У меня есть правило ElastAlert со следующей настройкой:
Type: частота num_event равно 1 timeframe составляет 24 часа.
Допустим, у меня есть список событий со следующими сообщениями:
- узел backup_fail_event = 10
- узел backup_fail_event = 20
- backup_fail_event node = 30
В настоящее время я использую фильтр для поиска событий, где он помечен как «backup_fail_event».Мое предупреждение работает, но оно предупреждает меня только один раз, и именно тогда обнаруживается любое сообщение «backup_fail_event».
Вопрос: Существует ли какое-либо правило эластастера, которое я могу использовать, или другой атрибут конфигурации, который я могу использовать для частого типа правила, чтобы запускать несколько раз, когда обнаружено более одного события.
Пример:
- , если произошло более 1 события, поднять предупреждение
- для каждого из этих событий, один раз предупредить.
Таким образом, в сценарии выше,это должно предупредить меня 3 раза.