警报设置
编辑警报设置编辑
Kibana 警报功能已自动启用,但可能需要一些额外的配置。
先决条件编辑
如果您使用的是 本地 Elastic Stack 部署
- 在
kibana.yml
配置文件中,添加xpack.encryptedSavedObjects.encryptionKey
设置。 - 为了使电子邮件具有指向 Kibana 的链接的页脚,请设置
server.publicBaseUrl
配置设置。
如果您使用的是带有 安全性 的 本地 Elastic Stack 部署
- 如果您无法访问 Kibana 警报功能,请确保您没有 明确禁用 API 密钥。
警报框架使用需要 search.allow_expensive_queries
设置为 true
的查询。请参阅脚本 文档。
生产注意事项和扩展指南编辑
当依赖警报和操作作为关键任务服务时,请确保您遵循 警报生产注意事项。
有关警报功能可扩展性的更多信息,请转到 扩展指南。
安全性编辑
要在 Kibana 应用程序中使用警报功能,您必须具有相应的特权。
操作 | Kibana 特权 |
---|---|
授予完全访问权限以在 堆栈管理 或 发现 中管理警报、连接器和规则 |
操作和连接器 功能特权是管理连接器所必需的。要添加规则操作和测试连接器,您只需要 默认情况下,规则设置 功能的 [预览] 此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。 要创建一个使用 案例连接器 的规则,您还必须对 案例 功能具有 规则类型也会影响所需的权限。例如,要创建或编辑机器学习规则,您必须对 分析 > 机器学习 功能具有 |
授予在 堆栈管理 或 发现 中查看警报、连接器和规则的只读访问权限 |
规则类型也会影响所需的权限。例如,要查看机器学习规则,您必须对 分析 > 机器学习 功能具有 |
撤销在 堆栈管理 或 发现 中访问警报、连接器和规则的所有权限 |
|
有关配置提供对功能访问权限的角色的更多信息,请转到 功能特权。
API 密钥编辑
规则使用 API 密钥进行授权。其凭据用于运行与规则关联的所有后台任务,包括条件检查(如 Elasticsearch 查询)和触发的操作。
如果您在 Kibana 中创建或编辑规则,则会创建一个 API 密钥,该密钥会捕获您在编辑时权限的快照。以下操作会在 Kibana 中重新生成 API 密钥
- 创建规则
- 更新规则
当您禁用规则时,它会保留关联的 API 密钥,该密钥在启用规则时会重复使用。如果在启用规则时 API 密钥丢失(例如,在导入规则的情况下),它会生成一个具有您安全权限的新密钥。
您可以在 堆栈管理 > 规则 或规则详细信息页面中手动更新 API 密钥,方法是在操作菜单中选择 更新 API 密钥。
如果您使用 Kibana API 管理规则,它们支持如 身份验证 中所述的基于密钥和基于令牌的身份验证。要使用基于密钥的身份验证,请创建 API 密钥并在 API 调用的标头中使用它们,如 API 密钥 中所述。要使用基于令牌的身份验证,请提供用户名和密码;与用户当前权限匹配的 API 密钥会自动创建。在这两种情况下,API 密钥随后都会与规则关联并在规则运行时使用。
如果规则需要某些权限(如索引权限)才能运行,而没有这些权限的用户更新了规则,则规则将不再起作用。相反,如果具有更高权限或管理员权限的用户修改了规则,则它将开始以更高的权限运行。当您更改 API 调用标头中的 API 密钥时,也会发生相同的行为。
限制操作编辑
出于安全原因,您可能希望限制 Kibana 连接到外部服务的程度。您可以使用 操作设置 禁用某些 连接器 并允许 Kibana 可以连接到的主机名。
空间隔离编辑
规则和连接器被隔离到创建它们的 Kibana 空间。在一个空间中创建的规则或连接器在另一个空间中将不可见。
跨集群搜索编辑
如果您想将警报规则与跨集群搜索一起使用,则必须为 CCS 和 Kibana 配置权限。请参阅 远程集群。