用于搜索文本的 Kibana Watcher 查询
Kibana Watcher query for searching text
我正在寻找创建 Kibana 观察器的指针,我想在其中查看我的日志,如果我在日志中看到文本 "Security Alert" 在任何 30 次内超过 10 次,我想发送警报分钟时间。
我指的是这篇文章
https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher-create-threshold-alert
文档中不清楚我如何 1> 通读、过滤和解析字符串 2> 如何设置相同的计数。
对于此要求,您应该使用高级观察器而不是更简单(且功能较弱)的阈值观察器。在 Kibana-Watcher UI 中,您可以在两种类型之间进行选择。
见
https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher-create-advanced-watch 介绍和
https://www.elastic.co/guide/en/elasticsearch/reference/current/how-watcher-works.html 了解高级观察者的语法和整体行为。
因此,根据您在问题中描述的要求,您将如何实现观察者(概念上简而言之):
30分钟为触发间隔。
输入部分必须是与 "Security Alert" 文本匹配的适当的 elasticsearch 查询
条件类似于 "numberOfHits gte 10"。因此观察者每 30 分钟触发一次,但只有在满足条件时,才会执行 actions。
在操作部分,您需要在可用选项(日志、邮件、松弛消息等)之间进行选择。如果您想发送邮件,则需要先设置邮件帐户。
希望能帮到你
我正在寻找创建 Kibana 观察器的指针,我想在其中查看我的日志,如果我在日志中看到文本 "Security Alert" 在任何 30 次内超过 10 次,我想发送警报分钟时间。
我指的是这篇文章 https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher-create-threshold-alert
文档中不清楚我如何 1> 通读、过滤和解析字符串 2> 如何设置相同的计数。
对于此要求,您应该使用高级观察器而不是更简单(且功能较弱)的阈值观察器。在 Kibana-Watcher UI 中,您可以在两种类型之间进行选择。
见 https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher-create-advanced-watch 介绍和 https://www.elastic.co/guide/en/elasticsearch/reference/current/how-watcher-works.html 了解高级观察者的语法和整体行为。
因此,根据您在问题中描述的要求,您将如何实现观察者(概念上简而言之):
30分钟为触发间隔。
输入部分必须是与 "Security Alert" 文本匹配的适当的 elasticsearch 查询
条件类似于 "numberOfHits gte 10"。因此观察者每 30 分钟触发一次,但只有在满足条件时,才会执行 actions。
在操作部分,您需要在可用选项(日志、邮件、松弛消息等)之间进行选择。如果您想发送邮件,则需要先设置邮件帐户。
希望能帮到你