问题标签 [elastalert]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
elasticsearch - Elastalert 创建索引不起作用
我在本地安装的 ELK 中安装了 elastalert。当我运行命令“elastalert-create-index”时,我收到以下错误消息:
任何的想法?
elasticsearch - 在 elasticsearch 中创建的 elastalert 索引中的自定义字段
ElastAlert 更新与 elasticsearch 中 elastalert_status 索引中的规则相关的元数据。该索引中可用的字段具有以下字段:
另外一些存储 match_body 的字段。但是对于 kibana 显示的每个子字段,
所有这些字段似乎都源自 query_key,但由于没有映射字段,因此在 kibana 可视化中无法访问它们
(错误no catched mapping for these fields. Refresh fields' list from the management > Index Patterns page:),刷新没有帮助。我尝试使用include指令(在规则文件中)添加我需要的字段,但没有成功。有没有人有任何解决方案来获取 elastalert_status 索引中的特定字段?可用于可视化。没有尝试过,但将logstash 作为 elastalert 的输出将有助于根据消息的内容添加字段,但不确定它是否可以使用。无论如何,这不是最好的解决方案。
ELK 堆栈 5.1.2 版本
elastalert - ElastAlert :针对同一规则文件中的多个索引的多个查询
我创建了 2 个单独的规则文件,如下所示:-
realert:
minutes: 5
from_addr: test@email.com
es_host: xx.xx.xxx.xx
index: topbeat-*
smtp_host: ismtp.corp.company.com
type :频率
es_port:9200
过滤器:
-范围:
mem.used_p:
从:0.70
到:1.0-
术语:
beat.hostname:xxxxx
时间范围:
分钟:30
警报:电子邮件
名称:9__server__xxxxx__mem.used_p__0.70__30
电子邮件:[“user@email .com"]
num_events: 1
realert:
分钟:5
from_addr:test@email.com
es_host:xx.xx.xxx.xx
索引:packetbeat-*
smtp_host:ismtp.corp.company.com
类型:频率
es_port:9200
过滤器:
-术语:
http.code: 404
- 术语:
beat.hostname:yyyyy
时间范围:
分钟:30
警报:电子邮件
名称:25__app__yyyyy__http.code__404__1__30
电子邮件:[“user@email.com”]
num_events:1
两个规则文件都根据其定义生成电子邮件。
有没有办法将这两个规则文件作为一个规则文件。我可能需要定义 index:topbeat-,packetbeat- 然后在这种情况下我需要如何编写过滤器,以便针对服务器 xxxxx 的 topbeat-* 查询 mem.used_p 并针对 packetbeat-* 查询 http.code服务器 yyyyy。???
elasticsearch - 如何从 elastalert 调用 elasticsearch - ELK - API?
这可能不是问这个问题的正确地方。但我找不到这样做的文章。我在 CentOS 上安装了以下软件包。
但是,如何使用 API 调用弹性搜索集群。我有 API 和服务帐户可以这样做。这就是我要找的东西。我应该修改 elastalert-master/example_rules 下的哪个文件?
我也尝试过更改 config.yaml.example ,但这会不断调用 auth py 文件和错误。我知道我不需要验证任何东西,因为我有 API 和服务帐户。我只需要使用 elastakert 作为 cron 来执行此操作。
请建议。
elasticsearch - 查询格式错误,查询名称后没有 start_object
我正在针对 AWS Elasticsearch 5.1 运行此查询并收到格式错误的查询错误。这是请求的正文。我基本上只是检查该时间范围内是否存在该字段。
elasticsearch - Elastalert 默认安装位置
我按照这个 url安装 Elastalert,但是我什至不知道 config.yaml.example 文件在哪里。elastalert 默认安装在哪里?我错过了什么吗?
elasticsearch - ElastAlert ImportError: DLL load failed: 找不到指定的过程
我在运行 elastalert 时遇到问题。这是我得到的错误。
我可以创建一个索引,但我不确定我缺少什么,因为我无法运行它。
谢谢。
elastalert - elastalert中对多个索引和不同规则的多个查询
我想在 elastalert 中对 elasticsearch 的多个索引运行多个查询。我怎样才能做到这一点?例如:我想使用第一个过滤器并在索引 abc* 上输入“any”,第二个过滤器并在索引 xyz* 上输入“频率”
elasticsearch - Openshift Origin 容器中的 Elastalert
我想为 EFK 堆栈实施警报,该堆栈部署在 Openshift 源中。为了实现警报,我使用了 Elastalert。我使用了 krizsan/elastalert-docker docker 镜像。
这将成功运行 elastalert 实例,但在日志中我得到
我给了环境变量
Elastalert 无法连接到开放班次原点的弹性搜索。任何帮助表示赞赏..
elasticsearch - Elastalert 持续实时更新。
我在设置 elastalert 规则时遇到了一些困难。这是一个非常基本的文档,我已经阅读了文档,但显然没有理解它,我正在寻求一些帮助。
我有一个基本的测试规则,当我从某些设备输入到弹性的数据停止超过 5 分钟时,我想提醒它。
这是有效的,所以当数据停止时,我会收到一个警报,然后该警报会被静音,直到 10 分钟后它再次发出警报。问题是它每 10 分钟发出一次警报,我不知道如何阻止它。有没有办法让它只发生一次然后停止?还是我误解了?此外,我有 10 多个不同的设备,如果其中任何一个停止发送数据 5 分钟,我希望应用相同的警报,这可能在一个规则内吗?首先十分感谢。