Как настроить оповещение в Elasticsearch, чтобы оно срабатывало точно, если нет данных для определенного фильтра индекса и определенного поля (с содержимым) в этом фильтре индекса в течение определенного диапазона времени?
Пример:
- Индексный фильтр:
dummy-1234-* - Поле:
message - Содержимое поля:
Test
Требуемый результат: Триггер предупреждение, если нет message с содержимым Test по индексу dummy-1234-* за последнюю минуту.
Что я пробовал:
Порог индекса с: INDEX dummy-1234- * КОГДА count () НАД всеми документами НИЖЕ 1 ЗА ПОСЛЕДНЮЮ 1 минуту
-> Это не срабатывает вообще (и не учитывает поле сообщения и его содержимое).
Есть ли еще способ добиться такого поведения?