在 elasticsearch 中创建的 elastalert 索引中的自定义字段
custom fields in elastalert index created in elasticsearch
ElastAlert 更新 elasticsearch 中 elastalert_status 索引中与规则相关的元数据。该索引中可用的字段具有如下字段:
alert_info
alert_time
endtime
exponent
hits
matches
message
rule_type
traceback
until
另外一些存储 match_body 的字段。但对于每个子字段 kibana 显示
所有这些字段似乎都源自 query_key 但由于没有映射字段,因此在 kibana 可视化中无法访问它们
(错误:no catched mapping for these fields. Refresh fields' list from the management > Index Patterns page),
令人耳目一新,这无济于事。
我曾尝试使用 include 指令(在规则文件中)添加我需要的字段,但没有成功。
有人有任何解决方案来获取 elastalert_status 索引中的特定字段吗?可用于可视化。
还没有尝试过,但是将 logstash 作为 elastalert 的输出将有助于根据消息的内容添加字段,但不确定它是否可以单词。无论如何,这不是最好的解决方案。
ELK 堆栈 5.1.2 版本
将 create_index.py 中的代码更改为 'match_body' :{'enabled': False to True.... 在 elasticsearch elastalert_status 索引中创建相应的映射。
ElastAlert 更新 elasticsearch 中 elastalert_status 索引中与规则相关的元数据。该索引中可用的字段具有如下字段:
alert_info
alert_time
endtime
exponent
hits
matches
message
rule_type
traceback
until
另外一些存储 match_body 的字段。但对于每个子字段 kibana 显示
(错误:no catched mapping for these fields. Refresh fields' list from the management > Index Patterns page),
令人耳目一新,这无济于事。
我曾尝试使用 include 指令(在规则文件中)添加我需要的字段,但没有成功。
有人有任何解决方案来获取 elastalert_status 索引中的特定字段吗?可用于可视化。
还没有尝试过,但是将 logstash 作为 elastalert 的输出将有助于根据消息的内容添加字段,但不确定它是否可以单词。无论如何,这不是最好的解决方案。
ELK 堆栈 5.1.2 版本
将 create_index.py 中的代码更改为 'match_body' :{'enabled': False to True.... 在 elasticsearch elastalert_status 索引中创建相应的映射。