여러 ElastAlert 규칙을 실행하는 방법

Question

ElastAlert를 사용하는 방법을 배우고 있습니다. ElasAlert 또는 더 나은 솔루션을 사용하여 다중 카디널리티 규칙을 실행하고 싶습니다. 예를 들어

,

filter: 
- query: 
    query_string: 
     query: "message: *A*" 

filter: 
- query: 
    query_string: 
     query: "message: *B*" 

filter: 
- query: 
    query_string: 
     query: "message: *C*" 

내가 모니터링 할 몇 가지 조건이 필요가, 내가 수행해야합니다 분당 그들 중보다 낮은 1 메시지는 ALTER를 받았다. 하나의 규칙에서 실행 가능합니까 아니면 여러 프로세스에서 실행할 수 있습니까?

Answer 1

당신처럼 rule_x.yaml 파일을 구성 할 수 있습니다

필터 : - 질의 : QUERY_STRING : 질의 : "메시지 : A 또는 메시지 : B 또는 메시지 : C"

다른를 따라 문서 https://elastalert.readthedocs.io/en/latest/

Answer 2

 
filter: 
- query: 
    query_string: 
     query: '"message: A OR message: B OR message: C"' 

참고로

에서 구성 옵션 : 따옴표가 당신의 ELA를 통과 withing에 sticsearch 쿼리가 ''(작은 따옴표) 안에있는 경우