0

以下是我的 config.yaml 和 frequency.yaml

配置.yaml

规则文件夹:规则文件夹

run_every:秒:15

buffer_time:分钟:1

es_host:本地主机

es_port:9200

writeback_index: elastalert_status

alert_time_limit:天:2

频率.yaml

es_host:本地主机

es_port:9200

名称:错误规则

类型:任何

索引:logstash-*

事件数:5

时间:小时:4

时间戳字段:“@timestamp”

筛选:

  • 术语:日志:“错误”警报:
  • “电子邮件”

电子邮件:-“my@email.com”

我没有得到任何点击

INFO:elastalert:查询规则错误规则从 2016-09-02 09:33 MDT 到 2016-09-02 09:34 MDT: 0 / 0 hits

信息:elastalert:从 2016 年 9 月 2 日 09:33 MDT 到 2016 年 9 月 2 日 09:34 MDT 运行错误规则:0 个查询命中,0 个匹配项,0 个警报发送

elastalert -test-rule rules_folder/frequency.yaml 的输出

INFO:elastalert:查询规则错误规则从 2016-09-02 09:47 MDT 到 2016-09-02 10:32 MDT: 0 / 0 hits

会向 elastalert_status 写入以下文件:

elastalert_status - {'hits': 0, 'matches': 0, '@timestamp': datetime.datetime(2016, 9, 2, 16, 32, 32, 200330, tzinfo=tzutc()), 'rule_name': '错误规则', 'starttime': datetime.datetime(2016, 9, 1, 16, 32, 32, 123856, tzinfo=tzutc()), 'endtime': datetime.datetime(2016, 9, 2, 16, 32 , 32, 123856, tzinfo=tzutc()), 'time_taken': 0.07315492630004883}

4

2 回答 2

1

好的,我能够通过将索引从 index: logstash-* 更改为 index: filebeat-* 来解决问题,因为我使用它来索引。希望这可以帮助某人。

于 2016-09-02T17:24:44.043 回答
0

在输出日志中,您可以发现 2016-09-02 09:33 MDT 到 2016-09-02 09:34 MDT: 0 / 0 hits,查询仅 1 分钟。

尝试将您的 buffer_time 设置为超过 4 小时(buffer_time > timeframe),您可以参考https://github.com/Yelp/elastalert/issues/668,由 Qmando 回复

于 2016-10-03T06:48:48.147 回答