- Kibana 指南其他版本
- 什么是 Kibana?
- 8.17 版本的新增功能
- Kibana 概念
- 快速入门
- 设置
- 生产注意事项
- Discover
- 仪表板
- Canvas
- 地图
- 报告和共享
- 机器学习
- Graph
- 告警
- 可观测性
- 搜索
- 安全性
- 开发工具
- Fleet
- Osquery
- 堆栈监控
- 堆栈管理
- REST API
- Kibana 插件
- 问题排查
- 辅助功能
- 发行说明
- 升级说明
- Kibana 8.17.0
- Kibana 8.16.1
- Kibana 8.16.0
- Kibana 8.15.5
- Kibana 8.15.4
- Kibana 8.15.3
- Kibana 8.15.2
- Kibana 8.15.1
- Kibana 8.15.0
- Kibana 8.14.3
- Kibana 8.14.2
- Kibana 8.14.1
- Kibana 8.14.0
- Kibana 8.13.4
- Kibana 8.13.3
- Kibana 8.13.2
- Kibana 8.13.1
- Kibana 8.13.0
- Kibana 8.12.2
- Kibana 8.12.1
- Kibana 8.12.0
- Kibana 8.11.4
- Kibana 8.11.3
- Kibana 8.11.2
- Kibana 8.11.1
- Kibana 8.11.0
- Kibana 8.10.4
- Kibana 8.10.3
- Kibana 8.10.2
- Kibana 8.10.1
- Kibana 8.10.0
- Kibana 8.9.2
- Kibana 8.9.1
- Kibana 8.9.0
- Kibana 8.8.2
- Kibana 8.8.1
- Kibana 8.8.0
- Kibana 8.7.1
- Kibana 8.7.0
- Kibana 8.6.1
- Kibana 8.6.0
- Kibana 8.5.2
- Kibana 8.5.1
- Kibana 8.5.0
- Kibana 8.4.3
- Kibana 8.4.2
- Kibana 8.4.1
- Kibana 8.4.0
- Kibana 8.3.3
- Kibana 8.3.2
- Kibana 8.3.1
- Kibana 8.3.0
- Kibana 8.2.3
- Kibana 8.2.2
- Kibana 8.2.1
- Kibana 8.2.0
- Kibana 8.1.3
- Kibana 8.1.2
- Kibana 8.1.1
- Kibana 8.1.0
- Kibana 8.0.0
- Kibana 8.0.0-rc2
- Kibana 8.0.0-rc1
- Kibana 8.0.0-beta1
- Kibana 8.0.0-alpha2
- Kibana 8.0.0-alpha1
- 开发人员指南
查看告警
编辑查看告警
编辑当规则的条件满足时,它会创建一个告警。如果规则有操作,它们会按照定义的频率运行。例如,规则可以按照自定义的时间间隔为每个告警发送电子邮件通知。有关规则、告警和操作的概念介绍,请参阅告警。
您可以在 Stack Management > 规则 中管理每个规则的告警。或者,在 Stack Management > 告警 中管理所有告警。 [预览] 此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。
您必须具有相应的 Kibana 告警功能和索引权限才能查看告警。请参阅 告警安全要求。
筛选告警
编辑此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。
在 Stack Management > 告警 中,您可以筛选列表(例如,按告警状态或规则类型)并自定义筛选器控件。要搜索特定的告警,请使用 KQL 栏,使用 Kibana 查询语言创建结构化查询。
默认情况下,列表包含您有权在选定时间段内查看的所有告警,但与安全规则相关的告警除外。要查看安全规则的告警,请单击查询菜单并选择 安全规则类型
或者,在 Elastic Security 应用中查看这些告警。
查看告警详情
编辑要获取有关特定告警的更多信息,请打开其操作菜单 (...),然后在 Stack Management > 告警 或 规则 中选择 查看告警详情。您将看到告警的当前状态、持续时间和上次更新时间。为了帮助您确定导致告警的原因,其中包含诸如预期和实际阈值以及告警原因摘要等信息。
如果告警受到维护窗口的影响,告警详情会包含其标识符。有关维护窗口对告警通知的影响的更多信息,请参阅 维护窗口。
告警状态
编辑有三种常见的告警状态
-
活动 - 满足规则的条件,并且应根据通知设置生成操作。
-
已恢复 - 不再满足规则的条件,并且应生成恢复操作。
-
未跟踪 - 不再生成操作。例如,您可以选择在禁用或删除规则时将活动告警移动到此状态。
当告警在活动和已恢复状态之间反复切换时,告警也可能处于“抖动”状态。仅当您在 Stack Management > 规则 > 设置 中启用了告警抖动检测时,才可能出现此状态。对于每个空间,您可以选择一个回溯窗口和阈值,用于确定告警是否正在抖动。例如,您可以指定告警必须在最近 10 次运行中至少更改 6 次状态。如果规则具有在告警状态更改时运行的操作,则在告警抖动时会禁止这些操作。
静音告警
编辑如果告警处于活动状态或抖动状态,您可以将其静音以暂时抑制将来的操作。在 Stack Management > 告警 和 规则 中,您可以打开相应告警的操作菜单 (...) 并选择 静音。要永久抑制告警的操作,请打开操作菜单并选择 标记为未跟踪。
要影响规则的行为而不是单个告警,请查看 暂停和禁用规则。