我写了下面的规则
type: frequency
filter:
- query:
query_string:
query: "category:foo.bar AND msg._:*Failure*"
alert_text: "Total number of errors cross threshold..... <a href='{0}'>Kibana link</a>"
alert_text_args:
- kibana_link
alert_text_type: alert_text_only
我的config.yaml是
# Kibana Dashboard
use_kibana4_dashboard: http://mykibana.com/
当出现警报时,我单击了放入消息中的超链接。它会将我带到我的仪表板。
但我想要的是,它不是仪表板,而是进入数据发现屏幕,并在那里发出与发出警报时发出的查询完全相同的查询。
通过这种方式,我想准确查看 elastalert 在发出警报时看到的查询结果。
最佳答案
其实,我自己就能解决这个问题。我在这里写我的解决方案。
基本上,我在 kibana 中进行了与上述标准完全相同的搜索并保存了该搜索。接下来我创建了一个仪表板并将保存的查询拉到仪表板中。
接下来,我将规则指向包含已保存查询的新仪表板。
生成链接时,elastalert 将以时间段注入(inject)超链接的方式创建链接。当您单击该链接时,您将看到警报所看到的确切内容。
关于elastalert - 如何调整 ElastAlert 中的 Kibana Dashboard 链接,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41488806/