0
ElastAlert는 elasticsearch의 elastalert_status 인덱스에있는 규칙과 관련된 메타 데이터를 업데이트합니다. 해당 색인에서 사용할 수있는 필드는 다음과 같은 필드가 있습니다.elastalarch 인덱스의 사용자 정의 필드가 elasticsearch에서 생성되었습니다.
alert_info
alert_time
endtime
exponent
hits
matches
message
rule_type
traceback
until
또한 match_body를 저장하는 일부 필드가 있습니다. 하지만 각 서브 필드에 대한 키바는 
이러한 모든 필드는 query_key에서 유래 한 것으로 보이지만 그들을 위해 필드가 매핑되지 않기 때문에 그들이 키바 시각화
(오류 : no catched mapping for these fields. Refresh fields' list from the management > Index Patterns page)에 액세스 할 수없는 보여줍니다 상쾌하게하는 도움이 안돼. 나는 (규칙 파일에서) include 지시어로 필요한 필드를 추가하려했지만 성공하지 못했습니다. 누구나 elastalert_status 인덱스에서 특정 필드를 얻는 방법에 대한 해결책이 있습니까? 시각화에 사용할 수 있습니다. 시도해 보지 않았지만 elastalert에 대한 출력으로 logstash를 제공하면 메시지 내용을 기준으로 필드를 추가하는 데 도움이되지만 단어가 있는지 확실하지 않습니다. 어쨌든 최선의 해결책은 아닙니다. 이엘 케이의
버전은 'match_body'로 create_index.py의 코드를 변경 5.1.2