我正在寻找创建Kibana观察程序的指针,我想在其中查看日志,并且如果在任何30分钟的时间内,如果我在日志中看到文本“ Security Alert”超过10次,则希望发送警报。
我指的是这篇文章 https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher-create-threshold-alert
文档中尚不清楚如何实现1>读取并过滤并解析字符串2>如何设置相同的计数。
答案 0 :(得分:1)
对于此要求,您应该使用高级观察程序,而不是更简单(功能更弱)的阈值观察程序。在Kibana-Watcher用户界面中,您可以在两种类型之间进行选择。
请参阅 https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher-create-advanced-watch进行介绍,并 https://www.elastic.co/guide/en/elasticsearch/reference/current/how-watcher-works.html了解高级监视程序的语法和总体行为。
因此,根据您在问题中描述的要求,以下是如何实现观察程序(从概念上来说):
30分钟将是触发间隔。
输入部分必须是与“安全警报”文本匹配的适当的Elasticsearch查询
条件类似于“ numberOfHits gte 10”。因此,观察者每30分钟触发一次,但只有在满足条件时,才会执行 actions 。
在“操作”部分中,您需要在可用选项(日志,邮件,闲置消息等)之间进行选择。如果要发送邮件,则需要先设置邮件帐户。
希望我能为您提供帮助。