Запрос определенного диапазона времени и оповещение в определенное время дня

Question

Запрос определенного диапазона времени и оповещение в определенное время дня

Мне нужно запустить правило в 2 часа ночи, запрашивая журналы с 0 до 2 часов утра, и оповещать, если совпадения найдены.

Пока что все правила, которые я создал, являются частотными правилами, но я не знаю, как достичь определенного временного диапазона для запроса и определенного времени для предупреждения, может кто-нибудь помочь?

(Я предполагаю, что ЛЮБОЙ тип может позволить мне добавить свой временной диапазон как часть фильтра... но тогда как я могу запускать правило в 2 часа ночи каждый день?)

2

elastalert

Источник

user2699981 16 июн '16 в 09:29

3 ответа

Другие вопросы по тегам elastalert

user10373995 17 сен '18 в 08:38 2018-09-17 08:38 · Answer 1 · 2018-09-17 08:38

В UTC:

filter:
  range:
    "@timestamp":
      gte: "now/d+0h"
      lt: "now/d+2h"

0

Источник

user10373995 17 сен '18 в 08:38

greg 08 фев '23 в 14:56 2023-02-08 14:56 · Answer 2 · 2023-02-08 14:56

если вы хотите, чтобы ваше оповещение действовало только в определенные часы, вы можете создать расширение, которое сбрасывает оповещение, если текущее время не соответствует вашим потребностям, проверьте https://elastalert.readthedocs.io/en/latest/recipes/adding_enhancements.html

с уважением

0

Источник

greg 08 фев '23 в 14:56

user5735872 05 сен '19 в 15:59 2019-09-05 15:59 · Answer 3 · 2019-09-05 15:59

Сейчас настало время сервера.

filter:
 - range:
   "@timestamp":
      "from": "now-2h"
       "to": "now"

0

Источник

user5735872 05 сен '19 в 15:59