Я пытаюсь настроить расширенное оповещение в Наблюдателе эластичного поиска для поиска текста в поле «сообщение» (Type = String), который имеет шаблон «ограничение скорости = 70».
Примеры документов:
{
"ip": "10.0.0.1",
"message": "rate limit=78"
},
{
"ip": "10.0.0.2",
"message": "rate limit=82, plz slow down"
},
{
"ip": "10.0.0.3",
"message": "rate limit=80, be careful"
}
Наблюдатель должен выдать предупреждение, если ограничение скорости> 80. Таким образом, исходя из приведенных выше примеров, документ 2 должен был выдать предупреждение
я пробовал что-то вроде ниже, но ничего не возвращает:
"regexp": {
"message": {
"value": "rate limit=<0-100>",
"flags": "ALL"
}
}
Любая помощь будет оценена.