问题标签 [elastalert]

拥有与 elasticsearch 5.6 一起使用的 elastalert docker 映像 ( https://hub.docker.com/r/ivankrizsan/elastalert/ )，更改为使用 ElasticSearch 6.1 (无索引) 的测试环境，现在得到

我已经根据此链接安装了开箱即用的监控：

http://www.jhipster.tech/monitoring/

当我开始时：

一切都开始了，但不是 Elastalert：

错误：monitoring_jhipster-alerter_1 无法启动服务 jhipster-alerter：OCI 运行时创建失败：container_linux.go:296：启动容器进程导致“process_linux.go:398：容器初始化导致\”rootfs_linux.go:58：安装\\“ /Users/john/source/intellij/company/app/myservice/alerts/config.yaml\\" 到 rootfs \\"/var/lib/docker/overlay2/5657c6e9e7bb2be5cf4fa9860c04269e34be15641f4e3f0c1449af7cbf82ced5/merged\\" 在 \\"/var/ lib/docker/overlay2/5657c6e9e7bb2be5cf4fa9860c04269e34be15641f4e3f0c1449af7cbf82ced5/merged/opt/elastalert/config.yaml\\" 导致\\"不是目录\\"\""：未知：您是否尝试挂载一个可怕的启动监控_jhipster-import-dashboards_1

错误：对于 jhipster-alerter 无法启动服务 jhipster-alerter：OCI 运行时创建失败：container_linux.go:296：启动容器进程导致“process_linux.go:398：容器初始化导致 \”rootfs_linux.go:58：安装 \\“ /Users/john/source/intellij/company/app/myservice/alerts/config.yaml\\" 到 rootfs \\"/var/lib/docker/overlay2/5657c6e9e7bb2be5cf4fa9860c04269e34be15641f4e3f0c1449af7cbf82ced5/merged\\" 在 \\"/var/ lib/docker/overlay2/5657c6e9e7bb2be5cf4fa9860c04269e34be15641f4e3f0c1449af7cbf82ced5/merged/opt/elastalert/config.yaml\\" 导致\\"not a directory\\"\""：未知：您是否尝试将目录挂载到文件上（或副反之亦然）？检查指定的主机路径是否存在并且是预期的类型错误：启动项目时遇到错误。

使用我得到的默认 docker-compose.yml 文件：

我不确定这条消息是什么意思？

我正在尝试使用 ElastAlert 规则匹配日志消息有效负载中的子字符串notify=warningOR notify="warning"，但到目前为止，使用我在下面包含的规则过滤器，结果并不理想：

filter: - query: query_string: query: "message:\"notify=warning\" OR message:\"notify=\"warning\"\""

我正在搜索的子字符串位于该message字段的中间，但我的过滤器的结果与引用的“警告”不匹配，它还会拾取其中只有“警告”之类的词的消息。任何帮助修复我的比赛将不胜感激。

我正在尝试使用 ElastAlert 对弹性搜索中存在的数据实施警报。我想知道是否有一种方法可以使用环境变量或属性文件，或者通过导出值来更改 ElastAlert 中规则类型中存在的字段，而不是在规则文件中手动更改值以减少错误。

例如，我的尖峰规则配置如下所示：

现在，如果我想将threshold_curfrom的值更改300为 ，例如，500我可以以某种方式做到这一点，而无需像导出一样进入尖峰规则文件threshold_cur: ${thr_cur}

有没有人有实现这一目标的想法？

所以我试图在 ElastAlert 中设置一个黑名单，但正在努力解决通配符匹配问题。

最终目标是让我拥有一个用域填充的文件。然后，ElastAlert 规则会读取此黑名单文件，并在任何域（包括子域）被击中时提醒我。

到目前为止，我让它与文件中列出的域完全匹配。（即evil-domain.com）
但是，我无法以相同的方式匹配子域，例如www.evil-domain.com

我在文件中尝试了许多不同的通配符匹配，例如：

• *evil-domain.com/
• .+evil-domian.com/
• /*evil-domain.com/

但是它们都不起作用，或者至少我还没有设法让它们起作用。

在 ElastAlert 中是否可以使用这样的用例，如果可以，如何使用？

我的环境：

操作系统：Ubuntu 16.04

蟒蛇：2.7.12

弹性搜索：6.1.1

我想通过“python setup.py install”安装elasalert0.1.29，但我错了：

任何人都可以给我一些建议吗？非常感谢！

我创建一个规则

我认为该规则运行良好，因为当我尝试通过运行对其进行测试时elastalert-test-rule test.yaml，我得到了这个：

所以然后我尝试使用它运行它python -m elastalert.elastalert --verbose --rule test.yaml，我得到了这个：

我的 elastalert 安装有问题吗？我尝试安装 requirements.txt 已经无法正常工作。

我有每分钟发送警报的 ElastAlert 服务。我现在配置了一条flatline规则，以便在过去一小时内没有新数据时提醒我。

正如预期的那样，规则运行了一个小时以确保没有事件进入。但随后它开始每分钟发送警报（尊重配置）。我该如何更改它并告诉 ElastAlert 在此特定规则上每小时而不是每分钟提醒我一次？

上下文： ElastAlert v0.1.29 包含在 OpenShift Orchestrator Elasticsearch 2.4.4 上的容器 Docker 中，由 Openshift agregate_logging（使用 Oauth2）公开

你好，

从 Elastalert，我想连接到 Elasticsearch。Elastic 的身份验证使用 oauth2。oauth2 需要 X-Proxy-Remote-User 和请求标头中的令牌：例如： curl -k -H "Authorization: Bearer $token" -H "X-Proxy-Remote-User: $(oc whoami )" -H "X-Forwarded-For: 127.0.0.1" https://es.example.test/_cat/indices

我相信 ElastAlert 不支持通过令牌验证 Oauth2。你确定吗？实际上，我认为它们不兼容 client_key 和 client_cert tls 选项？

谢谢你的帮助

问候洛伊克

我在 config.yaml 中配置了聚合选项，每 1 小时发送一次警报摘要。但是当我尝试运行它时它会引发以下错误。

配置参数是：

测试警报规则配置：

我已关注 ElastAlert 文档，但无法弄清楚导致此问题的原因。

谢谢