即使没有匹配,ElastAlert 也会触发
ElastAlert fires even without a match
我有一个简单的 Flatline 警报,可以在事件数量低于阈值时发出警报。我在每个给定的时间间隔不断收到此警报,即使索引中有很多数据超出阈值。我的配置是:
(Required)
# Rule name, must be unique
name: fraud-impr-flatline
# (Required)
# Type of alert.
#
type: flatline
# (Required)
# Index to search, wildcard supported
index: logstash-fraud*
threshold: 100
use_count_query: true
doc_type: fraud-impr
timeframe:
minutes: 30
# (Required)
# The alert is use when a match is found
alert:
- "email"
# (required, email specific)
# a list of email addresses to send alerts to
email:
- "guruji@zyc.com"
这是一个非常基本的警报,但我一直无法让它发挥作用。我在这里错过了什么?
查看日志后,发现它正在尝试查询 @timestamp 的时间范围,而我的时间数据在 "time" 字段中。将配置更新为 timestamp_field: time,一切正常。
我有一个简单的 Flatline 警报,可以在事件数量低于阈值时发出警报。我在每个给定的时间间隔不断收到此警报,即使索引中有很多数据超出阈值。我的配置是:
(Required)
# Rule name, must be unique
name: fraud-impr-flatline
# (Required)
# Type of alert.
#
type: flatline
# (Required)
# Index to search, wildcard supported
index: logstash-fraud*
threshold: 100
use_count_query: true
doc_type: fraud-impr
timeframe:
minutes: 30
# (Required)
# The alert is use when a match is found
alert:
- "email"
# (required, email specific)
# a list of email addresses to send alerts to
email:
- "guruji@zyc.com"
这是一个非常基本的警报,但我一直无法让它发挥作用。我在这里错过了什么?
查看日志后,发现它正在尝试查询 @timestamp 的时间范围,而我的时间数据在 "time" 字段中。将配置更新为 timestamp_field: time,一切正常。