查看警报
编辑查看警报编辑
当满足规则的条件时,它会创建一个警报。如果规则具有操作,则它们会按定义的频率运行。例如,该规则可以按自定义间隔为每个警报发送电子邮件通知。有关规则、警报和操作概念的介绍,请参阅警报。
您可以在 堆栈管理 > 规则 中管理每个规则的警报。或者,在 堆栈管理 > 警报 中管理所有警报。 [预览] 此功能处于技术预览阶段,可能会在未来版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。
您必须具有适当的 Kibana 警报功能和索引权限才能查看警报。请参阅警报安全要求。
筛选警报编辑
此功能处于技术预览阶段,可能会在未来版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。
在 堆栈管理 > 警报 中,您可以筛选列表(例如,按警报状态或规则类型)并自定义筛选控件。要搜索特定警报,请使用 KQL 栏创建使用 Kibana 查询语言 的结构化查询。
默认情况下,该列表包含您有权在所选时间段内查看的所有警报,但与安全规则关联的警报除外。要查看安全规则的警报,请单击查询菜单并选择 安全规则类型
或者,在 Elastic 安全应用程序 中查看这些警报。
查看警报详情编辑
要获取有关特定警报的更多信息,请打开其操作菜单 (…) 并在 堆栈管理 > 警报 或 规则 中选择 查看警报详情。在那里,您将看到警报的当前状态、持续时间以及上次更新时间。为了帮助您确定导致警报的原因,还提供了一些信息,例如预期和实际阈值以及警报的摘要原因。
如果警报受维护窗口的影响,则警报详情将包含其标识符。有关它们对警报通知的影响的更多信息,请参阅维护窗口。
警报状态编辑
有三种常见的警报状态
-
活动 - 满足规则的条件,并且应根据通知设置生成操作。
-
已恢复 - 不再满足规则的条件,并且应生成恢复操作。
-
未跟踪 - 不再生成操作。例如,当您禁用或删除规则时,您可以选择将活动警报移动到此状态。
当警报在活动状态和恢复状态之间反复切换时,它也可能处于“抖动”状态。仅当您在 堆栈管理 > 规则 > 设置 中启用了警报抖动检测时,才会出现此状态。对于每个空间,您可以选择一个回溯窗口和阈值,用于确定警报是否正在抖动。例如,您可以指定警报在最后 10 次运行中必须至少更改状态 6 次。如果规则具有在警报状态更改时运行的操作,则在警报抖动时会抑制这些操作。
静音警报编辑
如果警报处于活动状态或抖动状态,您可以将其静音以暂时抑制未来的操作。在 堆栈管理 > 警报 和 规则 中,您都可以打开相应警报的操作菜单 (…) 并选择 静音。要永久抑制警报的操作,请打开操作菜单并选择 标记为未跟踪。
要影响规则的行为而不是单个警报的行为,请查看暂停和禁用规则。