Heyo! Я пытаюсь выполнить запрос elastalert, чтобы найти ошибки и отправить их. Проблема в том, что я не могу получить совпадение с моими ошибками из-за того, что не могу получить совпадение с пользовательским тегом, который я сделал.
Что я должен изменить в своем запросе, чтобы иметь возможность поиска по этому полю?
Я пытался добавить тег в строку запроса, но безрезультатно, поскольку тег поля является массивом. Я также попытался добавить термин для поля «теги», но термины не поддерживают массивы.
Вот мой конфиг:
filter:
- query:
query_string:
query: "loglevel=ERROR"
- term:
tags: "tag1"
Я также пробовал это, но он также неработа.
- term:
tags: ["tag1"]
Исключение составляет "запрос [term] не поддерживает массив значений"
Это моя строка журнала в Кибане
level: ERROR
tags: tag1
Я ожидаючто я должен получить удар по моей строке журнала с уровнем ОШИБКИ и тегом "tag1". Однако теперь я ничего не получаю обратно.
Если я удаляю свою часть «тега» запроса, я получаю попадание в строки, но это все журналы ошибок, а не те, которые я только хочу видеть.
Любая помощь приветствуется!