我有一个应用程序,它为处理的每条消息记录一个特定的值。这些日志记录在ELK堆栈中。我在那里有一个Kibana可视化文件,显示了一个条形图,用于显示过去一个小时内这些值的百分位聚合。对我来说很重要的是,平均值超出了异常范围(例如,第99个百分点,第99.9个百分点)。
Kibana可视化效果很好,但是理想情况下,当第99.9个百分点超过某个阈值时,我希望收到警报。
显然,尽管ElastAlert支持基于聚合的警报,但percentiles并不是metric_agg_type配置属性支持的选项之一:
https://elastalert.readthedocs.io/en/latest/ruletypes.html?highlight=aggregation#ruletypes
不幸的是,我对ElastAlert(甚至底层的Elasticsearch本身)的经验水平仍然很薄。我想知道是否还有其他方法可以达到这个特定的狭窄目标?通常,我真的不需要推理百分位桶。我只需要在特定记录数的特定百分位数(第99个)超过阈值时触发警报。如果我可以通过其他类型的(ElastAlert支持)查询获得该第99%的平均值,那很好。谢谢!