Из документации elastalert ясно, что к каждому правилу может быть прикреплено любое количество предупреждений. Можно ли прикрепить условия к каждому предупреждению таким образом, чтобы они отправлялись только тогда, когда они соответствуют значению поля? Цель этого состоит в том, чтобы иметь общий фильтр и отправлять различные предупреждения каждой группе заинтересованных сторон на основе значения поля в индексе.
Например, ищем возможность иметь какое-то условие, подобное этому:
alert:
- email:
from_addr: "xxxx"
email: "user_group_1"
CONDITION:
- FIELD_X: "ZZZ"
- email:
from_addr: "xxx"
email: "user_group_2"
CONDITION:
- FIELD_X: "YYY"