elasticsearch - Kibana Watcher查询以搜索文本

标签 elasticsearch lucene kibana elk

我正在寻找创建Kibana观察程序的指针,我想在其中查看日志,并且如果在任何30分钟内,如果我在日志中看到文本“Security Alert”超过10次,则希望发送警报。

我指的是这篇文章
https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher-create-threshold-alert

在文档中尚不清楚如何1>读取和过滤并解析字符串2>如何设置相同的计数。

最佳答案

对于此要求,您应该使用高级观察程序,而不是更简单(功能更弱)的阈值观察程序。在Kibana-Watcher用户界面中,您可以在两种类型之间进行选择。

看到
https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher-create-advanced-watch进行介绍和
https://www.elastic.co/guide/en/elasticsearch/reference/current/how-watcher-works.html用于高级观察者的语法和总体行为。

因此,根据您在问题中描述的要求,以下是如何实现观察程序(简而言之):

  • 30分钟将是触发间隔。
  • 输入部分必须是适当的elasticsearch查询,在其中您要匹配“安全警报”文本
  • 条件类似于“numberOfHits gte 10”。因此,观察者每30分钟触发一次,但只有在满足条件时才会执行操作。
    • 在“操作”部分中的
  • 中,您需要在可用选项(日志,邮件,松弛消息等)之间进行选择。如果要发送邮件,则需要先设置邮件帐户。

    • 希望能对您有所帮助。

    关于elasticsearch - Kibana Watcher查询以搜索文本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60963993/

    上一篇:elasticsearch - 如何限制索引中ElasticSearch文档的最大数量?

    下一篇:powershell - 比较两个CSV并仅导出两个都不存在的名称列表

    相关文章:

    ssl - Windows 上的 Kibana SSL PEM 错误

    elasticsearch - 使用数据库中50个表中的数据创建一个kibana仪表板

    java - Lucene 文档对象复制其未更改的字段

    java - Hibernate 搜索自定义停用词列表

    asp.net - 是否可以同时使用lucene(在linux上)和asp.net(在windows上)?

    elasticsearch - 在Kibana中未检测到时间戳记和文档

    elasticsearch - 有没有一种方法可以在汇总后拉回字段名称?

    elasticsearch - 同时使用 match_phrase_prefix 和模糊性的 Elasticsearch 查询?

    logstash - 使用 ELK Stack 可视化 Telegraf 或 StatsD 的指标

    elasticsearch - 基于1个条件值查询嵌套JSON

    ©2024 IT工具网  联系我们