Watcher

Kibana Alertingは、APM、Metrics、Security、Uptimeなどのアプリケーションと統合された一連の組み込みアクションとアラートを提供します。Kibana Alertingを使用して、さまざまなKibanaアプリ内の複雑な条件を検出し、それらの条件が満たされたときにアクションをトリガーできます。詳細については、Alerting and actionsを参照してください。

Watcherを使用して、データの変更や異常を監視し、それに応じて必要なアクションを実行できます。たとえば、次のようなことを行うことができます:

  • ソーシャルメディアを監視して、ATMやチケットシステムなどのユーザー向け自動化システムの障害を検出する別の方法として利用します。特定の地域でのツイートや投稿の数が重要な閾値を超えた場合、サービス技術者に通知します。
  • インフラストラクチャを監視し、時間の経過とともにディスク使用量を追跡します。サーバーのいずれかが今後数日以内に空き容量が不足する可能性がある場合、ヘルプデスクチケットを開きます。
  • ネットワーク活動を追跡して悪意のある活動を検出し、悪意のあるユーザーを拒否するためにファイアウォールの設定を積極的に変更します。
  • Elasticsearchを監視し、ノードがクラスターを離れたり、クエリのスループットが予想範囲を超えた場合にシステム管理者に即時通知を送信します。
  • アプリケーションの応答時間を追跡し、ページの読み込み時間が5分以上SLAを超えた場合、ヘルプデスクチケットを開きます。SLAが1時間を超えた場合、当直の管理者にページを送信します。

これらのユースケースには、いくつかの重要な特性が共通しています:

  • 関連するデータまたはデータの変更は、定期的なElasticsearchクエリで特定できます。
  • クエリの結果は条件と照合できます。
  • 条件が真である場合、1つ以上のアクションが実行されます—メールが送信され、サードパーティシステムに通知されるか、クエリ結果が保存されます。

How watches work

アラート機能は、watchesを作成、管理、テストするためのAPIを提供します。ウォッチは単一のアラートを説明し、複数の通知アクションを含むことができます。

ウォッチは、4つのシンプルな構成要素から構成されます:

  • スケジュール
  • クエリを実行し、条件をチェックするためのスケジュール。
  • クエリ
  • 条件への入力として実行するクエリ。ウォッチは、集計を含む完全なElasticsearchクエリ言語をサポートしています。
  • 条件
  • アクションを実行するかどうかを決定する条件。単純な条件(常に真)を使用するか、より洗練されたシナリオのためにスクリプトを使用できます。
  • アクション
  • メール送信、Webhookを介してサードパーティシステムにデータをプッシュする、またはクエリの結果をインデックスするなど、1つ以上のアクション。

すべてのウォッチの完全な履歴は、Elasticsearchインデックスに保持されます。この履歴は、ウォッチがトリガーされるたびに追跡し、クエリの結果、条件が満たされたかどうか、実行されたアクションを記録します。