0

我正在学习使用 ElastAlert。我想通过 ElasAlert 运行多基数规则或使用更好的解决方案。

例如,

filter:
- query:
    query_string:
      query: "message: *A*"

filter:
- query:
    query_string:
      query: "message: *B*"

filter:
- query:
    query_string:
      query: "message: *C*"

我几乎没有需要监控的情况,其中任何一个低于每分钟 1 条消息我都需要收到更改。是否可以在一个规则中运行,或者我可以在多个进程中运行它?

4

2 回答 2

0

您可以配置您的 rule_x.yaml 文件,如

过滤器:-查询:query_string:查询:“消息:A OR 消息:B OR 消息:C”

并遵循文档中的其他配置选项 https://elastalert.readthedocs.io/en/latest/

于 2016-07-20T05:34:00.607 回答
0 
筛选:
- 询问:
    请求参数:
        查询:'“消息:A OR 消息:B OR 消息:C”'

注意:使用单引号传递您的弹性搜索查询,因为它在 '' 内(即单引号)

于 2017-05-20T01:54:12.837 回答