我正在学习使用ElastAlert。我想通过ElasAlert运行多基数规则或使用更好的解决方案。
例如,
filter:
- query:
query_string:
query: "message: *A*"
filter:
- query:
query_string:
query: "message: *B*"
filter:
- query:
query_string:
query: "message: *C*"
我几乎没有需要监控的条件,其中任何一条每分钟低于1条消息我都需要收到一个改动。这可以在一个规则中运行,还是可以在多个进程中运行?
答案 0 :(得分:0)
您可以配置您的rule_x.yaml文件,如
过滤器: - 查询: 请求参数: 查询:"消息:或消息:B或消息:C"
并按照文档中的其他配置选项进行操作 https://elastalert.readthedocs.io/en/latest/
答案 1 :(得分:0)
filter:
- query:
query_string:
query: '"message: A OR message: B OR message: C"'
作为说明: 使用单引号传递您的elasticsearch查询,因为它在''(即单引号)
内