ElastAlert는 더

Question

다음 내 config.yaml이와 frequency.yaml

config.yaml

rules_folder 안타 없다 : 분 : 1

es_host : 로컬 호스트

es_port : 9200

writeback_index : elastalert_status

alert_time_limit : 일 : 2

frequency.yaml

es_host : 로컬 호스트

es_port : 9200

이름 : 오류 규칙

유형 : 어떤

지수 : logstash- *

NUM_EVENTS : 5

기간 : 시간 : 4

timestamp_field : "@timestamp "

필터 :

• 기간 : 로그 : "ERROR" 경고 :
• "이메일"

이메일 : - "my@email.com"

내가 더 무엇입니까 조회수

정보 : elastalert : Que ried rule 오류 규칙 2016-09-02 09:33 MDT에서 2016-09-02 09:34 MDT : 0/0 히트

INFO : elastalert : Ran Error rule from 2016-09-02 09:33 MDT 2016년 9월 2일에 산악 서머 타임 09시 34분 : 0 쿼리는 0 경고

출력 elastalert-시험 규칙 rules_folder/주파수의 전송, 0 경기 안타.YAML

정보 : elastalert : 2016년 9월 2일 산악 서머 타임 09시 47분 MDT 10시 32분 2016년 9월 2일에에서 쿼리 규칙 오류 규칙 : 0/0 안타

는 다음을 작성 을까 문서에 elastalert_status :

elastalert_status를 - { '히트'0 '일치'0 '@timestamp' datetime.datetime (2016, 9, 2, 16, 32, 32, 200,330, tzinfo = tzutc(), 'rule_name': '오류 규칙', '시작 시간': datetime.datetime (2016, 9, 1, 16, 32, 32, 123856, tzinfo = tzutc()), 'endtime': datetime. datetime (2016, 9, 2, 16, 32, 32, 123856, tzinfo = tzutc()), 'TIME_TAKEN'0.07315492630004883}

Answer 1

좋아, 내가 인덱스에서 인덱스를 변경하여 문제를 해결할 수 있었다 : 인덱스 logstash- * : filebeat-의 * 이후 나는 그것을 색인에 사용하고 있었다. 희망이 사람을 도움이됩니다.

Answer 2

출력 로그에서 2016-09-02 09:33 MDT에서 2016-09-02 09:34 MDT : 0/0 히트, 쿼리에서 1 분 밖에 걸리지 않습니다. 4 시간 이상은 (buffer_time> 기간) 당신의 Qmando에 의해, https://github.com/Yelp/elastalert/issues/668를 참조 할 수 있습니다 buffer_time을 설정하는

봅니다

회신