我正在尝试使用 ElastAlert 对弹性搜索中存在的数据实施警报。我想知道是否有一种方法可以使用环境变量或属性文件,或者通过导出值来更改 ElastAlert 中规则类型中存在的字段,而不是在规则文件中手动更改值以减少错误。
例如,我的尖峰规则配置如下所示:
name: Event spike
type: spike
index: alerting-logs-*
threshold_cur: 300
timeframe: minutes: 2
spike_height: 2
spike_type: "up"
query_key: HostName
filter:
- query:
query_string: {query: 'smcfsloglevel:ERROR'}
alert:
- "email"
email:
- "someuser@email.com"
现在,如果我想将threshold_curfrom的值更改300为 ,例如,500我可以以某种方式做到这一点,而无需像导出一样进入尖峰规则文件threshold_cur: ${thr_cur}
有没有人有实现这一目标的想法?