我需要在凌晨2点运行规则,从0到凌晨2点查询日志,并在找到匹配项时发出警报。
到目前为止,我创建的所有规则都是频率规则,但我不知道如何实现查询的具体时间范围,以及警报的具体时间,有人可以帮忙吗?
(我猜任何类型都可以让我添加我的时间范围作为过滤器的一部分......但是我怎样才能在每天凌晨2点运行规则?)
答案 0 :(得分:0)
在UTC中:
filter:
range:
"@timestamp":
gte: "now/d+0h"
lt: "now/d+2h"
答案 1 :(得分:0)
现在是服务器的时间。
filter:
- range:
"@timestamp":
"from": "now-2h"
"to": "now"