Получение ложных положительных оповещений для правила Flatline.
В моем индексе есть документы за последние 10 минут, но мое плоское правило отправляет ложные оповещения. Проверен точный запрос, который делает elastalert, добавив --es_debug_trace trace.log, и он извлекает результаты в интервале времени, когда срабатывает предупреждение.
Наблюдаемое после предупреждения (в подробном режиме) каждый раз, когда уведомление по электронной почте
WARNING:elasticsearch:DELETE http://hostname:9200/_search/scroll [status:404 request:0.002s]
Правило
name: test_flatline
type: flatline
index: test-index-*
timeframe:
minutes: 10
threshold: 1
alert:
- email
email:
- email_id@support_xyz.com
smtp_host: smtp.gmail.com
smtp_port: 587
smtp_ssl: false
from_addr: dev_ops@support_xyz.com
smtp_auth_file: elastalert/smtp_auth.yml
config
rules_folder: /rule_dir
run_every:
minutes: 15
buffer_time:
minutes: 15
es_host: hostname
es_port: 9200
writeback_index: elastalert_status
alert_time_limit:
days: 2
Уведомление по электронной почте
An abnormally low number of events occurred around 2019-10-16 11:30 UTC.
Between 2019-10-16 11:20 UTC and 2019-10-16 11:30 UTC, there were less than 1 events.
@timestamp: 2019-10-16T11:30:24.304372Z
count: 0
key: all
num_hits: 0
num_matches: 1
Сведения о кластере: Elasticsearch версия 7.3, Elastalert версия 0.2.1