操作
操作在触发条件满足时发送通知。请参阅 Notifications 了解如何创建通知。如果您不想接收通知,请不要向触发器添加操作。
添加操作
要添加操作:
在 Triggers 面板中,选择 Add action。
在 Notification 部分输入操作详细信息,包括操作名称、通知通道和通知消息正文。
您可以使用 Mustache 模板 向消息中添加变量。您可以访问
ctx.action.name(当前操作的名称)以及所有操作变量。如果您的通知通道是期望特定数据格式的自定义 webhook,请直接在消息正文中包含 JSON(或 XML):
{ "text": "Monitor {{ctx.monitor.name}} just entered alert status. Please investigate the issue. - Trigger: {{ctx.trigger.name}} - Severity: {{ctx.trigger.severity}} - Period start: {{ctx.periodStart}} - Period end: {{ctx.periodEnd}}" }在前面的示例中,消息内容必须符合 自定义 webhook 中的
Content-Type头部。如果您使用桶级监控器,请选择监控器应为每次执行还是为每个告警执行操作。
(可选)使用操作限制来限制在给定时间范围内接收的通知数量。
例如,如果监控器每分钟检查一次触发条件,您可能每分钟收到一个通知。如果将操作限制设置为 60 分钟,即使在该小时内触发条件满足数十次,您每小时最多也只收到一个通知。
选择 Create。
操作发送消息后,该消息的内容已超出 Security Analytics 插件的管辖范围。确保消息访问安全(例如,对 Slack 通道的访问)是您的责任。
示例消息
Monitor {{ctx.monitor.name}} just entered an alert state. Please investigate the issue.
- Trigger: {{ctx.trigger.name}}
- Severity: {{ctx.trigger.severity}}
- Period start: {{ctx.periodStart}}
- Period end: {{ctx.periodEnd}}
要在消息中使用 ctx.results 变量,请使用 {{ctx.results.0}} 而不是 {{ctx.results[0]}}。这种差异是由于 Mustache 处理括号表示法的方式造成的。
操作变量
| 变量 | 数据类型 | 描述 |
|---|---|---|
ctx.trigger.actions.id |
字符串 | 操作 ID。 |
ctx.trigger.actions.name |
字符串 | 操作名称。 |
ctx.trigger.actions.message_template.source |
字符串 | 告警中要发送的消息。 |
ctx.trigger.actions.message_template.lang |
字符串 | 用于定义消息的脚本语言。必须是 Mustache。 |
ctx.trigger.actions.throttle_enabled |
布尔值 | 此触发器是否启用了限制。有关限制的更多信息,请参阅添加操作。 |
ctx.trigger.actions.subject_template.source |
字符串 | 告警中消息的主题。 |
ctx.trigger.actions.subject_template.lang |
字符串 | 用于定义主题的脚本语言。必须是 Mustache。 |