问题标签 [elasticsearch-watcher]

我需要 ELASTALERT 的帮助

我有这样的日志消息：

我需要在规则中为它写一个查询：我写的是

似乎它不起作用。谁能告诉我该怎么做？

我正在尝试模拟手表，看看动作是否正常触发。但我的问题是搜索没有返回结果。我的查询

1. 检查特定索引。
2. 检查范围
3. 检查 servicename 字段是否为特定值。

这是我的手表定义

我现在正在尝试通过使用模拟选项并给它一个输入来测试它。此输入是从索引中的实际数据复制而来的。我从 kibana 复制了一个 json 文档（在发现部分），所以备用输入 json 应该没问题

这是替代输入

但是当我运行“模拟”时，我得到 ctx.payload.total.hits 为空，因为显然它没有找到任何结果。模拟结果——

我不确定它找不到什么结果。有人可以告诉我我做错了什么吗？

如果有人在 Kibana 中更改现有报告或创建新报告，是否可以触发警报（例如在 Watcher 中）？我可以看到可以根据系统中的事件设置警报，但想确定这是否可行。

我正在使用 ElasticCloud 版本 v7.12.1，我已经设置了一个观察者来检查集群的健康状况，如下所示：

它失败并出现此错误：

做了一些搜索后，有人提到要添加：network.host:127.0.0.1 到 elasticsearch.yml 但是当我添加它并尝试保存它时，我得到了这个错误：

Elasticsearch - 'network.host'：不允许

我找不到有关此问题的任何文档及其解决方案，如果有人可以提供帮助，我将不胜感激。

Kibana Watcher 是 AWS Elasticarch 开放发行版的一部分吗？

它应该是 AWS Kibana UI 上的堆栈管理的一部分。

我没看到。想看看有没有办法启用它。

是否可以创建一个观察者来检查相同的值是否连续两天出现在两个不同的字段中？

基本上我有一个每天晚上运行的预定删除过程。有两个字段称为“message”和“customerId”。所以我可以有一个像

有时删除可能会失败。如果确实如此，它通常会在第二天被取走，所以我不想让观察者告诉我它对于给定的“customerId”发生了一次，而大部分时间它将在第二天处理。如果该过程连续两天在相同的“customerId”中失败，我只想收到通知。

可以创建一个观察者来做到这一点吗？

你好我想创建一个观察者来跟踪我在特定驱动器（D：/）甚至机器上的空间。我对他们并没有真正的经验，我阅读了文档并遵循了一些示例，但效果不佳。这是我的第一个想法，但不知何故我得到了消息：

[parse_exception] 无法解析手表 [inlined] 的 [compare] 条件。未知比较运算符 [ctx.payload.system.filesystem.used.pct]

当我尝试模拟时，我无法理解为什么我的观察者似乎无效。

我们已经在 PL/SQL 中看到了触发器。有什么类似于我们可以在 ElasticSearch 中执行的功能吗？我做了一些谷歌搜索，发现 ES 提供了这个称为 Watchers 的概念。但是，它只在 ES 的付费选项中。是否有其他方法可以在 ES 中获取触发器的功能？

提前致谢！

这不起作用，只是在观察者模拟器中给出“编译错误”消息。

percolate 可以在文档有任何更新时运行，我们可以识别与文档匹配的任何规则。但是我们如何使用它来查找日期时间字段值在 2 天之后的文档，例如，查找打开的票证和预计关闭日期前 2 天的票证。