Kibana 中的警报和操作设置
编辑Kibana 中的警报和操作设置编辑
Kibana 默认启用警报和操作,但需要您配置以下内容
- 设置 Kibana 以使用 Elastic Stack 安全功能.
- 设置 Kibana 和 Elasticsearch 之间的 TLS 加密.
- 如果您使用的是本地 Elastic Stack 部署,请为
xpack.encryptedSavedObjects.encryptionKey指定一个值。
您可以在 kibana.yml 文件中配置以下设置。
常规设置编辑
-
xpack.encryptedSavedObjects.encryptionKey -
一个包含 32 个或更多字符的字符串,用于在将警报规则和操作存储在 Elasticsearch 之前对其敏感属性进行加密。第三方凭据(例如用于连接到 SMTP 服务的用户名和密码)是加密属性的一个示例。
Kibana 提供了一个CLI 工具来帮助生成此加密密钥。
如果未设置,Kibana 将在启动时生成一个随机密钥,但所有警报和操作功能都将被阻止。警报和操作不允许使用生成的密钥,因为在重新启动时生成新密钥后,将无法访问现有的加密数据。出于同样的原因,如果 Kibana 的所有实例上的密钥不相同,则 Kibana 高可用性部署中的警报和操作的行为将出乎意料。
尽管可以在
kibana.yml中以明文形式指定密钥,但建议将此密钥安全地存储在Kibana 密钥库中。请务必将加密密钥值备份到安全的地方,因为如果您丢失了加密密钥值,您的警报规则和操作将因解密失败而停止运行。如果要轮换加密密钥,请务必遵循加密密钥轮换上的说明。
操作设置编辑
-
xpack.actions.allowedHosts
-
触发内置操作时,Kibana 允许连接到的主机名列表。它默认为
["*"],允许任何主机,但请记住,当主机未显式添加到允许的主机时,SSRF 攻击的可能性。可以使用空列表[]来阻止内置操作建立任何外部连接。请注意,与内置操作(例如 Slack 和 PagerDuty)关联的主机不会自动添加到允许的主机中。如果您没有使用默认的
["*"]设置,则必须确保相应的端点也已添加到允许的主机中。 -
xpack.actions.customHostSettings
-
自定义主机设置列表,用于覆盖现有的全局设置。默认值:空列表。
列表中的每个条目都必须具有
url属性,以便将连接类型(邮件或 https)、主机名和端口与条目中的其余选项相关联。在以下示例中,定义了两个自定义主机设置。第一个设置使用端口 465 为邮件服务器
mail.example.com提供自定义主机设置,该设置从文件和内联提供服务器证书身份验证数据,并要求连接使用 TLS。第二个设置为 https 服务器webhook.example.com提供自定义主机设置,该设置关闭服务器证书身份验证,如果 Kibana 使用自签名证书,则允许 Kibana 连接到该服务器。下面记录了可以在设置中使用的各个属性。xpack.actions.customHostSettings: - url: smtp://mail.example.com:465 ssl: verificationMode: 'full' certificateAuthoritiesFiles: [ 'one.crt' ] certificateAuthoritiesData: | -----BEGIN CERTIFICATE----- ... multiple lines of certificate data here ... -----END CERTIFICATE----- smtp: requireTLS: true - url: https://webhook.example.com ssl: verificationMode: 'none'xpack.actions.customHostSettings中的设置可用于覆盖全局选项xpack.actions.ssl.verificationMode,并为每个服务器提供自定义的 TLS 设置。将xpack.actions.ssl.verificationMode设置为默认情况下所有服务器使用的值,然后在xpack.actions.customHostSettings中为每个需要自定义设置的服务器添加一个条目。 -
xpack.actions.customHostSettings[n].url
-
与此自定义主机设置关联的 URL。应采用
protocol://hostname:port的形式,其中protocol为https或smtp。如果未提供端口,则https使用 443,smtp使用 25。smtpURL 用于使用此服务器的电子邮件操作,httpsURL 用于使用https连接到服务的的操作。具有
httpsURL 的条目可以使用ssl选项,具有smtpURL 的条目可以使用ssl和smtp选项。此 URL 中不应包含其他 URL 值,包括路径、查询字符串和身份验证信息。当在运行操作时发出 http 或 smtp 请求时,只会使用该请求 URL 的协议、主机名和端口来查找这些配置值。
-
xpack.actions.customHostSettings[n].smtp.ignoreTLS
- 一个布尔值,指示此连接不得使用 TLS。选项
smtp.ignoreTLS和smtp.requireTLS不能同时设置为 true。默认值:false。 -
xpack.actions.customHostSettings[n].smtp.requireTLS
- 一个布尔值,指示此连接必须使用 TLS。选项
smtp.ignoreTLS和smtp.requireTLS不能同时设置为 true。默认值:false。 -
