« 失败事务率阈值规则 延迟阈值规则 »
Elastic 文档 Elastic Observability [8.17] 事件管理 告警 创建和管理规则

创建库存阈值规则

编辑

创建库存阈值规则

编辑

基于“基础设施”应用程序中基础设施清单页面上列出的资源,您可以创建一个阈值规则,以便在特定资源或基础设施中的一组资源的指标达到或超过某个值时通知您。

此外,每个规则都可以使用多个条件定义,这些条件组合指标和阈值,以创建精确的通知并减少误报。

当您选择创建库存告警时,您在基础设施清单页面上配置的参数将自动填充到规则中。您可以先使用库存来查看您希望收到通知的基础设施中的哪些节点,然后只需点击几下即可快速创建规则。

库存条件
编辑

每个规则的条件可以应用于与您选择的库存类型相关的特定指标。您可以选择聚合类型、指标,并通过包含警告阈值,您可以根据严重性分数收到多个阈值的告警。在创建规则时,如果未返回特定指标的数据,或者规则未能查询 Elasticsearch,您仍然可以收到通知。您还可以设置高级选项,例如在发生告警之前必须满足规则条件的连续运行次数。

在此示例中,Kubernetes Pods 是选定的库存类型。条件说明,如果 ingress-nginx 命名空间中的任何 Pod 的内存使用率达到或超过 95%,您将收到严重告警,如果内存使用率达到或超过 90%,则收到警告告警。图表显示了将规则应用于过去 20 分钟的数据的结果。请注意,图表的时间范围是 在过去 字段中指定的追溯窗口值的 20 倍。

Inventory rule
操作类型
编辑

通过将您的规则连接到使用以下支持的内置集成操作来扩展您的规则。

某些连接器类型是付费商业功能,而其他连接器则是免费的。有关 Elastic 订阅级别的比较,请转到订阅页面

选择连接器后,您必须设置操作频率。您可以选择在每个检查间隔或自定义间隔上创建告警摘要。例如,发送电子邮件通知,汇总每小时的新告警、正在进行的告警和已恢复的告警。

Action types

或者,您可以设置操作频率,以便选择操作的运行频率(例如,在每个检查间隔、仅当告警状态更改时或在自定义操作间隔)。在这种情况下,您可以通过选择特定的阈值条件来精确定义何时触发告警:告警警告已恢复(曾经高于阈值的值现在已降至阈值以下)。

Configure when an alert is triggered

您还可以通过指定操作仅在它们匹配 KQL 查询或在特定时间范围内发生告警时运行,从而进一步优化操作运行的条件。

  • 如果告警与查询匹配:输入 KQL 查询,定义必须满足才能发送通知的字段值对或查询条件。查询仅搜索规则指定的索引中的告警文档。
  • 如果告警在时间范围内生成:设置时间范围详细信息。只有在您定义的时间范围内生成告警时才会发送通知。
Configure a conditional alert
操作变量
编辑

使用默认通知消息或自定义它。您可以通过点击消息文本框上方的图标,并从可用变量列表中选择来向消息添加更多上下文。

Default notification message for infrastructure threshold rules with open "Add variable" popup listing available action variables

以下变量特定于此规则类型。您还可以指定所有规则通用的变量

context.alertDetailsUrl
指向告警故障排除视图的链接,以获取更多上下文和详细信息。如果未配置 server.publicBaseUrl,则这将是一个空字符串。
context.alertState
告警的当前状态。
context.cloud
如果源中可用,则由 ECS 定义的云对象。
context.container
如果源中可用,则由 ECS 定义的容器对象。
context.group
报告数据的组的名称。
context.host
如果源中可用,则由 ECS 定义的主机对象。
context.labels
与触发此告警的实体关联的标签列表。
context.metric
指定条件中的指标名称。用法:(ctx.metric.condition0ctx.metric.condition1 等)。
context.orchestrator
如果源中可用,则由 ECS 定义的编排器对象。
context.originalAlertState
告警恢复之前的状态。这仅在恢复上下文中可用。
context.originalAlertStateWasALERT
告警恢复之前的状态的布尔值。这可以用于模板条件。这仅在恢复上下文中可用。
context.originalAlertStateWasWARNING
告警恢复之前的状态的布尔值。这可以用于模板条件。这仅在恢复上下文中可用。
context.reason
对告警原因的简要描述。
context.tags
与触发此告警的实体关联的标签列表。
context.threshold
指定条件的指标的阈值。用法:(ctx.threshold.condition0ctx.threshold.condition1 等)。
context.timestamp
检测到告警时的时间戳。
context.value
指定条件中的指标值。用法:(ctx.value.condition0ctx.value.condition1 等)。
context.viewInAppUrl
指向告警源的链接。
设置
编辑

对于基础设施阈值规则,无法将显式索引模式设置为配置的一部分。索引模式改为从“基础设施”应用程序的设置页面上的 指标索引推断。

每次执行规则检查时,都会检查 指标索引 设置,但创建规则时不会存储它。

设置 下设置的 时间戳 字段确定查询中用于时间戳的字段。

« 失败事务率阈值规则 延迟阈值规则 »