ElastAlert の使い方を学んでいます。ElasAlert またはより良いソリューションを使用して、複数のカーディナリティ ルールを実行したいと考えています。
例えば、
filter:
- query:
query_string:
query: "message: *A*"
filter:
- query:
query_string:
query: "message: *B*"
filter:
- query:
query_string:
query: "message: *C*"
監視する必要がある状態はほとんどありません。1 分間に 1 メッセージ未満の場合は、変更を受信する必要があります。1 つのルールで実行することは可能ですか、それとも複数のプロセスで実行することはできますか?