そのため、(Yelp の) Elastalert で実行されている特定のクエリがあり、いくつかのキーワードのいずれかを含むログを除外しようとしています。anyルール タイプを使用すると、特定のクエリに対して 30 個の一致のセットが得られます。ルールタイプをホワイトリストに変更すると:
type: whitelist
compare_key: message
ignore_null: true
whitelist: ["exclude_strings"...]
メッセージ フィールドにリストされた文字列が含まれていることがわかっている場合でも、同じ 30 件の一致が得られます。また、フィールド全体と正確に一致する文字列を使用して、比較キーまたは文字列を変更しようとしました。フォーマットを次のように変更しました
whitelist:
- "string"
...
そして何も違いはありません。ブラックリストタイプでも同じことが起こります。
私は何が欠けていますか?