ElastAlert не соответствует точным подстрокам

Question

ElastAlert не соответствует точным подстрокам

Я пытаюсь сопоставить подстроки notify=warning ИЛИ ЖЕ notify="warning" в полезной нагрузке сообщения журнала, использующей правило ElastAlert, и пока результаты менее желательны, используя фильтр правил, который я включил ниже:

filter: - query: query_string: query: "message:\"notify=warning\" OR message:\"notify=\"warning\"\""

Подстроки, которые я ищу, находятся в середине message поле, но результаты моего фильтра не совпадают с цитируемым "предупреждением", и он также будет получать сообщения, в которых есть только слова типа "ПРЕДУПРЕЖДЕНИЕ". Любая помощь в установлении моего матча будет принята с благодарностью.

1

elasticsearch elastalert

Источник

user9274282 26 янв '18 в 20:35

1 ответ

Другие вопросы по тегам elasticsearch elastalert

user3456529 28 фев '18 в 16:29 2018-02-28 16:29 · Answer 1 · 2018-02-28 16:29

Вы можете попытаться использовать ".keyword", чтобы точно соответствовать.

например

query: "message.keyword:\"notify=warning\" OR message:\"notify=\"warning\"\""

0

Источник

user3456529 28 фев '18 в 16:29