如果出现5条具有相同消息的错误,我想使用频率规则来发送警报,但是我不知道该怎么做。请帮助我。
这是我的频率规则。无论消息是什么,如果遇到5个错误,它都会发送警报。我想添加msg.keyword来指定我要对每条错误消息使用此规则。
name: Example frequency rule
type: frequency
index: testing
num_events: 5
timeframe:
hours: 4
timestamp_field: "@timestamp"
filter:
term:
loglevel.keyword: "ERROR"
我想在此处或我不知道的其他地方指定每种消息类型并使用msg.Keyword
alert: "email"
email: "mymail@gmail.com"