2

我需要在凌晨 2 点运行规则,从 0 点到 2 点查询日志,并在找到匹配项时发出警报。

到目前为止我创建的所有规则都是频率规则,但是我不知道如何实现查询的具体时间范围,以及警报的具体时间,有人可以帮忙吗?

(我想 ANY 类型可以让我添加我的时间范围作为过滤器的一部分......但是我怎样才能在每天凌晨 2 点运行规则呢?)

4

2 回答 2

0

在 UTC 中:

filter:
  range:
    "@timestamp":
      gte: "now/d+0h"
      lt: "now/d+2h"
于 2018-09-17T08:38:36.363 回答
0

现在是服务器的时间。

filter:
 - range:
   "@timestamp":
      "from": "now-2h"
       "to": "now"
于 2019-09-05T12:59:56.970 回答