我今天使用的是elastalert HEAD。
我正在使用此规则:
es_host: *******
es_port: 443
use_ssl: True
name: Mike Learning Two
type: spike
index: cwl-*
threshold: 2
timeframe:
minutes: 1
spike_height: 2
spike_type: "up"
filter:
- query:
query_string:
query: "status:404"
alert:
- "debug"
它确实检测到尖峰。但有时它会发出以下消息警告:
INFO:elastalert:Alert for Mike Learning Two at 2016-03-30T08:27:52.137927Z:
INFO:elastalert:Mike Learning Two
An abnormal number (0) of events occurred around 2016-03-30 08:27 UTC.
Preceding that time, there were only 0 events within 0:01:00
@timestamp: 2016-03-30T08:27:52.137927Z
reference_count: 0
spike_count: 0
我做错了什么还是这个错误?
答案 0 :(得分:2)
在没有得到SO的回答后,我在Elastalert Github上发布了一个问题。
https://github.com/Yelp/elastalert/issues/455
他们的回答是:
呀。我想这是一个错误。你应该设置 threshold_ref或threshold_cur而不是阈值。示例规则 已过时且不正确,不应设置任何一个值 在一个错误。我的错误是因为配置格式发生了变化而忽略了它。