0
ElastAlert更新與elasticsearch中的elastalert_status索引中的規則相關的元數據。該索引中可用的字段具有如下字段:elasticsearch中創建的elasticalert索引中的自定義字段
alert_info
alert_time
endtime
exponent
hits
matches
message
rule_type
traceback
until
另外一些存儲match_body的字段。但對於每個子場kibana顯示
所有這些領域似乎都源於query_key,但因爲沒有他們映射場他們在kibana可視化
(錯誤:no catched mapping for these fields. Refresh fields' list from the management > Index Patterns page)無法訪問, 清爽其中沒有幫助。 我試過在include指令(在規則文件中)添加字段,但沒有成功。 有沒有人有任何解決方案來獲取elastalert_status索引中的特定字段?可用於可視化。 還沒有嘗試過但給logstash作爲輸出的時候,將有助於在消息內容的基礎上添加字段,但不確定它是否可以字。反正這不是最好的解決方案。
版本ELK的堆棧5.1.2