以下是我的config.yaml和frequency.yaml
config.yaml
rules_folder:rules_folder
run_every: 秒:15
buffer_time: 分钟:1
es_host:localhost
es_port:9200
writeback_index:elastalert_status
alert_time_limit: 天:2
frequency.yaml
es_host:localhost
es_port:9200
名称:错误规则
输入:any
index:logstash - *
num_events:5
时限: 小时:4
timestamp_field:" @ timestamp"
过滤器:
- 术语: 记录:" ERROR" 警报:
- "电子邮件"
电子邮件: - " my@email.com"
我没有点击
INFO:elastalert:查询规则错误规则从2016-09-02 09:33 MDT到2016-09-02 09:34 MDT:0/0点击
信息:elastalert:Ran错误规则从2016-09-02 09:33 MDT到2016-09-02 09:34 MDT:0查询点击,0匹配,0警报已发送
输出 elastalert-test-rule rules_folder / frequency.yaml
INFO:elastalert:查询规则错误规则从2016-09-02 09:47 MDT到2016-09-02 10:32 MDT:0/0点击
本来会将以下文件写入elastalert_status:
elastalert_status - {'点击':0,'匹配':0,' @ timestamp': datetime.datetime(2016,9,2,16,32,32,200330,tzinfo = tzutc()),' rule_name': '错误规则',' starttime&#39 ;: datetime.datetime(2016,9,1,16,32,32,123856, tzinfo = tzutc()),' endtime&#39 ;: datetime.datetime(2016,9,2,16,32,32,123856, tzinfo = tzutc()),' time_taken':0.07315492630004883}
答案 0 :(得分:1)
好的,我能够通过将索引从index:logstash- *更改为index:filebeat- *来解决问题,因为我使用它来索引。希望这有助于某人。
答案 1 :(得分:0)
在输出日志中,您可以找到2016-09-02 09:33 MDT到2016-09-02 09:34 MDT:0/0点击,查询只需1分钟。
尝试将buffer_time设置为超过4小时(buffer_time> timeframe) 您可以参考https://github.com/Yelp/elastalert/issues/668,通过Qmando回复