xpack.actions.customHostSettings[n].ssl.rejectUnauthorized -
[8.0.0] 在 8.0.0 中已弃用。 请改用
xpack.actions.customHostSettings.ssl.verificationMode。一个布尔值,指示是否绕过服务器证书验证。覆盖为此主机名/端口发出的请求的常规xpack.actions.rejectUnauthorized配置。 -
xpack.actions.customHostSettings[n].ssl.verificationMode
- 控制 Kibana 在建立到主机服务器的出站 SSL/TLS 连接时接收到的服务器证书的验证。有效值为
full、certificate和none。使用full执行主机名验证,使用certificate跳过主机名验证,使用none跳过验证。默认值:full。等效的 Kibana 设置。覆盖为此主机名/端口发出的请求的常规xpack.actions.ssl.verificationMode配置。 -
xpack.actions.customHostSettings[n].ssl.certificateAuthoritiesFiles - 用于验证服务器的 PEM 编码证书文件的文件名或文件名列表。
-
xpack.actions.customHostSettings[n].ssl.certificateAuthoritiesData
- PEM 编码证书文件的内容,或多个文件追加到单个字符串中的内容。此配置可用于无法提供文件的环境。
-
xpack.actions.email.domain_allowlist
-
允许的电子邮件域列表,可与电子邮件连接器一起使用。如果未使用此设置,则允许所有电子邮件域。如果使用了此设置,并且尝试发送的任何电子邮件 (a) 包含电子邮件域不在允许列表中的收件人,或 (b) 包含发件人地址域不在允许列表中,则发送将失败,并显示一条消息,指示不允许发送该电子邮件。
此功能在 Kibana 7.17.4 和 8.3.0 及更高版本中可用,但在 Kibana 8.0、8.1 或 8.2 中不受支持。因此,在从 7.17 升级到 8.0、8.1 或 8.2 之前,应删除此设置。可以在 7.17.4 中配置设置,然后直接升级到 8.3.0。
-
xpack.actions.enableFooterInEmail
- 一个布尔值,指示是否应在作为警报操作发送的电子邮件中添加包含相关链接的页脚。默认值:true。
-
xpack.actions.enabledActionTypes
-
已启用的操作类型的列表。它默认为
["*"],表示启用所有类型。内置 Kibana 操作类型的名称以.为前缀,包括:.email、.index、.jira、.opsgenie、.pagerduty、.resilient、.server-log、.servicenow、.servicenow-itom、.servicenow-sir、.slack、.swimlane、.teams、.tines、.torq、.xmatters、.gen-ai、.bedrock、.d3security和.webhook。空列表[]将禁用所有操作类型。禁用的操作类型在创建新连接器时不会显示为选项,但该类型的现有连接器和操作将保留在 Kibana 中,但不会起作用。
-
xpack.actions.microsoftExchangeUrl - 用于 MS Exchange 电子邮件身份验证的 Microsoft Azure Active Directory 端点的 URL。默认值:
https://login.microsoftonline.com。 -
xpack.actions.microsoftGraphApiUrl - 用于 MS Exchange 电子邮件身份验证的 Microsoft Graph API 端点的 URL。默认值:
https://graph.microsoft.com/v1.0。 -
xpack.actions.microsoftGraphApiScope - 用于 MS Exchange 电子邮件身份验证的 Microsoft Graph API 范围端点的 URL。默认值:
https://graph.microsoft.com/.default。 -
xpack.actions.proxyUrl
-
如果对操作使用代理,则指定要使用的代理 URL。默认情况下,不使用代理。
代理可用于使用 http 或 https 协议通过代理代理 http 或 https 请求。Kibana 仅在“CONNECT”模式下使用代理(有时称为“隧道”TCP 模式,与 HTTP 模式相比)。也就是说,Kibana 将始终使用 HTTP
CONNECT方法通过代理发出请求。如果您的代理使用 https 协议(相对于 http 协议),则可能需要设置
xpack.actions.ssl.proxyVerificationMode: none,除非您的代理的证书是使用公开可用的证书颁发机构签署的。目前不支持对代理使用基本身份验证(代理本身的身份验证,而不是通过代理请求的 URL 的身份验证)。
为了帮助诊断使用代理时出现的问题,您可以使用带有选项的
curl命令来使用您的代理,并使用以下命令记录调试信息,并根据需要替换代理和目标 URL。这将强制以隧道模式向代理发出请求,并显示客户端和代理之间的一些交互。curl --verbose --proxytunnel --proxy https://127.0.0.1:8080 http://example.com
-
xpack.actions.proxyBypassHosts
-
