ElastAlert无命中

Question

下面是我的config.yaml和frequency.yaml

config.yaml rules_folder: rules_folder run_every:秒: 15 buffer_time:会议纪要:1 es_host:本地主机 es_port: 9200 writeback_index: elastalert_status alert_time_limit:天数:2 frequency.yaml es_host:本地主机 es_port: 9200 名称:错误规则 类型:任何 索引: logstash-* num_events: 5 时间框架:小时:4 timestamp_field：“@时间戳” 过滤器：

• 术语:日志：“错误”警告：
• “电邮”

电邮：- "my@email.com“

我没有得到任何线索

信息:弹性警报:查询规则错误规则从2016-09-02 09:33 MDT到2016-09-02 :34 MDT: 0/0命中 信息:弹性警报:运行错误规则从2016-09-02 :33 MDT到2016-09-02 :34 MDT: 0查询命中，0匹配，0警报发送

弹性警报输出.测试规则规则_文件夹/频率.test

信息:弹性警报:查询规则错误规则从2016-09-02 09:47 MDT到2016-09-02 10:32 MDT: 0/0命中 应该将以下文档写入elastalert_status： elastalert_status -{“点击”：0，“匹配”：0，“@时间戳”：datetime.datetime(2016年，9，2，16，32，32,200330，tzinfo=tzutc())，“规则名称”：“错误规则”，“开始时间”：datetime.datetime(2016年，9，1，16，32，32,123856，tzinfo=tzutc())，“结束时间”：datetime.datetime(2016，9，2，16，32,123856，tzinfo=tzutc())，“时间”：0.07315492630004883}

Answer 1

好的，我能够通过将索引从index: logstash-*更改为index: file节拍-*来解决这个问题，因为我使用它来索引。希望这能帮上忙。

Answer 2

在输出日志中，您可以发现2016-09-02 :33 MDT到2016-09-02 :34 MDT: 0/0命中，查询仅1分钟。

尝试设置您的buffer_time超过4个小时(buffer_time >时间框架)您可以引用https://github.com/Yelp/elastalert/issues/668，通过Qmando答复