【发布时间】:2021-05-02 09:30:05
【问题描述】:
我的目标是仅针对独特的错误类型发出警报(Elasticsearch 6.8 + Elastalert)。
错误日志示例(5 个文档,相同索引,相同字段):
- 组件 X 中的错误 9837 尝试在 9.3 秒内重新连接
- 组件 X 中的错误 9837 尝试在 8.7 秒内重新连接
- 尝试连接到 19.324.21.234 失败
- 2021/01/01 08:51:54.203 Errno 111 tensorflow/stream_executor...
- 2021/01/01 08:52:76.009 Errno 111 tensorflow/stream_executor...
使用Elastalert 中的query_key,我可以确保只收到有关独特错误消息的警报。上面的错误消息都是唯一的,因此我会收到 5 个警报。但是我只想收到 3 个警报,每个错误 type 一个。
Elastalert 允许您使用 Elasticsearch 的 Query DSL 编写常规查询。
如果特定字段与其他文档有 100% - 90% 的相似度,是否有办法编写一个过滤掉文档的查询?
我怀疑可能有一个完全不同的解决方案。如果有更好的方法来处理警报或一些最佳做法,请随时分享。
【问题讨论】:
标签: elasticsearch kibana alert elastalert