创建和管理自定义警报

使用InsightIDR,当内置警报不适合您的需要时,您可以选择创建自定义警报。

有三种自定义警报:

属性中还可以指定更细粒度的信息自定义警报详细信息,管理您的自定义警报

缺乏运动检测警报

也称为“Up - Down Monitoring”,不活动警报可用于在整个日志、日志组或特定模式在给定时间段变为不活动时向您发出通知。

非活动警报对于必须持续运行的系统资产(例如关键服务器)非常有用。设置不活动时间窗口的功能使您可以控制数据、环境和资产,并允许进行损害控制和防止数据丢失。

不报警的行为

不活动警报将分别监视每个日志。例如,如果警报正在跨两个日志监视特定的事件,并且在给定的时间框架中,事件发生在第一个日志中,而不是在第二个日志中,则会针对第二个日志触发警报。一旦检测到不活动并触发了一个警报,如果该模式或日志仍然处于不活动状态,则只会收到一个警报。活动将需要恢复以重新启动监视。

在日志搜索页面,您可以用两种不同的方式创建警报:

  • 填写一个警告
  • 手动配置警报

您总是可以在配置期间切换到不同的警报类型。

填写一个警告

要自动填充警报:

  1. 进入“日志查询”页面。
  2. 在警报中选择您想要的日志或日志集,或者使用搜索查询查找特定的日志集。
  3. 在右上角,选择添加提醒按钮,并根据所选日志选择告警类型。这时将出现“创建警报”面板,其中已经预先填充了适用的步骤。
  4. 在“Name”字段中,为您的警报命名。可选地提供描述。
  1. 可选地,选择下一个按钮以完成触发器部分。
  2. 单击跳过提醒链接。
  3. 在“警报通知”一节中,定义如何接收通知。阅读更多关于通知设置
  4. 定义通知节流来控制在接收警报之前日志或日志集处于不活动状态的时间,以及控制将接收的警报通知数量的节流。阅读更多关于警报节流
  5. 点击创建警报。

默认情况下,通知是启用的。单击提醒通知切换到关闭所有通知。

手动创建警报

配置不活动警告:

  1. 在InsightIDR中,选择管理警报页,或选择日志搜索页从左边的菜单。
  2. 在右上角,选择添加提醒按钮。将出现一个空的警告页面。
  3. 选择缺乏运动检测报警。
  4. 在“名称”部分,命名您的警报。
  5. 在“日志”部分中,选择一个或多个要在警报中使用的日志或日志集。
  6. 在可选的“Trigger”部分中,选择一个已保存的查询或可选地使用关键字正则表达式
    • 如果您没有添加触发器或模式,警报将自动使用日志来检测不活动。
  7. (可选)单击+或按钮以添加要在相同日志上监视的另一个模式。
  8. 在“触发器设置”中,自定义日志或模式在触发警报之前必须处于非活动状态的时间量。默认情况下,五天的非活动期将触发警报。
  1. 在“警报通知”一节中,定义如何接收通知。阅读更多关于通知设置
  2. 定义通知节流来控制在接收警报之前日志或日志集处于不活动状态的时间,以及控制将接收的警报通知数量的节流。阅读更多关于警报节流
  3. 点击创建警报。

模式检测警报

为了触发警报,日志必须与您作为搜索词输入的模式完全匹配。

模式警报在监视服务器错误、关键异常和一般性能等情况下非常有用,并且只允许监视对您重要的事件。

在日志搜索页面上,您可以用两种不同的方式创建模式检测警报:

  • 填写一个警告
  • 手动配置警报

填写一个警告

要自动填充警报:

