我们正尝试从Elastic's Watcher工具发送电子邮件警报。诀窍是我们要使用字段的不同值的聚合。
一个例子是这样的查询:
GET /%3Cdata-metrics-%7Bnow%2FM%7BYYYY.MM%7D%7D.*%3E/_search
{
"size": 0,
"aggs" : {
"myagg" : {
"terms" : { "field" : "my_field.keyword"}
}
}
}
响应最终如下所示:
"aggregations": {
"myagg": {
"doc_count_error_upper_bound": 0,
"sum_other_doc_count": 0,
"buckets": [
{
"key": "Value1",
"doc_count": 233
},
{
"key": "Value2",
"doc_count": 17
}
]
}
}
}
我有一个阈值,可以说是1k,我想针对这些字段中的任何一个在750发送警报。
在如何配置输入和条件方面我有些茫然。
任何帮助将不胜感激。