警报设置编辑

Kibana 警报功能已自动启用,但可能需要一些额外的配置。

先决条件编辑

如果您使用的是 本地 Elastic Stack 部署

如果您使用的是带有 安全性本地 Elastic Stack 部署

警报框架使用需要 search.allow_expensive_queries 设置为 true 的查询。请参阅脚本 文档

生产注意事项和扩展指南编辑

当依赖警报和操作作为关键任务服务时,请确保您遵循 警报生产注意事项

有关警报功能可扩展性的更多信息,请转到 扩展指南

安全性编辑

要在 Kibana 应用程序中使用警报功能,您必须具有相应的特权。

操作 Kibana 特权

授予完全访问权限以在 堆栈管理发现 中管理警报、连接器和规则

  • All 用于 管理 > 堆栈规则 功能。
  • All 用于 管理 > 规则设置 功能。
  • All 用于 管理 > 操作和连接器 功能。
  • Read 索引特权用于 .alerts-* 系统索引

操作和连接器 功能特权是管理连接器所必需的。要添加规则操作和测试连接器,您只需要 Read 特权。

默认情况下,规则设置 功能的 All 特权包括编辑抖动检测设置的权限,除非您自定义子功能特权。

[预览] 此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。 要创建一个使用 案例连接器 的规则,您还必须对 案例 功能具有 all 特权。

规则类型也会影响所需的权限。例如,要创建或编辑机器学习规则,您必须对 分析 > 机器学习 功能具有 all 特权。对于堆栈监控规则,您必须具有 monitoring_user 角色。对于可观察性规则,您必须对相应可观察性功能具有 all 特权。对于安全规则,请参阅 检测先决条件和要求

授予在 堆栈管理发现 中查看警报、连接器和规则的只读访问权限

  • Read 用于 管理 > 堆栈规则 功能。
  • Read 用于 管理 > 规则设置 功能。
  • Read 用于 管理 > 操作和连接器 功能。
  • Read 索引特权用于 .alerts-* 系统索引

规则类型也会影响所需的权限。例如,要查看机器学习规则,您必须对 分析 > 机器学习 功能具有 read 特权。对于堆栈监控规则,您必须具有 monitoring_user 角色。对于可观察性规则,您必须对相应可观察性功能具有 read 特权。对于安全规则,请参阅 检测先决条件和要求

撤销在 堆栈管理发现 中访问警报、连接器和规则的所有权限

  • None 用于 管理 > 堆栈规则 功能。
  • None 用于 管理 > 规则设置 功能。
  • None 用于 管理 > 操作和连接器 功能。

有关配置提供对功能访问权限的角色的更多信息,请转到 功能特权

API 密钥编辑

规则使用 API 密钥进行授权。其凭据用于运行与规则关联的所有后台任务,包括条件检查(如 Elasticsearch 查询)和触发的操作。

如果您在 Kibana 中创建或编辑规则,则会创建一个 API 密钥,该密钥会捕获您在编辑时权限的快照。以下操作会在 Kibana 中重新生成 API 密钥

  • 创建规则
  • 更新规则

当您禁用规则时,它会保留关联的 API 密钥,该密钥在启用规则时会重复使用。如果在启用规则时 API 密钥丢失(例如,在导入规则的情况下),它会生成一个具有您安全权限的新密钥。

您可以在 堆栈管理 > 规则 或规则详细信息页面中手动更新 API 密钥,方法是在操作菜单中选择 更新 API 密钥

如果您使用 Kibana API 管理规则,它们支持如 身份验证 中所述的基于密钥和基于令牌的身份验证。要使用基于密钥的身份验证,请创建 API 密钥并在 API 调用的标头中使用它们,如 API 密钥 中所述。要使用基于令牌的身份验证,请提供用户名和密码;与用户当前权限匹配的 API 密钥会自动创建。在这两种情况下,API 密钥随后都会与规则关联并在规则运行时使用。

如果规则需要某些权限(如索引权限)才能运行,而没有这些权限的用户更新了规则,则规则将不再起作用。相反,如果具有更高权限或管理员权限的用户修改了规则,则它将开始以更高的权限运行。当您更改 API 调用标头中的 API 密钥时,也会发生相同的行为。

限制操作编辑

出于安全原因,您可能希望限制 Kibana 连接到外部服务的程度。您可以使用 操作设置 禁用某些 连接器 并允许 Kibana 可以连接到的主机名。

空间隔离编辑

规则和连接器被隔离到创建它们的 Kibana 空间。在一个空间中创建的规则或连接器在另一个空间中将不可见。

跨集群搜索编辑

如果您想将警报规则与跨集群搜索一起使用,则必须为 CCS 和 Kibana 配置权限。请参阅 远程集群