集群警告和索引事件

Alerting on Cluster and Index Events　

　　您可以观察数据中的更改或异常情况，并执行必要的操作。例如，你可能希望：

• 监控社交媒体是检测像自动柜员机或票务系统等面向用户的自动化系统中的故障的另一种方法。当一个区域内的微博和帖子数量超过重要的阈值时，通知维修技术人员。
• 监控您的基础设施，跟踪磁盘使用情况。任何服务器在未来几天可能会耗尽可用空间时，请打开一个帮助台。
• 跟踪网络活动以检测恶意活动，并主动更改防火墙配置以拒绝恶意用户。
• 监控elasticsearch，如果节点离开群集或查询吞吐量超过预期范围，则立即向系统管理员发送通知。
• 跟踪应用程序响应时间，如果页面加载时间超过SLA5分钟以上，请打开一个帮助台。如果超过SLA一个小时，请呼叫值班管理员。

　　所有这些用例共享一些关键属性：

• 可以使用周期性Elasticsearch查询来识别相关数据或数据的更改。
• 可以根据条件检查查询的结果。
• 如果条件为真，则发送一个或多个操作 - 发送电子邮件，通知第三方系统或存储查询结果。

How Watches Work

　　X-Pack提供API以创建，管理和测试监控。一个监控描述为单个警报，并且可以包含多个通知操作。

　　监控由四个简单的部分组成：

　　Schedule

　　　　运行查询并检查条件的计划。

　　Query

　　　　该查询作为输入条件在运行。监控支持完成的Elasticsearch查询语言，包括聚合。

　　Condition

　　　　确定是否执行动作的条件。你可以简单的使用条件（始终为真），或者使用交易编写更复杂的场景。

　　Actions

　　　　一个或多个操作，例如发送电子邮件，通过webhook将数据推送到第三方系统，或索引查询的结果。

　　所有监控的完整历史都保留在Elasticsearch索引中。这个历史记录会记录每次触发监控的时间，并记录来自查询的结果，条件是否满足，以及采取了哪些操作。

原文地址：https://www.elastic.co/guide/en/x-pack/5.0/xpack-alerting.html