作为一直在写代码,研究功能的人,突然要承担起设计任务,做产品经理的活,说老实话还是很不适应的,做技术习惯看到的才算数,钉是钉卯是卯,可能性很多,可靠性永远都不够。
而设计这活就要讲究从无到有,既要有高度又要有可行性,既要全局思考又要细节到位,既要考虑可能性又要考虑合理性, 这是一个全方位讨价还价的活
以下来自于kimi
作为资深产品经理,我会把 ElastAlert 的 YAML "后端思维"彻底包装成"业务思维":
让写规则的人一眼看懂"我要监控谁、什么时候算异常、怎么通知",
让值班的人一眼看懂"现在有多少事、要不要升 P1"。
因此整个设计分两步:
① 把"写规则"拆成 4 张连贯的 UI 卡片(= 告警策略配置界面);
② 把"看事件"做成 1 个三层漏斗式视图(= 告警事件展示界面)。
下面直接给低保真原型 + 字段逻辑,研发可以照抄落地。
一、告警规则配置界面(Web 表单驱动,零 YAML)
-
选择规则模板(Template)
用"场景化"代替"rule_type"术语,默认 6 大模板:
- 错误日志突增(frequency)
- 流量掉零(flatline)
- 关键字出现(any)
- 指标超阈值(metric_aggregation)
- 环比突升/突降(spike)
- 新异常码出现(new_term)
选中后,后台自动映射到对应 rule_type,并动态切换后续表单。
-
来源 & 过滤(Scope)
统一用"索引模式 + KQL" 两段式:
- 索引模式:下拉自动拉取 ES cat indices,支持通配符,如 nginx-*-2025.09.09
- 过滤条件:Kibana 同款 KQL 输入框(后端转 ES DSL),下方实时显示"近 15 min 命中 3.2k 条"做校验
→ 把 ElastAlert 的 filter→bool→must 全部藏在后端
-
触发条件(Trigger)
根据模板动态渲染:
- 错误日志突增:
├─ 时间窗口 5 min
├─ 触发阈值 ≥ 50 条
└─ 分组字段 server.ip(可选,支持多选,后台生成 aggregation) - 指标超阈值:
├─ 指标字段 nginx.response_time
├─ 聚合方式 P99
├─ 触发阈值 ≥ 1000 ms
└─ 持续时间 3 min
所有时间粒度统一用"分钟"单选,避免 run_every/timeframe 暴露给用户。
- 错误日志突增:
-
通知 & 抑制(Notify)
- 通知人:支持"值班组"概念,对接内部 OA 组织树,单选/多选
- 通知方式:邮件、企业微信、钉钉、飞书、Webhook 多选;首次默认"企业微信 + 邮件"
- 告警抑制:
├─ 重复告警间隔 10 min(realert)
├─ 是否发送恢复通知 是/否
└─ 最大升级次数 3 次(连续 N 次触发后自动提高优先级,后台改 es_priority 字段) - 高级开关:自定义告警标题、内容模板(Monaco 编辑器,带变量提示 {rule.name} {matchfield})
保存后:
前端一次性 POST JSON → 后端做参数校验 → 自动生成 YAML 存 Git → 调用 ElastAlert API reload。
整个流程 4 步完成,平均 60 秒可配一条规则。
二、告警事件展示界面(三层漏斗:大盘 → 列表 → 详情)
-
大盘(Top Dashboard)
全局视角,仅 4 个核心指标:
- 今日新增事件数(按 severity 分色)
- 未恢复事件数(P1/P2/P3 饼图)
- 告警 Top5 规则(条形图,一眼看出"哪个业务最吵")
- 近 24h 告警趋势(面积图,发现周期性抖动)
顶部留"一键静音"按钮:支持按规则/按索引/按标签批量屏蔽 30min/1h/自定义。
-
事件列表(Alert List)
默认展示"未恢复"事件,支持快速筛选:
- 时间:近 1h/6h/24h/自定义
- 等级:P1/P2/P3
- 规则:模糊搜索
- 标签:业务线、集群、环境
表格字段:
等级图标 事件标题 | 规则名 | 最新触发时间 | 持续时长 | 命中条数 | 操作(认领/关闭/加备注)
持续时长实时刷新(WebSocket),颜色阶梯:≤30min 黄、>2h 橙、>6h 红。
-
事件详情(Alert Detail)
右侧抽屉,分四块:
- 异常摘要:触发条件、阈值、实际值、趋势迷你图(Sparkline)
- 原始日志:直接嵌入 Kibana Discover iframe,time range 已锁定,免二次登录
- 处理记录:类似工单回复,支持上传图片、@人
- 关联事件:根据"索引+字段+近 1h"自动聚合,防止重复工单
三、权限 & 体验细节
-
权限模型:
规则配置采用"业务空间"隔离,空间内 RBAC:viewer/operator/admin;
事件查看对接值班系统,只允许看"我负责的业务线"。
-
引导式文案:
所有阈值输入框旁边放"参考值":近 7 天 95 分位,避免用户拍脑袋。
-
规则测试:
配置页右上角常驻"测试"按钮,一键拉取近 1h 数据回灌,返回"会触发几次"结果,0 代码验证。
-
版本回滚:
规则保存即生成版本号,支持 diff 对比与一键回滚,误配也能 10 秒恢复。
四、落地路径(MVP → 迭代)
MVP(2 周):
- 先做"错误日志突增"单模板 + 企业微信通知 + 事件列表,让 1 个业务线跑通。
V1.0(1 个月):
- 补齐 6 大模板、索引自动补全、KQL 高亮、大盘 4 图表。
V1.5(2 个月):
- 加入"恢复通知""值班组""告警升级""一键静音"。
V2.0(3 个月):
- 规则市场(可复制他人模板)、AI 阈值推荐、移动端小程序推送。
一句话总结
把 ElastAlert 的"写 YAML → 看日志 → 人工盯屏"
变成"选模板 → 点按钮 → 看大盘 → 当工单处理",
让日志告警从"运维专家工具"降级为"研发自助服务",
这才是产品经理的价值。