我正在尝试使用ElastAlert规则匹配日志消息有效负载中的子字符串notify=warning或notify="warning",到目前为止,使用我在下面包含的规则过滤器,结果不太理想:
filter:
- query:
query_string:
query: "message:\"notify=warning\" OR message:\"notify=\"warning\"\""
我正在搜索的子字符串位于message字段的中间,但我的过滤器的结果与引用的“警告”不匹配,它也会选择只有“警告”字样的消息“ 在他们中。任何帮助修复我的比赛将不胜感激。
答案 0 :(得分:0)
您可以尝试使用“.keyword”来完全匹配。
e.g。
query: "message.keyword:\"notify=warning\" OR message:\"notify=\"warning\"\""