email - Elastalert使用字段值作为电子邮件警报中的地址

Question

目前，我正在使用Elasticsearch存储数据，使用Kibana进行可视化，使用elastalert进行警报。
这是使用黑名单规则的电子邮件警报的工作规则。

name: email blacklist rule

type: blacklist

index: subjects

compare_key: subject

blacklist:
- "Hindi"

alert:
- "email"

email:
 - "example@gmail.com"

当我在规则中对电子邮件地址进行硬编码时，此规则可以正常工作。
这是elasticsearch索引的文档之一:

{
  "subject" : "Hindi",
  "@timestamp" : "2020-08-19T12:23:00.000Z",
  "mail_to" : "sample@gmail.com"
}

现在有什么方法可以从文档中提取电子邮件并将其发送给它？
我的意思是应该将邮件发送到sample@gmail.com，而不是example@gmail.com。

Answer 1

要将警报发送到正在通过elastalert规则的doc字段之一中显示的邮件，我们可以使用内置功能调用

email_from_field: "fields_that_consists_emailid"

这是索引中的文档之一:

{
  "subject" : "Hindi",
  "@timestamp" : "2020-08-19T12:23:00.000Z",
  "mail_to" : "sample@gmail.com"
}

这是它的工作规则:

name: field value rule

type: blacklist

index: subjects

compare_key: subject

blacklist:
- "Hindi"

alert:
- "email"

email:
 - "example@gmail.com"
 
email_from_field: "mail_to"

在上述规则中，电子邮件是必填参数，如果在email_from_field参数中没有有效的mail-id时将使用该参数。
因此，在上述规则中，警报将发送到sample@gmail.com