我的目标是仅针对独特的错误类型收到警报(Elasticsearch 6.8 + Elastalert)。
示例错误日志(5 个文档,相同的索引,相同的字段):
使用 Elastalert 中的 query_key 我可以确保只收到唯一错误消息的警报。上面的错误消息都是独一无二的,因此我将收到 5 个警报。但是我只想收到 3 个警报,每个错误一个类型。
Elastalert 允许您使用 Elasticsearch 的查询 DSL 编写常规查询。
如果特定字段与其他文档 100% - 90% 相似,有没有办法编写一个过滤掉文档的查询?
我怀疑对此可能有完全不同的解决方案。如果有更好的方法来处理警报或一些最佳做法,请随时分享。