3.5.2.Kibana的Alert

创作人：金端/扈臣聪

审稿人：周海清

Kibana 的 Alert 模块主要用于 Elastic Stack 的监控告警。以一种相对较低的使用成本，将复杂的查询条件，编辑完成后监控不同的 Elastic Stack 的技术产品中产生的数据，最终把符合条件的告警信息以需要的方式反馈给用户。

Alert 的组成

Alert 主要由三个部分组成：

Condition 条件

也是 Alert Type，检测需要执行的查询或者统计。

Condition 的概念执行主要由 alert type 承担。Alert Type 通过简单的参数设置将涉及 Elasticsearch 的查询结果和其它数据源的复杂计算完美实现。比如：监控的程序 APM 数据2分钟内 CPU 使用均值高于0.9；某个业务数据索引中，10分钟内购买失败次数占比超总量的30%等等。

Schedule 检测周期

Alert 的执行周期。Schedule 的设置按照每隔多久循环来设置，从每秒到每月不等，但并不能设置具体哪月哪天。

Action 告警动作

即满足告警条件后需要执行的操作，主要是将需要的告警信息发送给第三方系统，在 Kibana 后台执行。

Action 可以分解为三个要素：

l action type，发送的第三方系统类型定义。

l connection，告警发送的连接信息，比如email的host和端口等。

l properties，告警信息所需要引用的参数值。

Alert 与 Elasticsearch 的 Watcher不同的是，Alert 运行在 Kibana 而不是 Elasticsearch。

在更高的层次上，Kibana Alert 允许跨用例（如 APM、Metrics、Scurity 和 Uptime）进行丰富的集成。预先打包的 Alert Type 简化了设置，隐藏了复杂的检测细节，同时提供了跨

Kibana 的一致接口。

《Elastic Stack 实战手册》——三、产品能力——3.5 进阶篇——3.5.2.Kibana的Alert(2) https://developer.aliyun.com/article/1228797