  1. 进入“日志查询”页面。
  2. 在警报中选择您想要的日志或日志集,或使用搜索查询来查找特定的日志集。
  3. 在右上角,单击添加提醒按钮,并根据所选日志选择告警类型。“创建警报”面板将显示预先填充的适用步骤。
  4. 在“名称”部分,为您的警告命名,并可选地添加描述。
  5. 选择下一个按钮以完成触发器部分。
  6. 单击跳过提醒链接。
  7. 在“警报通知”部分中,选择是要将标签应用到模式还是从电子邮件或其他集成接收警报。看到提醒设置因为更多的信息。
  1. 选择所需的通知触发器设置。您将不会收到此特定警报以外的警报。
  2. 定义通知节流来控制在特定时间窗口内收到的通知数量。
  3. 点击创建警报。

手动创建警报

配置模式检测警报:

  1. 在InsightIDR中,选择管理警报页,或选择日志搜索页从左边的菜单。
  2. 在右上角,选择添加提醒按钮。将出现一个空的警告页面。
  3. 选择模式检测警报。
  4. 在“名称”部分,命名您的警报。
  5. 在“日志”部分中,选择一个或多个要在警报中使用的日志或日志集。
  6. 在“Trigger”部分中,选择一个已保存的查询或使用关键字正则表达式
  7. (可选)单击+或按钮,以在相同的日志上增加五个模式。
  8. 在“警报通知”部分中,选择是否要将标签应用到模式,还是从电子邮件或其他集成接收警报。或者,你可以两者都选。看到提醒设置为更多的信息。
  1. 选择您想要的通知触发器设置。您将不会收到此特定警报以外的警报。
  2. 定义通知节流来控制在特定时间窗口内收到的警报数量。
  3. 点击创建警报。

变化检测警报

变更检测警报将在条件改变时通知您,例如web访问日志中的HTTP 500错误。它们基于应用于日志或日志集的计算。

变更检测将帮助您在出现问题且必须立即解决的情况下,或出现必须升级的错误时,保持在关键条件的顶端。此警报将减少您调查和解决任何错误的时间。

在日志搜索页面,您可以用两种不同的方式创建警报:

  • 填写一个警告
  • 手动配置警报

填写一个警告

要自动填充警报:

  1. 进入“日志查询”页面。
  2. 在警报中选择您想要的日志或日志集,或者使用搜索查询查找特定的日志集。
  3. 在右上角,选择添加提醒按钮,并根据所选日志选择告警类型。这时将出现“创建警报”面板,其中已经预先填充了适用的步骤。
  4. 在“Name”字段中,为您的警报命名。可选地提供描述。
  5. 如果适用,选择下一个按钮以完成触发器部分。阅读更多关于提醒设置
  1. 单击跳过提醒链接。
  2. 在“警报通知”一节中,定义如何接收通知。阅读更多关于提醒设置
  3. 定义通知节流来控制在特定时间窗口内收到的警报数量。
  4. 点击创建警报。

手动配置警报

手动配置更改检测警报:

  1. 在InsightIDR中,选择管理警报页,或选择日志搜索页从左边的菜单。
  2. 在右上角,选择添加提醒按钮。将出现一个空的警告页面。
  3. 选择变化检测警报。
  4. 在“名称”部分,为您的警告命名,并可选地添加描述。
  5. 在“日志”部分中,选择一个或多个要在警报中使用的日志或日志集。
  6. 在“Trigger”部分中,选择一个已保存的查询或可选地使用关键字正则表达式LEQL
    • 新的查询要求您指定要使用的计算和应用该计算的键。基于计算的任何密钥更改都会触发警报。
  7. 还可以定制通知设置,以在触发警报之前定义更改的严重程度。
  1. (可选)单击+或按钮以在相同的日志上添加另一个模式检测警报。
  2. 在“警报通知”一节中,定义如何接收通知。阅读更多关于提醒设置
  3. 定义通知节流来控制在特定时间窗口内收到的警报数量。
  4. 点击创建警报。

管理警报

要管理现有警报,请执行以下操作:

  1. 从左侧导航菜单中选择检测规则>自定义告警。
  2. 在警告的右侧,点击铅笔图标来编辑警报。
  3. 如果适用,选择复选框启用警报。
  4. 单击垃圾桶图标以删除警报。
  5. 选择一个广播按钮以选择对所有自定义警报的批量操作,然后单击应用按钮。