0
ElastAlert更新与elasticsearch中的elastalert_status索引中的规则相关的元数据。该索引中可用的字段具有如下字段:elasticsearch中创建的elasticalert索引中的自定义字段
alert_info
alert_time
endtime
exponent
hits
matches
message
rule_type
traceback
until
另外一些存储match_body的字段。但对于每个子场kibana显示
所有这些领域似乎都源于query_key,但因为没有他们映射场他们在kibana可视化
(错误:no catched mapping for these fields. Refresh fields' list from the management > Index Patterns page)无法访问, 清爽其中没有帮助。 我试过在include指令(在规则文件中)添加字段,但没有成功。 有没有人有任何解决方案来获取elastalert_status索引中的特定字段?可用于可视化。 还没有尝试过但给logstash作为输出的时候,将有助于在消息内容的基础上添加字段,但不确定它是否可以字。反正这不是最好的解决方案。
版本ELK的堆栈5.1.2