ElastAlert筛选器未按预期工作

Question

我已经安装了elastAlert。下面是我的配置和yaml文件配置：

配置文件：

rules_folder:规则

run_every：

分钟数: 15

buffer_time：

分钟数: 15

es_host: ip_address(#)

es_port: 9200

writeback_index: elastalert_status

writeback_alias: elastalert_alerts

alert_time_limit：

天数:2日志:版本:1

增量: false

disable_existing_loggers: false

格式化程序：

logline:

  format: '%(asctime)s %(levelname)+8s %(name)+20s %(message)s'

handlers:

  console:
    class: logging.StreamHandler
    formatter: logline
    level: DEBUG
    stream: ext://sys.stderr
  file:
    class : logging.FileHandler
    formatter: logline
    level: DEBUG
    filename: elastalert.log
loggers:
  elastalert:
    level: WARN
    handlers: []
    propagate: true
  elasticsearch:
    level: WARN
    handlers: []
    propagate: true

Example_frequency.yamlfile：

es_host: ip地址(####)

es_port: 9200

姓名: FaultExceptions

类型:频率

索引: logstash_*

num_events: 5

时间范围：

分钟数: 15

过滤器：

-query：

query_string:

    query: "ErrorGroup: Fault Exception"

警告：-“电子邮件”

电子邮件：-"abc@gmail.com“

我每15分钟收到一封邮件，但该数据与过滤器不匹配，其中ErrorGroup名称应为故障异常。请帮助我理解这一点，因为我从过去的4天以来一直在工作，提前谢谢。

Answer 1

希望不会太晚，但是可以使用--es_debug_trace命令行选项。它有助于查看以curl格式发送的确切查询：

python3 -m elastalert.elastalert --verbose --rule your_rule_to_test.yaml --es_debug_trace /tmp/elastalert_curl.log

然后，可以在终端中触发/tmp/elastalert_curl.log中的curl命令以查看输出，或者调整命令以查看哪里出了问题。您可以使用Kibana Dev工具检查curl命令并进行测试。另外，确认ErrorGroup位于文档索引的根级别，并尝试ErrorGroup.keyword。