我有這樣的文件:Elasticsearch對文檔條件過濾器與不同領域
Type 1 (stats from component A) -
_sources {
"@version": "1",
"@timestamp": "2015-11-02T06:50:11.170Z",
"stat_type": 1,
"ConnectionCount": 1,
"ReceivedCount": 2,
"AcceptedCount": 0,
"host": "my-pc",
"component_type": "A",
}
Type 2 (Stats from component B) -
_sources {
"@version": "1",
"@timestamp": "2015-11-02T06:50:11.170Z",
"stat_type": 1,
"SuccessCount": 2,
"host": "my-pc",
"component_type": "B",
}
從這兩種類型的文檔,我想要做以下的事情 -
- 如果ReceivedCount從doctypeA大於0,然後從doctypeB獲取 SuccessCount。
- 如果它們不匹配,則使用elastalert進行警報。
我有elasticsearch和elastalert的基礎知識。
我試圖理解elasticserach腳本來查詢elasticsearch,但不能這樣做,因爲兩個記錄中的不同列。
請指導。
我不確定ES的文檔模型是否適合您描述的任務。當組件B的數據可用時,您是否需要定期或實時運行此檢查? BTW時間戳字段似乎被棄用,文檔建議您使用正常的日期時間字段並明確設置其值。 https://www.elastic.co/guide/en/elasticsearch/reference/current/mapping-timestamp-field.html – NikoNyrh
@NikoNyrh我需要定期運行此檢查,間隔5分鐘。感謝您的棄用信息。 –