如果对操作使用代理,则指定不应使用代理的主机名。该值是一个字符串形式的主机名数组。示例
# If applicable, include the subdomain in the hostname xpack.actions.proxyBypassHosts: [ "events.pagerduty.com" ]
默认情况下,所有主机都将使用代理,但如果操作的主机名在此列表中,则不会使用代理。设置
xpack.actions.proxyBypassHosts和xpack.actions.proxyOnlyHosts不能同时使用。 -
xpack.actions.proxyOnlyHosts
-
如果对操作使用代理,则指定应仅使用代理的主机名。该值是一个字符串形式的主机名数组。示例
# If applicable, include the subdomain in the hostname xpack.actions.proxyOnlyHosts: [ "events.pagerduty.com" ]
默认情况下,没有主机将使用代理,但如果操作的主机名在此列表中,则将使用代理。设置
xpack.actions.proxyBypassHosts和xpack.actions.proxyOnlyHosts不能同时使用。 -
xpack.actions.proxyHeaders
- 如果对操作使用代理,则指定代理的 HTTP 标头。默认值:{}。
-
xpack.actions.proxyRejectUnauthorizedCertificates
-
[8.0.0] 在 8.0.0 中已弃用。 请改用
xpack.actions.ssl.proxyVerificationMode。如果对操作使用代理,则设置为false以绕过代理的证书验证。默认值:true。 -
xpack.actions.ssl.proxyVerificationMode
- 控制 Kibana 在建立到代理服务器的出站 SSL/TLS 连接时收到的代理服务器证书的验证。有效值为
full、certificate和none。使用full执行主机名验证,使用certificate跳过主机名验证,使用none跳过验证。默认值:full。 等效的 Kibana 设置。 -
xpack.actions.rejectUnauthorized
-
[8.0.0] 在 8.0.0 中已弃用。 请改用
xpack.actions.ssl.verificationMode。设置为false以绕过操作的证书验证。默认值:true。作为设置
xpack.actions.rejectUnauthorized的替代方法,您可以使用设置xpack.actions.customHostSettings为特定服务器设置 SSL 选项。 -
xpack.actions.ssl.verificationMode
-
控制 Elastic Maps Server 在为操作建立出站 SSL/TLS 连接时收到的服务器证书的验证。有效值为
full、certificate和none。使用full执行主机名验证,使用certificate跳过主机名验证,使用none跳过验证。默认值:full。 等效的 Kibana 设置。可以通过使用设置
xpack.actions.customHostSettings[n].ssl.verificationMode(如上所述)将特定 URL 的此设置覆盖为不同的值。 -
xpack.actions.maxResponseContentLength
- 指定对外部资源的请求的 http 响应的最大字节数。默认值:1000000(1MB)。
-
xpack.actions.responseTimeout
- 指定允许对外部资源的请求的时间。超过此时间的请求将被取消。时间格式为数字和时间单位(
ms、s、m、h、d、w、M或Y)。例如,20m、24h、7d、1w。默认值:60s。 -
xpack.actions.run.maxAttempts
- 指定尝试运行操作的最大次数。最小值为 1,最大值为 10。
-
xpack.actions.run.connectorTypeOverrides
-
使用给定 ID 覆盖连接器类型的
xpack.actions.run下的配置。在对象数组中列出连接器类型标识符及其设置。例如xpack.actions.run: maxAttempts: 1 connectorTypeOverrides: - id: '.server-log' maxAttempts: 5 -
xpack.actions.queued.max
- 指定可以排队的最大操作数。默认值:1000000
预配置连接器设置编辑
这些设置因您要添加的预配置连接器的类型而异。例如
xpack.actions.preconfigured:
my-server-log:
name: preconfigured-server-log-connector-type
actionTypeId: .server-log
有关更多示例,请转到预配置连接器。
-
xpack.actions.preconfiguredAlertHistoryEsIndex
- 启用预配置的警报历史记录 Elasticsearch 索引连接器。默认值:
false。 -
xpack.actions.preconfigured - 指定特定于预配置连接器类型的配置详细信息。
-
xpack.actions.preconfigured.<connector-id>.actionTypeId - 预配置连接器的类型。例如:
.email、.index、.opsgenie、.server-log、.resilient、.slack和.webhook。 -
