今日我們要介紹一下Kibana內的警報功能，在Elastic Stack 內有提供Kibana Alerting來做監控和警报通知，此功能有分費和免費版本，免費版本只能使用Index和Server Log，而付費版更支援多種的警報通知，如: Email、Slack、Webhook等方式，接下來我們就準備開始分享如使用Alerts功能。

Alert的組成

Alert主要是由三個部分組成: Conditions、Schedule、Actions。

Conditions
執行時需要符合的查詢條件。

Schedule
設定每隔多久需要觸發執行。

Actions
滿足警報條件後需要進行的操作。

Action分為三個要素:

• action type: 發送警報通知的第三方類型。
• connection: 警報發送的連接資訊，如: 索引寫入的名稱、email的host和port等。
• properties，警報發送的內容。

圖片來源

開啟Alerts功能

第一次啟用需在kibana.yml，設定加入pack.encryptedSavedObjects.encryptionKey

透過kibana-encryption-keys的指令來產生encryptionKey

./bin/kibana-encryption-keys generate

執行完畢後，就會產生類似下面的資料。

xpack.encryptedSavedObjects.encryptionKey: xxxxxxxxxxx
xpack.reporting.encryptionKey: xxxxxxxxxxx
xpack.security.encryptionKey: xxxxxxxxxxx

將產生的encryptionKey加入kibana.yml後，再重新啟動kibana。

小結

接下來會分享要如何設定監控警報，讓我們的系統也能第一時間把監控的訊息反應給用戶。

Reference

• https://www.elastic.co/guide/en/kibana/current/alerting-getting-started.html