【问题标题】:Elastalert constant realerting.Elastalert 持续实时更新。
【发布时间】:2017-07-02 21:48:21
【问题描述】:

我在设置 elastalert 规则时遇到了一些困难。这是一个非常基本的文档,我已经阅读了文档,但显然没有理解它,我正在寻求一些帮助。
我有一个基本的测试规则,当我从某些设备输入到弹性的数据停止超过 5 分钟时,我想提醒它。

es_host: localhost
es_port: 9200
name: Example rule
type: flatline
index: test_mapping-*
threshold: 1
timeframe:
    minutes: 5
filter:
- term:
   device: "ggYthy767b"
alert:
- command
command: ["/bin/test"]
realert:
 minutes: 10 

这很有效,所以当数据停止时我会收到警报,然后该警报会被静音,直到 10 分钟后它再次发出警报。问题是它每 10 分钟发出一次警报,我不知道如何阻止它。有没有办法让它只发生一次然后停止?还是我误解了?此外,我有 10 多个不同的设备,如果其中任何一个停止发送数据 5 分钟,我希望应用相同的警报,这可能在一个规则内吗?首先十分感谢。

【问题讨论】:

    标签: elasticsearch elastalert


    【解决方案1】:

    您需要问自己的问题是您希望多久收到一次警报。一生一次,一年一次,一个月一次,还是每两周一次?所以“realert”是你要编辑的部分。您可能希望将其更改为如下所示。因此,即使警报被多次触发,您每天也只会收到一次。它使用简单的英语术语,因此您可以根据自己的喜好(周、小时等)对其进行更新。

    realert:
      days: 1
    

    但是,如果您收到的警报超出了您的预期,则说明您的系统太不稳定或您的警报过于偏执。例如,对于每 5 分钟一次的警报,您正在寻找一条实际上没有填充的记录。您应该提高您的经期或添加选择性较低的过滤器,因为它是一个“扁平线”警报。您也可以将它与“query_key”一起使用,这样它将按每个键应用。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2012-01-14
      • 1970-01-01
      • 2019-12-21
      • 2016-07-19
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多