如何在 ElastAlert 中调整 Kibana 仪表板 link
How to adjust Kibana Dashboard link in ElastAlert
我写了下面的规则
type: frequency
filter:
- query:
query_string:
query: "category:foo.bar AND msg._:*Failure*"
alert_text: "Total number of errors cross threshold..... <a href='{0}'>Kibana link</a>"
alert_text_args:
- kibana_link
alert_text_type: alert_text_only
我的 config.yaml 是
# Kibana Dashboard
use_kibana4_dashboard: http://mykibana.com/
当出现警报时,我单击了放入消息中的超链接。它将我带到我的仪表板。
但我想要的是,它不是仪表板,而是进入数据发现屏幕,并在那里发出与发出警报时发出的查询完全相同的查询。
通过这种方式,我想准确查看 elastalert 在发出警报时看到的查询结果。
其实我自己就能解决这个问题。我在这里写我的解决方案。
基本上,我在 kibana 中进行了与上述标准完全相同的搜索并保存了该搜索。接下来我创建了一个仪表板并将保存的查询拉入仪表板。
接下来我将规则指向包含已保存查询的新仪表板。
当生成 link 时,elastalert 将以将时间段注入 hyperlink 的方式创建 link。当您单击 link 时,您将确切地看到警报看到的内容。
我写了下面的规则
type: frequency
filter:
- query:
query_string:
query: "category:foo.bar AND msg._:*Failure*"
alert_text: "Total number of errors cross threshold..... <a href='{0}'>Kibana link</a>"
alert_text_args:
- kibana_link
alert_text_type: alert_text_only
我的 config.yaml 是
# Kibana Dashboard
use_kibana4_dashboard: http://mykibana.com/
当出现警报时,我单击了放入消息中的超链接。它将我带到我的仪表板。
但我想要的是,它不是仪表板,而是进入数据发现屏幕,并在那里发出与发出警报时发出的查询完全相同的查询。
通过这种方式,我想准确查看 elastalert 在发出警报时看到的查询结果。
其实我自己就能解决这个问题。我在这里写我的解决方案。
基本上,我在 kibana 中进行了与上述标准完全相同的搜索并保存了该搜索。接下来我创建了一个仪表板并将保存的查询拉入仪表板。
接下来我将规则指向包含已保存查询的新仪表板。
当生成 link 时,elastalert 将以将时间段注入 hyperlink 的方式创建 link。当您单击 link 时,您将确切地看到警报看到的内容。