問題タブ [elastalert]

イベントの値を集計する ElastAlert ルールを作成する必要があります。「値」は、ES ドキュメント内のフィールドの 1 つです。たとえば、すべての値の合計または平均が必要です。

私はPythonが初めてなので、そのようなルールの例がどこかにあるかどうか疑問に思っていました.

イベント数がしきい値を下回ったときに警告する単純な Flatline アラートがあります。インデックスのしきい値をはるかに超えるデータが大量にあるにもかかわらず、一定の間隔ごとにこのアラートを受け取り続けます。私の設定は次のとおりです。

これは非常に基本的なアラートですが、これを機能させることができませんでした。ここで何が欠けていますか？

今日からelastalert HEADを使っています。

私はこのルールを使用しています：

そして、実際にスパイクを検出します。ただし、次のメッセージで警告する場合があります。

私は何か間違ったことをしていますか、それともこれはバグですか?

Elasticsearch ホストで elastalert インスタンスを構成しました。また、ログレベルをチェックし、そのパターンがログで一致したときにアラートを出すルールの例も作成しました。

すべてが正常に機能しており、slack チャネルでアラートを正しく受信しています。

唯一の懸念は、私が受け取っているアラートの情報/データです。elastalert プラグインは、探しているパターンに関連付けられたすべての属性を送信しています。しかし、私はすべての情報に興味があるわけではありません。私が気にしているのは、いくつかの特定の属性についてです。

これが私のルールの例です：

Slack チャンネルに表示されるアラートは次のようになります。

そしてETC ETC...

この警告メッセージをカスタマイズして、関心のある属性のみを警告するようにしたいと思います。(ex タイムライン、ログレベルなど)

それを行う方法はありますか？追求するための少しの助けや方向性は非常に高く評価されています.

アラートをテキスト ファイルに書き込むカスタム アラータでカスタム ルールを使用しています。特定のルールのみがこのファイルに書き込まれることを考えると、アラートの前にルールの名前を記述したくありません。

ルール タイプ テキストまたはアラート テキストのみを書き込むオプションはありますか?

または、独自のアラート テキスト タイプを作成するものですか? 理想的には、アラート テキストを ruletype_text のみにしたい

こんにちは、test.yaml ファイルで slack 通知を構成しようとすると、次のエラーが表示されます ERROR:root:Could not load rule /opt/rules/test.yaml: Error initiating alert ['slack', {'slack_webhook_url': ' https:// hooks.slack.com/servicehttps://hooks.slack.com/services/abcd '}]: モジュール slack_webhook_url をインポートできませんでした: アンパックするには複数の値が必要です: "slack" slack_webhook_url: " https://hooks. slack.com/servicehttps://hooks.slack.com/services/abcd " は、スラック アラートを定義する正しい方法です。

elastAlert でルールを作ろうとしています。

構成.yaml

example_rules/example_frequency.yaml:

私がする時 ：

私は得る：

しかし、私がそうするとき python -m elastalert.elastalert --verbose --rule example_frequency.yaml、私はこれを得ます:

なぜ機能しないのですか？ヒットしたクエリが 0 であることを示しています。しかし、なぜわかりませんか。