如何運行多個ElastAlert規則

Question

我正在學習使用ElastAlert。我想通過ElasAlert運行多基數規則或使用更好的解決方案。

例如，

filter: 
- query: 
    query_string: 
     query: "message: *A*" 

filter: 
- query: 
    query_string: 
     query: "message: *B*" 

filter: 
- query: 
    query_string: 
     query: "message: *C*" 

我有幾個條件需要監控，每分鐘它們中的任何低於1個消息我將需要接收的ALTER。這是可能的運行在一個規則，或者我可以在多個進程中運行它？

Answer 1

您可以配置像你rule_x.yaml文件

過濾器： - 查詢： QUERY_STRING： 查詢： 「消息：A OR消息：B或消息：C」

，並按照對方文檔 https://elastalert.readthedocs.io/en/latest/

Answer 2

 
filter: 
- query: 
    query_string: 
     query: '"message: A OR message: B OR message: C"' 

隨着音符的配置選項： withing單引號將您的ELA sticsearch查詢，因爲它在''（這是單引號）