按文档监控器

2.0 版引入

按文档监视器是一种告警监视器，可用于识别 OpenSearch 索引中的特定文档并发出警报。例如，您可以使用监视器来

• 检测损坏数据或未经授权的更改。
• 强制执行数据质量策略，例如确保所有文档包含某个字段或字段中的值在某个范围内。
• 跟踪特定文档随时间的变化，这有助于审计和合规性目的

按文档监视器不支持跨集群搜索。

定义查询

按文档监视器允许您定义最多 10 个查询，这些查询将选定字段与所需值进行比较。您可以使用以下运算符定义支持的字段数据类型

• 是
• 不是
• 大于
• 大于等于
• 小于
• 小于等于

您可以使用最多 10 个标签查询每个触发器，将标签作为单个触发条件而不是指定单个查询。 告警插件会将所有查询中的触发条件作为逻辑 OR 操作进行处理，因此如果满足任何查询条件，它都会触发警报。然后，告警插件会通知通知插件向某个通道发送告警通知。

在按文档监视器中，您只能使用*标签*（即可以应用于多个查询以通过逻辑 OR 操作将它们组合在一起的标签）。

文档发现

告警插件会创建*发现*列表，其中包含有关哪些文档与每个查询匹配的元数据。*发现*是由按文档监视器查询识别为符合警报条件的文档的记录。发现的关键组成部分包括文档 ID、时间戳、警报条件详细信息。发现存储在发现索引中，即 .opensearch-alerting-finding*。

安全分析可以使用发现数据，将查询数据与警报进程分开跟踪和分析。要了解更多信息，请参阅使用发现。

告警 API 还提供了一个*文档级监视器*，它以编程方式实现 OpenSearch Dashboards 中*按文档监视器*的相同功能。要了解更多信息，请参阅文档级监视器。

为了防止高摄取集群中出现大量发现，除非规则明确定义，否则不建议为每个发现配置警报通知。

每个文档发现条目都提供了以下元数据

• 文档：文档 ID 和索引名称。例如：Re5akdirhj3fl | test-logs-index。
• 查询：与文档匹配的查询名称。
• 发现时间：指示在运行时发现文档的时间戳。