规则类型
编辑规则类型编辑
规则是一组条件、调度和操作,它们可以启用通知。Kibana 提供了内置于 Elastic Stack 的规则以及由 Kibana 应用程序之一注册的规则。您可以在堆栈管理 > 规则中创建大多数规则类型。安全规则必须在安全应用程序中定义。有关更多信息,请参阅有关创建检测规则的文档。
某些规则类型是订阅功能,而其他规则类型是免费功能。有关 Elastic 订阅级别比较,请参阅订阅页面。
堆栈规则编辑
堆栈规则内置于 Kibana。要访问堆栈规则功能并创建和编辑规则,用户需要all权限。有关更多信息,请参阅功能权限。
运行用户配置的 Elasticsearch 查询,将匹配项数量与配置的阈值进行比较,并在满足阈值条件时安排操作运行。 |
|
使用 Elasticsearch 查询从文档中聚合字段值,将它们与阈值进行比较,并在满足阈值时安排操作运行。 |
|
[beta] 此功能处于测试阶段,可能会发生变化。设计和代码比官方 GA 功能还不成熟,按原样提供,不提供任何担保。测试版功能不受官方 GA 功能支持 SLA 的约束。 对持续转换运行计划检查以检查其运行状况。如果持续转换满足条件,则会创建警报并触发关联的操作。 |
|
运行 Elasticsearch 查询以确定是否有任何文档当前包含在指定边界索引中的任何边界中,并在满足规则条件时生成警报。 |
可观察性规则编辑
可观察性规则检测可观察性数据中的复杂条件,并在满足规则条件时创建警报。例如,您可以创建一个规则,当度量值的价值超过指定阈值或在您正在监控的系统或服务上发生异常时检测到该规则。有关更多信息,请参阅警报。
如果您在可观察性应用程序中创建规则,则其警报在堆栈管理 > 规则中不可见。它们仅在可观察性应用程序中可见。
机器学习规则编辑
[beta] 此功能处于测试阶段,可能会发生变化。设计和代码比官方 GA 功能还不成熟,按原样提供,不提供任何担保。测试版功能不受官方 GA 功能支持 SLA 的约束。 机器学习规则对异常检测作业运行计划检查,以检测具有某些条件的异常。如果异常满足条件,则会创建警报并触发关联的操作。
安全规则编辑
安全规则使用预构建或自定义规则检测可疑源事件,并在满足规则条件时创建警报。有关更多信息,请参阅安全规则。
与安全规则关联的警报仅在 Elastic Security 应用程序中可见;它们在堆栈管理 > 规则中不可见。