xpack.actions.preconfigured.<connector-id>.config - 配置详细信息,特定于预配置连接器的类型。
-
xpack.actions.preconfigured.<connector-id>.config.apiProvider - 对于 OpenAI 连接器,指定 OpenAI API 提供程序,
OpenAI或Azure OpenAI。 -
xpack.actions.preconfigured.<connector-id>.config.apiUrl -
因连接器而异的配置 URL
- 对于 Amazon Bedrock 连接器,指定 Amazon Bedrock 请求 URL。
- 对于 OpenAI 连接器,指定 OpenAI 请求 URL。
- 对于 IBM Resilient 连接器,指定 IBM Resilient 实例 URL。
- 对于 Jira 连接器,指定 Jira 实例 URL。
- 对于 Opsgenie 连接器,指定 Opsgenie URL。例如,
https://api.opsgenie.com或https://api.eu.opsgenie.com。 - 对于 PagerDuty 连接器,指定 PagerDuty 事件 URL。默认为
https://events.pagerduty.com/v2/enqueue。 - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定 ServiceNow 实例 URL。
- 对于 Swimlane 连接器,指定 Swimlane 实例 URL。
如果您使用的是
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机列表中。 -
xpack.actions.preconfigured.<connector-id>.config.appId -
因连接器而异的应用程序 ID
- 对于 Swimlane 连接器,指定 Swimlane 应用程序标识符。
-
xpack.actions.preconfigured.<connector-id>.config.clientId -
因连接器而异的客户端标识符
- 对于 电子邮件连接器,指定与客户端 ID 对应的 GUID 格式值,该值是 OAuth 2.0 客户端凭据身份验证的一部分。
- 对于 ServiceNow ITOM、ServiceNow ITSM 或 ServiceNow SecOps 连接器,指定分配给 OAuth 应用程序的客户端标识符。
-
xpack.actions.preconfigured.<connector-id>.config.configUrl - 对于使用基本身份验证的 xMatters 连接器,指定 xMatters 中 Elastic Alerts 触发器的请求 URL。
-
xpack.actions.preconfigured.<connector-id>.config.createCommentJson -
对于 Webhook - 案例管理连接器,指定一个字符串化的 JSON 有效负载,其中包含发送到创建评论 URL 以创建案例评论的 Mustache 变量。必需的变量是
case.description。在放置 Mustache 变量后,将在 REST 方法运行时验证 JSON。您应该手动确保 JSON 有效,而无需考虑 Mustache 变量,以便稍后的验证能够通过。
-
xpack.actions.preconfigured.<connector-id>.config.createCommentMethod - 对于 Webhook - 案例管理连接器,指定 REST API HTTP 请求方法,以在第三方系统中创建案例评论。例如:
post、put(默认)或patch。 -
xpack.actions.preconfigured.<connector-id>.config.createCommentUrl -
对于 Webhook - 案例管理连接器,指定一个 REST API URL 字符串,以通过 ID 在第三方系统中创建案例评论。
如果您使用的是
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机列表中。 -
xpack.actions.preconfigured.<connector-id>.config.createIncidentJson -
对于 Webhook - 案例管理连接器,指定一个字符串化的 JSON 有效负载,其中包含发送到创建案例 URL 以创建案例的 Mustache 变量。必需的变量是
case.title和case.description。在放置 Mustache 变量后,将在 REST 方法运行时验证 JSON。您应该手动确保 JSON 有效,而无需考虑 Mustache 变量,以便稍后的验证能够通过。
-
xpack.actions.preconfigured.<connector-id>.config.createIncidentMethod - 对于 Webhook - 案例管理连接器,指定 REST API HTTP 请求方法,以在第三方系统中创建案例,可以是
post(默认)、put或patch。 -
xpack.actions.preconfigured.<connector-id>.config.createIncidentUrl -
对于 Webhook - 案例管理连接器,指定一个 REST API URL 字符串,以在第三方系统中创建案例。
如果您使用的是
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机列表中。 -
