创建跟踪包含规则
编辑创建跟踪包含规则编辑
当实体包含在边界内或不再包含在边界内时,跟踪包含规则会发出警报。
在 堆栈管理 > 规则 中,单击 创建规则。选择 跟踪包含 规则类型,然后填写名称和可选标签。
定义条件编辑
创建跟踪包含规则时,必须定义它检测的条件。例如
- 定义实体索引,该索引必须包含
geo_point或geo_shape字段、date字段和实体标识符。实体标识符是keyword、number或ip字段,用于标识实体。预期实体数据会更新,以便在实体移动时发出警报。 - 定义边界索引,该索引包含
geo_shape数据。预期边界数据是静态的(不更新)。边界在创建规则时收集一次,以及在修改边界配置后的任何时间收集。 - 设置检查间隔,它定义了评估规则条件的频率。
- 在高级选项中,您可以更改必须满足规则条件才能发出警报的连续运行次数。默认值为
1。
查询实体位置以确定它们是否包含在任何监控边界内。实体数据应该有点“实时”,这意味着新文档的日期不早于当前时间减去间隔量。如果摄入了早于 now - <check interval> 的数据,它不会触发规则。
添加操作编辑
您可以选择在满足规则条件时发送通知。特别是,此规则类型支持
- 警报摘要
- 在满足包含条件时运行的操作
- 在实体不再包含时运行的操作
对于每个操作,您必须选择一个连接器,它提供 Kibana 服务或第三方集成的连接信息。有关所有支持的连接器的更多信息,请转到 连接器。
选择连接器后,您必须设置操作频率。您可以选择在每个检查间隔或自定义间隔上创建警报摘要。或者,您可以设置操作频率,以便每个警报都运行操作。选择操作运行的频率(在每个检查间隔、仅在警报状态更改时或在自定义操作间隔)。您还必须选择一个操作组,该组指示操作是在满足包含条件时运行还是在实体不再包含时运行。每个连接器都支持每个操作组的特定操作集。例如
您可以通过指定操作仅在与 KQL 查询匹配时或在警报在特定时间范围内发生时运行来进一步细化操作运行的条件。
添加操作变量编辑
您可以将规则值传递给操作以提供上下文详细信息。要查看每个操作可用的变量列表,请单击“添加规则变量”按钮。例如
以下操作变量特定于跟踪包含规则。您还可以指定 所有规则通用的变量。
-
context.containingBoundaryId - 包含实体的边界的标识符。此值未设置为恢复的警报。
-
context.containingBoundaryName - 包含实体的边界的名称。此值未设置为恢复的警报。
-
context.detectionDateTime - 警报发生的检查间隔的结束时间。
-
context.entityDateTime - 实体在边界中记录的日期。
-
context.entityDocumentId - 包含实体文档的标识符。
-
context.entityId - 生成警报的文档的实体标识符。
-
context.entityLocation - 实体的位置。