0

当事件数量低于阈值时,我有一个简单的 Flatline 警报。我在每个给定的时间间隔都会收到此警报,即使索引中有很多数据高于阈值。我的配置是:

    (Required)
# Rule name, must be unique
name: fraud-impr-flatline

# (Required)
# Type of alert.
# 
type: flatline

# (Required)
# Index to search, wildcard supported
index: logstash-fraud*

threshold: 100

use_count_query: true
doc_type: fraud-impr

timeframe:
  minutes: 30

# (Required)
# The alert is use when a match is found
alert:
- "email"

# (required, email specific)
# a list of email addresses to send alerts to
email:
- "guruji@zyc.com"

这是一个基本的警报,但我从来没有能够让它工作。我在这里想念什么?

4

1 回答 1

0

查看日志后,发现它正在尝试查询 @timestamp 的时间范围,而我的时间数据在“时间”字段中。将配置更新为timestamp_field: time,一切正常。

于 2016-03-17T08:55:49.610 回答