xpack.actions.preconfigured.<connector-id>.config.createIncidentResponseKey - 对于 Webhook - 案例管理连接器,指定创建案例方法的响应正文中的一个字符串,该字符串对应于外部服务标识符。
-
xpack.actions.preconfigured.<connector-id>.config.defaultModel -
用于请求的默认模型,因连接器而异
- 对于 Amazon Bedrock 连接器,当前支持 Anthropic Claude 模型。默认为
anthropic.claude-3-sonnet-20240229-v1:0。 - 对于 OpenAI 连接器,它是可选的,并且仅在
xpack.actions.preconfigured.<connector-id>.config.apiProvider为OpenAI时适用。
- 对于 Amazon Bedrock 连接器,当前支持 Anthropic Claude 模型。默认为
-
xpack.actions.preconfigured.<connector-id>.config.executionTimeField - 对于 索引连接器,指示文档何时被索引的字段。
-
xpack.actions.preconfigured.<connector-id>.config.from - 对于 电子邮件连接器,指定连接器发送的所有电子邮件的发件人地址。必须以
user@host-name格式指定。 -
xpack.actions.preconfigured.<connector-id>.config.getIncidentResponseExternalTitleKey - 对于 Webhook - 案例管理连接器,指定获取案例方法的响应正文中的一个字符串,该字符串对应于外部服务标题。
-
xpack.actions.preconfigured.<connector-id>.config.getIncidentUrl -
对于 Webhook - 案例管理连接器,指定一个 REST API URL 字符串,其中包含一个外部服务 ID Mustache 变量,用于从第三方系统获取案例。
如果您使用的是
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机列表中。 -
xpack.actions.preconfigured.<connector-id>.config.hasAuth - 对于 电子邮件、webhook 或 Webhook - 案例管理连接器,指定机密配置内部是否需要用户名和密码。默认为
true。 -
xpack.actions.preconfigured.<connector-id>.config.headers - 对于 webhook 或 Webhook - 案例管理连接器,指定一组作为标头随请求一起发送的键值对。
-
xpack.actions.preconfigured.<connector-id>.config.host - 对于 电子邮件连接器,指定服务提供商的主机名。
-
xpack.actions.preconfigured.<connector-id>.config.index - 对于 索引连接器,指定 Elasticsearch 索引。
-
xpack.actions.preconfigured.<connector-id>.config.isOAuth - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定是使用基本身份验证还是 OAuth 身份验证。
-
xpack.actions.preconfigured.<connector-id>.config.jwtKeyId - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定分配给 OAuth 应用程序的 JWT 验证器映射的密钥 ID。当
xpack.actions.preconfigured.<connector-id>.config.isOAuth为true时,这是必需的。 -
xpack.actions.preconfigured.<connector-id>.config.mappings - 对于 Swimlane 连接器,指定字段映射。
-
xpack.actions.preconfigured.<connector-id>.config.mappings.alertIdConfig - 对于 Swimlane 连接器,警报标识符的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.caseIdConfig - 对于 Swimlane 连接器,案例标识符的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.caseNameConfig - 对于 Swimlane 连接器,案例名称的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.commentsConfig - 对于 Swimlane 连接器,案例评论的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.descriptionConfig - 对于 Swimlane 连接器,案例描述的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.ruleNameConfig - 对于 Swimlane 连接器,规则名称的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.mappings.severityConfig - 对于 Swimlane 连接器,指定严重性的字段映射。您必须提供
