Я пытаюсь написать эластичное предупреждение для условия: если в течение 5 минут из приложения не поступает журнал, должно появиться предупреждение.Я попробовал следующее правило, но оно не работает.Что-то мне не хватает в синтаксисе или запросе?
nextrulename: DevopsNoLogs
index: logstash-*
type: flatline
threshold: 1
timeframe:
seconds: 1
filter:
- query:
query_string:
query: '@module_tag:devops'
alert: my_alerts.AlertManager
labels:
alertsrc: elasticsearch
kafka: 'true'
slack: 'true'
severity: critical
host_impacted: vcmts-all
wikilink: https://etwiki.sys.comcast.net/display/NGAN/DAA+Operations
annotations:
summary: alert is fired if there are no logs in kibana from RLCM Dashboard component for a duration of 5m.