ElastAlert 更新与 elasticsearch 中 elastalert_status 索引中的规则相关的元数据。该索引中可用的字段具有以下字段:
alert_info
alert_time
endtime
exponent
hits
matches
message
rule_type
traceback
until
另外一些存储 match_body 的字段。但是对于 kibana 显示的每个子字段,
所有这些字段似乎都源自 query_key,但由于没有映射字段,因此在 kibana 可视化中无法访问它们
(错误no catched mapping for these fields. Refresh fields' list from the management > Index Patterns page:),刷新没有帮助。我尝试使用include指令(在规则文件中)添加我需要的字段,但没有成功。有没有人有任何解决方案来获取 elastalert_status 索引中的特定字段?可用于可视化。没有尝试过,但将logstash 作为 elastalert 的输出将有助于根据消息的内容添加字段,但不确定它是否可以使用。无论如何,这不是最好的解决方案。
ELK 堆栈 5.1.2 版本