观察者
edit观察器
editKibana 告警提供了一组内置的操作和告警,这些操作和告警与 APM、Metrics、Security 和 Uptime 等应用程序集成。您可以使用 Kibana 告警来检测不同 Kibana 应用程序中的复杂条件,并在满足这些条件时触发操作。更多信息,请参阅 告警和操作。
您可以使用 Watcher 来监控数据中的变化或异常,并执行必要的响应操作。例如,您可能希望:
- 监控社交媒体,作为检测面向用户的自动化系统(如ATM或售票系统)故障的另一种方式。当某个地区的推文和帖子数量超过显著性阈值时,通知服务技术人员。
- 监控您的基础设施,跟踪磁盘使用情况。当任何服务器在未来几天内可能耗尽可用空间时,打开一个帮助台工单。
- 跟踪网络活动以检测恶意行为,并主动更改防火墙配置以拒绝恶意用户。
- 监控Elasticsearch,如果节点离开集群或查询吞吐量超过预期范围,立即通知系统管理员。
- 跟踪应用程序响应时间,如果页面加载时间超过SLA超过5分钟,打开一个帮助台工单。如果SLA超过1小时,通知值班管理员。
所有这些用例都共享一些关键属性:
- 可以通过定期的Elasticsearch查询来识别相关的数据或数据的变化。
- 可以将查询结果与条件进行比对。
- 如果条件为真,则执行一个或多个操作——发送电子邮件、通知第三方系统或存储查询结果。
手表的工作原理
edit警报功能提供了一个用于创建、管理和测试监视器的API。 一个监视器描述了一个单独的警报,并且可以包含多个通知操作。
一块手表由四个简单的构建模块组成:
- Schedule
- 运行查询和检查条件的计划。
- Query
- 作为条件输入运行的查询。Watches 支持完整的 Elasticsearch 查询语言,包括聚合。
- Condition
- 一个决定是否执行操作的条件。 你可以使用简单的条件(总是为真),或者使用脚本来实现更复杂的场景。
- Actions
- 一个或多个操作,例如发送电子邮件,通过webhook将数据推送到第三方系统,或索引查询结果。
所有监视的完整历史记录都保存在一个Elasticsearch索引中。此历史记录跟踪每次监视被触发的时间,并记录查询的结果、是否满足条件以及采取了哪些操作。