У меня есть предупреждение, и оно отлично работает, когда количество журналов превышает частоту, установленную в правиле.
Но недавно я обнаружил, что, хотя в пользовательском интерфейсе я вижу количество журналов событий составляет около 110-115 в течение 10 минут, это предупреждение не срабатывает. Потому что 100 и 110-115 - крайние случаи? Итак, я просто хочу знать, насколько точны эластомеры типа частоты? Можно ли как-нибудь уточнить это?
type: frequency
index: logstash-*
num_events: 100
timeframe:
minutes: 10
filter:
query:
query_string:
query: 'log:HOST_MOVED* AND log:EventPublisherUtil*'
alert: my_alerts.AlertManager
labels:
severity: critical
slack: 'true'
auto_resolve: 'false'
annotations:
description: Frequent HOST MOVE events observed in the last 10 minutes.