打开和管理案例
编辑打开和管理案例编辑
打开一个新案例编辑
打开一个新案例来跟踪问题并与同事分享其详细信息。
[预览] 此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。 或者,您可以使用 案例操作 配置您的规则以自动创建案例。默认情况下,该规则会将指定时间窗口内的所有警报添加到单个案例中。您可以选择一个字段来对警报进行分组,并为每个组创建单独的案例。您还可以选择在时间窗口到期时,规则是重新打开案例还是打开新的案例。
添加自定义字段编辑
此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。
您可以添加可选和必填字段以进行自定义案例协作。
-
转到 堆栈管理 > 案例 并点击 设置.
要查看和更改案例设置,您必须具有相应的 Kibana 功能权限。请参阅 配置对案例的访问.
-
在 自定义字段 部分,点击 添加字段.
- 输入字段标签。
- 选择字段类型:文本或切换。
- 如果希望文本字段在所有案例中都为必填,请选择 将此字段设为必填.
- 可选地添加默认值。
- 点击 保存字段.
您随后可以在 设置 页面上删除或编辑自定义字段。
创建自定义字段后,它们将添加到所有新的和现有的案例中。
现有案例对新文本字段的值为 null,直到您在每个案例中设置它们为止。例如,您必须点击 my-field 旁边的铅笔图标才能设置它
添加电子邮件通知编辑
您可以配置在用户被分配到案例时发生的电子邮件通知。
对于托管在 Elasticsearch 服务上的 Kibana
-
将电子邮件域添加到 通知域白名单.
您无需采取更多步骤来配置电子邮件连接器或更新 Kibana 用户设置,因为默认情况下使用预配置的 Elastic-Cloud-SMTP 连接器。
对于自托管的 Kibana
-
创建一个预配置的电子邮件连接器。
目前,电子邮件通知仅支持预配置的连接器,这些连接器在
kibana.yml文件中定义。有关示例,请参阅 电子邮件连接器 和 为知名服务配置电子邮件帐户. - 将
notifications.connectors.default.emailKibana 设置设置为您的电子邮件连接器的名称。 - 如果您希望电子邮件通知包含指向案例的链接,则必须配置 server.publicBaseUrl 设置。
随后,当您将分配人添加到案例时,他们会收到一封电子邮件。
添加文件编辑
创建案例后,您可以在 文件 选项卡上上传和管理文件
可接受的文件类型和大小受您的 案例设置 影响。
要下载或删除文件或将文件哈希复制到剪贴板,请打开操作菜单 (…)。可用的哈希函数是 MD5、SHA-1 和 SHA-256。
上传文件时,将在案例活动日志中添加一条评论。要查看图像,请在活动或文件列表中点击其名称。
上传的文件也可以在 堆栈管理 > 文件 中访问。当您将案例导出为 保存的对象 时,案例文件不会被导出。
添加可视化编辑
您也可以选择添加可视化。例如,您可以通过图表和图形来描绘事件和警报数据。
要将可视化添加到案例中的评论
- 点击 可视化 按钮。 添加可视化 对话框将出现。
-
从可视化库中选择一个现有的可视化,或创建一个新的可视化。
为您的可视化设置一个绝对时间范围。这将确保您的可视化在您将其保存到案例后不会随着时间的推移而改变,并为查看者提供重要的上下文。
- 完成可视化创建后,点击 保存并返回 以返回到您的案例。
- 点击 预览 以查看可视化在案例评论中将如何显示。
- 点击 添加评论 将可视化添加到您的案例。
或者,在查看 仪表板 时,您可以打开面板的菜单,然后点击 更多 > 添加到现有案例 或 更多 > 添加到新案例.
将可视化添加到案例后,您可以通过点击案例评论菜单中的 打开可视化 选项来修改或与之交互。
管理案例编辑
在 管理 > 堆栈管理 > 案例 中,您可以搜索案例并按分配人、类别、严重程度、状态和标签等属性对其进行筛选。您还可以选择多个案例并使用批量操作来删除案例或更改其属性。
要查看案例,请点击其名称。然后您可以
- 添加新评论。
- 编辑现有评论和描述。
- 添加或删除分配人。
- 添加连接器。
- 将更新发送到外部系统(如果配置了外部连接)。
- 编辑类别和标签。
- 刷新案例以获取最新的更新。
- 更改状态。
- 更改严重程度。
- 关闭或删除案例。
- 重新打开已关闭的案例。