问题标签 [elastalert]

我将 elastalert 插件安装到 kibana，并下载了克隆 github ElastAlert，并配置了基本文件 Config.Yaml 但未运行此错误：

在我们的 ES 中，我们为定期搜索的几个索引设置了别名。涵盖的索引之一包含我们的 DNS 日志。

如果我在 Kibana 或 ES 中搜索：

查询：www.testbad.domain

无论我是在别名索引中还是在 DNS 索引中搜索，我都能获得成功。

所以我创建了以下规则：

但是当我测试警报时，我得到以下信息：

如果我从 type: blacklist 下的列表中删除值 www.testbad.domain，我会得到一个不同的回溯错误：

然后我尝试更改为键入任何内容并指定查询。

这没有产生任何结果，但“查询”列在“第一次命中的可用条款”中

所以我尝试了：查询：“查询：*www.testbad.domain*”。仍然没有命中。

然后我尝试了：查询：“查询：*testbad*”。现在我得到了打击。

（我无法正确显示，但两个查询都应该被星号包围，没有空格）

所以我的问题是：

1. 黑名单搜索是怎么回事？为什么python会出错？
2. 为什么在查询字符串的特定索引中搜索 FQDN 时没有命中？
3. 为什么 Query 没有列为我可以使用别名搜索的字段？

我的目标是在 ElastAlert 中针对这种情况发出警报：午夜到凌晨 2 点之间没有发生任何事件。（适用于任何日期）。问题是如何对 Elasticsearch 进行查询以匹配除特定时间之外的任何日期，因为您不能在“日期”类型的时间戳上使用正则表达式或通配符。有什么建议么？

此代码返回“解析失败”：

我正在创建一个需要使用 elastalert 发送邮件的应用程序。当我运行命令python -m elastalert.elastalert --verbose --rule myrules\myrule.yaml 触发规则时，我遇到如下异常：

No mapping found for [alert_time] in order to sort on

该 API 的输出如下：

规则文件内容：

有什么想法可以解决这个问题吗？

我正在创建一个应用程序，我需要在其中触发特定事件的邮件。

当我运行以下命令时，

我得到错误

这是我的规则文件的内容：

这是 config.yaml 文件的内容

这是我的 smpt_auth 文件

这是 smtp_auth_user 文件的内容：

我需要做出什么改变来解决这个问题？

我正在创建一个需要为某些特定日志发送邮件的应用程序。这是我的规则文件：

这是 config.yaml

这是 smpt_auth.yaml

这是 smtp_auth_user.yaml

当我运行这个命令时：

我收到一个错误：

请问有什么办法解决这个问题吗？

尝试以聚合方式在 Elastalert 中创建警报。比如，在 elastalert 中创建一个警报，其中昨天的 count(anything) 是 > 或 < 今天的 count(anything)。

这没有发生。有人可以帮我弄这个吗？

我面临 CPU 使用率的 elastalert 规则问题（不是平均负载）。我没有受到任何打击和比赛。下面是我的 CPU 规则的 .yaml 文件：

你能帮我在我的规则中做些什么改变吗？

任何帮助将不胜感激。

谢谢。

我在这里关注 elastAlert 的设置：https ://elastalert.readthedocs.io/en/latest/running_elastalert.html

当我运行命令时python setup.py install --user出现错误error: Could not find suitable distribution for Requirement.parse('cffi>=1.11.5')

所以我试图通过运行来解决这个问题pip install cffi --user 当我运行这个命令时，我得到了输出

但是当我重新运行时，python setup.py install --user我仍然得到同样的错误：

为什么找不到这个包？

我一直在使用 elasticsearch、metricbeat 和 elastalert 来监视我的服务器。我在上面安装了 nginx，它被用作反向代理，如果 nginx 丢弃或返回一些错误，我需要向它发送一个，我已经配置了一些警报，但是如何制定规则以在它发生时向 nginx 发送警报删除或返回一些错误。非常感谢