问题标签 [elastalert]

当与查询匹配的所有文档的字段总和超过某个值时，是否可以触发 elastalert？假设每个文档都有一个“价格”值 - 例如，当最后一天的“价格”值总和超过 200 时，是否可以触发 elastalert？

示例文档：

英文示例规则：

The sum of all documents where type = 'transaction' over the past hour exceeds 200

我正在尝试根据我的时区调整返回的日期时间值。我的通知如下所示：

这是参考我的时区的正确日期。在通知的字段部分中，我有时间进入 UTC-0 区域：

我曾尝试以这种方式使用增强功能，请提交..\elastalert\elastalert_modules

我还在规则中添加了用法：

只是为了测试，不是为了最终的解决方案

如果过去 10 分钟内发生错误，我正在使用 ElastAlert 通知我的消费者。我想发送发生的错误列表。但是，如果 errorCode 中存在连字符 ('-')，则列表中的项目会一分为二

这是我想要的结果

这是我得到的结果

有没有办法得到想要的结果？

更新 - 添加索引映射的结果

I am using ElastAlert for alerting via email when there is an error every 10 mins. There is an errorCode for each error. Is it possible to generate an email for each errorCode?

我不太了解 Elastalert。我只是想知道是否可以在集群状态为 RED 时使用 elastalert 获得通知。

谢谢

我想设置一个警报，以便在出现尖峰时通知我。我的数据结构如下：

我想设置一个峰值警报，如果无效请求比率在 20 分钟内达到峰值，则向我发送电子邮件，但以下规则 yaml 没有给我任何打击。

我知道我的电子邮件发送工作正常，因为如果我只是输入一个简单的查询（例如当 total_request 大于 0 时触发），它就会发送电子邮件，但我输入的脚本似乎没有按我的预期工作。任何熟悉 elastalarm 的人都会对此事有很大帮助。谢谢。

我写了以下规则

我的 config.yaml 是

当发出警报时，我单击了我在消息中放入的超链接。它把我带到我的仪表板。

但我想要的是，它不是仪表板，而是进入数据发现屏幕，并在那里发出与发出警报时发出的完全相同的查询。

通过这种方式，我想准确地看到 elastalert 在发出警报时看到的查询结果。

因此，我在（Yelp 的）Elastalert 中运行了某个查询，我试图过滤掉包含多个关键字之一的日志。如果我使用any规则类型，我会得到一组与我拥有的特定查询匹配的 30 个。当我将规则类型更改为白名单时：

即使我知道消息字段包含列出的字符串，我仍然得到相同的 30 个匹配项。我还尝试更改比较键或字符串，使用与整个字段完全匹配的字符串，我已将格式更改为

并没有什么不同。黑名单类型也会发生同样的事情。

我错过了什么？

目前使用规则类型频率（或任何其他），我们可以配置基于计数的警报。

前任。如果 Error=404，在过去 1 小时内发生 5 次以上。

但我想配置基于百分比的警报而不是基于计数的警报。

前任。如果 Error=404 在过去 1 小时内超过 10%。

是否可以配置这样的警报？

我正在尝试在 ElastAlert 中设置一个警报，如果星期一 01:00 - 02:00 的事件数量比前一周星期一的同一时间段大或小 10%，它将发出警报。

我们的数据每天都存在很大差异，例如周日与周一相比，每小时也不同。

有没有办法使用尖峰类型或任何其他过滤器来进行这种检查？