按文档监控器

按文档监控器是一种告警监控器类型，可用于识别和告警 UDB-SX 索引中的特定文档。例如，您可以使用该监控器来：

• 检测损坏的数据或未经授权的更改。

• 强制执行数据质量策略，例如确保所有文档包含特定字段，或字段值在特定范围内。

• 跟踪特定文档随时间的变化，这对审计和合规目的很有帮助。

按文档监控器不支持跨集群搜索。

定义查询

按文档监控器允许您定义最多 10 个查询，用于将选定字段与期望值进行比较。您可以使用以下运算符定义支持的字段数据类型：

• is（等于）

• is not（不等于）

• is greater than（大于）

• is greater than equal（大于等于）

• is less than（小于）

• is less than equal（小于等于）

您可以使用最多 10 个标签来查询每个触发器，将标签作为单个触发条件添加，而不是指定单个查询。Alerting 插件将所有查询的触发条件作为逻辑 OR 操作处理，因此如果满足任何查询条件，就会触发告警。然后，Alerting 插件会通知 Notifications 插件将告警通知发送到某个通道。

在按文档监控器中，只能使用_标签_——即可以应用于多个查询以与逻辑 OR 操作结合的标签。

文档发现

Alerting 插件创建一个_发现_列表，其中包含有关哪个文档匹配每个查询的元数据。_发现_是按文档监控器查询识别为满足告警条件的文档的记录。发现的关键组件包括文档 ID、时间戳、告警条件详情。发现存储在发现索引 .opensearch-alerting-finding* 中。

Security Analytics 可以使用发现数据来单独跟踪和分析查询数据，与告警流程分离。了解更多，请参阅使用发现。

Alerting API 还提供了一个_文档级监控器_，以编程方式实现与 UDB-SX Dashboards 中的_按文档监控器_相同的功能。了解更多，请参阅文档级监控器。

为防止高摄取量集群中出现大量发现，不建议为每个发现配置告警通知，除非规则定义明确。

每个文档发现条目提供以下元数据：

• Document：文档 ID 和索引名称。例如：Re5akdirhj3fl | test-logs-index。

• Query：匹配文档的查询名称。

• Time found：指示在运行时发现文档的时间戳。