Elastalert при совокупном отклике индекса

Question

Elastalert при совокупном отклике индекса

Может кто-нибудь помочь мне настроить правило elastalert:

Индекс: elastalert_status

Агр по полю "rule_name".

задача: когда ответ счетчика аггр для rule_test_1 и rule_test_2 равен хотя бы "1".

аггр запрос:

      GET elastalert_status/_search
{
  "aggs": {
    "by_rule_name": {
      "terms": {
        "field": "rule_name"
      }
    }
  },
  "size": 0
}

Ответ:

      {
  "aggregations" : {
    "by_rule_name" : {
      "doc_count_error_upper_bound" : 0,
      "sum_other_doc_count" : 0,
      "buckets" : [
        {
          "key" : "rule_test_1",
          "doc_count" : 10
        },
        {
          "key" : "rule_test_2",
          "doc_count" : 1
        },
        {
          "key" : "rule_test_3",
          "doc_count" : 3
        }
      ]
    }
  }
}

0

elasticsearch elasticsearch-aggregation elasticsearch-dsl elastalert elastalert2

Источник

user11950902 28 ноя '22 в 07:41

0 ответов

Другие вопросы по тегам elasticsearch elasticsearch-aggregation elasticsearch-dsl elastalert elastalert2