Для этого требования вы должны использовать продвинутых наблюдателей над более простыми (и менее мощными) наблюдателями пороговых значений. В пользовательском интерфейсе Kibana-Watcher вы можете выбрать один из двух типов.
См. https://www.elastic.co/guide/en/kibana/current/watcher-ui.html#watcher -create-advanced-watch для введения и https://www.elastic.co/guide/en/elasticsearch/reference/current/how-watcher-works.html для Синтаксис и общее поведение опытных наблюдателей.
Итак, исходя из требований, которые вы описали в своем вопросе, вот как вы бы реализовали наблюдателя (концептуально в двух словах):
30 минут - это интервал триггера.
Входной раздел должен быть соответствующим запросом эластичного поиска, в котором вы сопоставляете текст «Предупреждение системы безопасности»
условие будет похоже на "numberOfHits gte 10". Таким образом, наблюдатель срабатывает каждые 30 минут, но только при выполнении условия будут выполняться действия .
в разделе действий, который вам нужно будет выбрать между доступные параметры (журнал, почта, сообщения без ответа и т. д. c.). Если вы хотите отправлять почту, то вам сначала нужно настроить почтовые учетные записи.
Я надеюсь, что смогу вам помочь.