我正在使用Elastalert创建有关ElasticSearch上存储的数据的警报。我需要创建一个规则,使每次运行时都在当前月份进行查询。查询是metric_aggregation,而metric_agg_type是sum。
我尝试了将timestamp_field的范围设置为当前月份的过滤器,但是不起作用。
过滤器: - 范围: “ timestamp_field”: gte:“现在/ M” lt:“现在/ M”
将buffer_time设置为“天数:30”将不起作用,因为我需要当前月份而不是最近30天。
有什么想法可以实现这一目标吗?