关于构建块规则
编辑关于构建块规则
编辑当您不希望在 UI 中看到其生成的告警时,可以创建构建块规则。这在您需要以下情况时非常有用:
- 低风险告警的记录,而不会在“告警”表中产生噪音。
- 在告警索引 (
.alerts-security.alerts-<kibana space>) 上执行的规则。然后,您可以使用构建块规则创建隐藏告警,作为普通规则生成可见告警的基础。
设置在告警索引上运行的规则
编辑要创建搜索告警索引的规则,请选择规则的索引模式作为来源,并输入告警索引的索引模式 (.alerts-security.alerts-*)
在 UI 中查看构建块告警
编辑默认情况下,构建块告警将从“概览”和“告警”页面中排除。您可以选择在“告警”页面上包含构建块告警,这将扩展告警数量。
- 在导航菜单中找到告警,或使用全局搜索字段。
- 在“告警”表中,选择其他过滤器 → 包含构建块告警(位于最右侧)。
在构建块规则详细信息页面上,将显示规则的告警(默认情况下,已选择包含构建块告警)。