イベント数がしきい値を下回ったときに警告する単純な Flatline アラートがあります。インデックスのしきい値をはるかに超えるデータが大量にあるにもかかわらず、一定の間隔ごとにこのアラートを受け取り続けます。私の設定は次のとおりです。
(Required)
# Rule name, must be unique
name: fraud-impr-flatline
# (Required)
# Type of alert.
#
type: flatline
# (Required)
# Index to search, wildcard supported
index: logstash-fraud*
threshold: 100
use_count_query: true
doc_type: fraud-impr
timeframe:
minutes: 30
# (Required)
# The alert is use when a match is found
alert:
- "email"
# (required, email specific)
# a list of email addresses to send alerts to
email:
- "guruji@zyc.com"
これは非常に基本的なアラートですが、これを機能させることができませんでした。ここで何が欠けていますか?