从elastalert文档中可以清楚地看到,每个规则都可以附加任何数量的警报。是否可以将条件附加到每个警报,使得仅当它们与字段值匹配时才将其发送出去?其背后的目的是要有一个通用过滤器,并根据索引中的字段值向每个利益相关者组发送不同的警报。
例如,寻找具有如下条件的能力:
alert:
- email:
from_addr: "xxxx"
email: "user_group_1"
CONDITION:
- FIELD_X: "ZZZ"
- email:
from_addr: "xxx"
email: "user_group_2"
CONDITION:
- FIELD_X: "YYY"