fieldtype、id、key和name值。 -
xpack.actions.preconfigured.<connector-id>.config.method - 对于 webhook 连接器,指定 HTTP 请求方法,可以是
post或put。默认为post。 -
xpack.actions.preconfigured.<connector-id>.config.orgId - 对于 IBM Resilient 连接器,指定 IBM Resilient 组织标识符。
-
xpack.actions.preconfigured.<connector-id>.config.port - 对于 电子邮件连接器,指定要连接到服务提供商的端口。
-
xpack.actions.preconfigured.<connector-id>.config.projectKey - 对于 Jira 连接器,指定 Jira 项目密钥。
-
xpack.actions.preconfigured.<connector-id>.config.secure - 对于 电子邮件连接器,指定连接到服务提供商时是否使用 TLS。如果不是 true,则连接将首先通过 TCP 连接,然后尝试通过 SMTP STARTTLS 命令切换到 TLS。
-
xpack.actions.preconfigured.<connector-id>.config.service - 对于 电子邮件连接器,指定电子邮件服务的名称。例如,
elastic_cloud、exchange_server、gmail、other、outlook365或ses。 -
xpack.actions.preconfigured.<connector-id>.config.tenantId - 对于 电子邮件连接器,指定与租户 ID 对应的 GUID 格式值,该值是 OAuth 2.0 客户端凭据身份验证的一部分。
-
xpack.actions.preconfigured.<connector-id>.config.updateIncidentJson -
对于 Webhook - 案例管理连接器,指定一个字符串化的 JSON 有效负载,其中包含发送到更新案例 URL 以更新案例的 Mustache 变量。必需的变量是
case.title和case.description。在放置 Mustache 变量后,将在 REST 方法运行时验证 JSON。您应该手动确保 JSON 有效,而无需考虑 Mustache 变量,以便稍后的验证能够通过。
-
xpack.actions.preconfigured.<连接器 ID>.config.updateIncidentMethod - 对于 Webhook - 案例管理连接器,指定 REST API HTTP 请求方法以更新第三方系统中的案例。例如:
post、put(默认)或patch。 -
xpack.actions.preconfigured.<连接器 ID>.config.updateIncidentUrl -
对于 Webhook - 案例管理连接器,指定 REST API URL 以按 ID 更新第三方系统中的案例。
如果您使用的是
xpack.actions.allowedHosts设置,请确保 URL 中的主机名已添加到允许的主机列表中。 -
xpack.actions.preconfigured.<连接器 ID>.config.url -
因连接器而异的配置 URL
- 对于 D3 Security 连接器,指定 D3 Security API 请求 URL。
- 对于 Tines 连接器,指定 Tines 租户 URL。
- 对于 webhook 连接器,指定 Web 服务请求 URL。
如果您正在使用
xpack.actions.allowedHosts设置,请确保将此主机名添加到允许的主机中。 -
xpack.actions.preconfigured.<连接器 ID>.config.userIdentifierValue - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定用户标识符。当
xpack.actions.preconfigured.<连接器 ID>.config.isOAuth为true时,这是必需的。 -
xpack.actions.preconfigured.<连接器 ID>.config.usesBasic - 对于 xMatters 连接器,指定它是否使用 HTTP 基本身份验证。默认为
true。 -
xpack.actions.preconfigured.<连接器 ID>.config.usesTableApi - 对于 ServiceNow ITSM 或 ServiceNow SecOps 连接器,指定连接器是使用表 API 还是导入集 API。如果设置为
false,则应在 ServiceNow 中安装 Elastic 应用程序。 -
xpack.actions.preconfigured.<连接器 ID>.config.viewIncidentUrl - 对于 Webhook - 案例管理连接器,指定一个 URL 字符串,其中包含外部服务 ID 或外部服务标题 Mustache 变量,以在外部系统中查看案例。
-
xpack.actions.preconfigured.<连接器 ID>.config.webhookIntegrationUrl - 对于 Torq 连接器,指定 Torq 中 Elastic Security 集成的端点 URL。
