnRuleTimeout
- 指定如果规则处理由于超时而取消,是否跳过写入告警和计划操作。默认值:
true。此设置可以被各个规则类型覆盖。 -
xpack.alerting.rules.maxScheduledPerMinute - 指定每分钟运行的最大规则数。默认值:10000
-
xpack.alerting.rules.minimumScheduleInterval.value
- 指定规则的最小计划间隔。此最小值适用于您设置此值后创建或更新的所有规则。时间格式为数字和时间单位(
s、m、h或d)。例如,20m、24h、7d。此持续时间不能超过1d。默认值:1m。 -
xpack.alerting.rules.minimumScheduleInterval.enforce
- 指定当新规则或更改的规则的计划间隔小于
xpack.alerting.rules.minimumScheduleInterval.value中定义的值时的行为。如果false,则将创建计划小于间隔的规则,但会记录警告。如果true,则无法创建计划小于间隔的规则。默认值:false。 -
xpack.alerting.rules.run.actions.max
- 指定每次检测检查运行时规则可以生成的最大操作数。
-
xpack.alerting.rules.run.alerts.max
-
指定每次检测检查运行时规则可以生成的最大告警数。默认值:1000。
您的集群可以安全处理的准确告警数取决于您的集群配置和工作负载,但是不建议或不支持设置高于默认值(
1000)的值。这样做可能会给系统资源带来压力并导致性能问题、告警处理延迟以及在高告警活动期间可能出现中断。 -
xpack.alerting.rules.run.timeout
- 指定与所有类型规则相关的任务的默认超时时间。时间格式为数字和时间单位(
ms、s、m、h、d、w、M或Y)。例如,20m、24h、7d、1w。默认值:5m。 -
xpack.alerting.rules.run.ruleTypeOverrides
-
使用给定的 ID 覆盖
xpack.alerting.rules.run下的规则类型配置。在对象数组中列出规则标识符及其设置。例如xpack.alerting.rules.run: timeout: '5m' ruleTypeOverrides: - id: '.index-threshold' timeout: '15m'
-
xpack.alerting.rules.run.actions.connectorTypeOverrides
-
使用给定的 ID 覆盖
xpack.alerting.rules.run.actions下的连接器类型配置。在对象数组中列出连接器类型标识符及其设置。例如xpack.alerting.rules.run: actions: max: 10 connectorTypeOverrides: - id: '.server-log' max: 5