-
xpack.actions.preconfigured.<连接器 ID>.name - 预配置连接器的名称。
-
xpack.actions.preconfigured.<连接器 ID>.secrets -
敏感配置详细信息,例如用户名、密码和密钥,这些信息特定于连接器类型。
敏感属性(例如密码)应存储在 Kibana 密钥库 中。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.accessKey - 对于 Amazon Bedrock 连接器,指定用于身份验证的 AWS 访问密钥。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.apikey -
API 密钥机密,因连接器而异
- 对于 OpenAI 连接器,指定用于身份验证的 OpenAI 或 Azure OpenAI API 密钥。
- 对于 Opsgenie 连接器,指定用于 HTTP 基本身份验证的 Opsgenie API 身份验证密钥。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.apiKeyId - 对于 IBM Resilient 连接器,指定用于 HTTP 基本身份验证的身份验证密钥 ID。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.apiKeySecret - 对于 IBM Resilient 连接器,指定用于 HTTP 基本身份验证的身份验证密钥机密。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.apiToken - 对于 Jira 或 Swimlane 连接器,指定用于 HTTP 基本身份验证的 API 身份验证令牌。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.clientSecret -
客户端机密,因连接器而异
- 对于 电子邮件连接器,指定您在应用程序注册门户中为应用程序生成的客户端机密。当电子邮件服务为
exchange_server(使用 OAuth 2.0 客户端凭据身份验证)时,这是必需的。 - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定分配给 OAuth 应用程序的客户端机密。当
xpack.actions.preconfigured.<连接器 ID>.config.isOAuth为true时,这是必需的。
客户端机密必须进行 URL 编码。
- 对于 电子邮件连接器,指定您在应用程序注册门户中为应用程序生成的客户端机密。当电子邮件服务为
-
xpack.actions.preconfigured.<连接器 ID>.secrets.email -
电子邮件地址,因连接器而异
-
xpack.actions.preconfigured.<连接器 ID>.secrets.password -
密码机密,因连接器而异
- 对于 电子邮件、webhook 或 Webhook - 案例管理连接器,指定当
xpack.actions.preconfigured.<连接器 ID>.config.hasAuth为true时所需的密码。 - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定当
xpack.actions.preconfigured.<连接器 ID>.config.isOAuth为false时所需的密码。 - 对于 xMatters 连接器,指定当
xpack.actions.preconfigured.<连接器 ID>.config.usesBasic为true时所需的密码。
- 对于 电子邮件、webhook 或 Webhook - 案例管理连接器,指定当
-
xpack.actions.preconfigured.<连接器 ID>.secrets.privateKey - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定 RSA 私钥。当
xpack.actions.preconfigured.<连接器 ID>.config.isOAuth为true时,这是必需的。 -
xpack.actions.preconfigured.<连接器 ID>.secrets.privateKeyPassword - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定 RSA 私钥的密码。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.routingKey - 对于 PagerDuty 连接器,指定服务集成中 32 个字符的 PagerDuty 集成密钥,也称为路由密钥。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.secret - 对于 Amazon Bedrock 连接器,指定用于身份验证的 AWS 机密。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.secretsUrl -
对于使用 URL 身份验证的 xMatters 连接器,指定 xMatters 中 Elastic 警报触发器的请求 URL,其中 API 密钥包含在 URL 中。仅当
xpack.actions.preconfigured.<连接器 ID>.config.usesBasic为false时才使用。如果您正在使用
xpack.actions.allowedHosts设置,请确保将此主机名添加到允许的主机中。 -
xpack.actions.preconfigured.<连接器 ID>.secrets.token -
令牌机密,因连接器而异
- 对于 D3 Security 连接器,指定 D3 Security 令牌。
- 对于 Slack 连接器,指定 Slack 机器人用户 OAuth 令牌。
- 对于 Tines 连接器,指定 Tines API 令牌。
- 对于 Torq 连接器,指定 webhook 身份验证标头的机密。
-
xpack.actions.preconfigured.<连接器 ID>.secrets.user -
用户名机密,因连接器而异
- 对于 电子邮件、webhook 或 Webhook - 案例管理连接器,指定当
xpack.actions.preconfigured.<连接器 ID>.config.hasAuth为true时所需的用户名。 - 对于 xMatters 连接器,指定当
xpack.actions.preconfigured.<连接器 ID>.config.usesBasic为true时所需的用户名。
- 对于 电子邮件、webhook 或 Webhook - 案例管理连接器,指定当
-
xpack.actions.preconfigured.<连接器 ID>.secrets.webhookUrl -
URL,因连接器而异
- 对于 Microsoft Teams,指定传入 webhook 的 URL。对于 Slack 连接器,指定 Slack webhook URL。
如果您正在使用
xpack.actions.allowedHosts设置,请确保将主机名添加到允许的主机中。 -
xpack.actions.preconfigured.<连接器 ID>.secrets.username - 对于 ServiceNow ITSM、ServiceNow SecOps 或 ServiceNow ITOM 连接器,指定当
xpack.actions.preconfigured.<连接器 ID>.config.isOAuth为false时所需的用户名。
警报设置编辑
-
xpack.alerting.maxEphemeralActionsPerAlert
-
[8.8.0] 在 8.8.0 中已弃用。 设置临时运行的操作数。要使用此功能,请先在任务管理器中使用
xpack.task_manager.ephemeral_tasks.enabled启用临时任务。 -
xpack.alerting.cancelAlertsOnRuleTimeout
- 指定如果由于超时而取消规则处理,是否跳过写入警报和计划操作。默认值:
true。此设置可以被单个规则类型覆盖。 -
xpack.alerting.rules.maxScheduledPerMinute - 指定每分钟运行的最大规则数。默认值:10000
-
xpack.alerting.rules.minimumScheduleInterval.value
- 指定规则的最小计划间隔。此最小值适用于设置此值后创建或更新的所有规则。时间格式为数字和时间单位(
s、m、h或d)。例如,20m、24h、7d。此持续时间不能超过1d。默认值:1m。 -
xpack.alerting.rules.minimumScheduleInterval.enforce
- 指定当新规则或更改后的规则的计划间隔小于
xpack.alerting.rules.minimumScheduleInterval.value中定义的值时的行为。如果为false,则将创建计划间隔小于该值的规则,但会记录警告。如果为true,则无法创建计划间隔小于该值的规则。默认值:false。 -
xpack.alerting.rules.run.actions.max
- 指定规则每次运行检测检查时可以生成的最大操作数。
-
xpack.alerting.rules.run.alerts.max
-
指定规则每次运行检测检查时可以生成的最大警报数。默认值:1000。
集群可以安全处理的确切警报数量取决于集群配置和工作负载,但不建议也不支持将值设置为高于默认值(
1000)。这样做可能会耗尽系统资源,并导致性能问题、警报处理延迟以及在警报活动高峰期出现潜在中断。 -
xpack.alerting.rules.run.timeout
- 指定与所有类型规则关联的任务的默认超时时间。时间格式为数字和时间单位(
ms、s、m、h、d、w、M或Y)。例如,20m、24h、7d、1w。默认值:5m。 -
xpack.alerting.rules.run.ruleTypeOverrides
-
覆盖具有给定 ID 的规则类型的
xpack.alerting.rules.run下的配置。在对象数组中列出规则标识符及其设置。例如xpack.alerting.rules.run: timeout: '5m' ruleTypeOverrides: - id: '.index-threshold' timeout: '15m' -
xpack.alerting.rules.run.actions.connectorTypeOverrides
-
覆盖具有给定 ID 的连接器类型的
xpack.alerting.rules.run.actions下的配置。在对象数组中列出连接器类型标识符及其设置。例如xpack.alerting.rules.run: actions: max: 10 connectorTypeOverrides: - id: '.server-log' max: 5