Elastalert Правила для слабой интеграции (форматирование сообщений и вложений) - PullRequest
Новая
       18

Elastalert Правила для слабой интеграции (форматирование сообщений и вложений)

0 голосов
/ 28 марта 2019

Я пытаюсь использовать форматирование сообщений в slack. Файл Elastalert Testrule.yaml частично анализируется. Предупреждение о слабом состоянии отображается только с полями slack_alert_fields и alert_text. Я также хочу отправлять вложения в оповещениях. Как использовать attachments или создавать кнопки для предупреждений слабины? 

es_host: elasticsearch
es_port: 9200
name: Test rule Alert
type: any
index: alerts-*
filter:
- term:
    alertType.keyword: "New alert created"

alert:
- "slack"

slack_alert_fields:
- title: Network Name
  value: networkName
  short: true
- title: Alert Type
  value: alertType
  short: true
slack_actions:
- name: "network url"
  text: "Network URL"
  type: "button"
  value: networkUrl

alert_text: |
            alertData : {0}

alert_text_type: alert_text_only
alert_text_args: ["alertData"]

attachments: [
    {
        "fallback": "Required plain-text summary of the attachment.",
        "color": "#37964f",
        "pretext": "New alert created",

        "title":  alertData.reason ,
        "fields": [
            {
                "title": "Network Name",
                "value": networkName,
                "short" : true
            },
            {
                "title": "Timestamp",
                "value": timestamp,
                "short" : true
            }
            ],
            "actions": [
                {
                    "name": "network url",
                    "text": "Network URL",
                    "type": "button",
                    "value": networkUrl
                },
                {
                    "name": "org_url",
                    "text": "Organization URL",
                    "type": "button",
                    "value":  organizationUrl

                }

                ]

    }
    ]


slack_webhook_url:
- "https://hooks.slack.com/xxxxxxxxxxxxxxxxxxxxxxx"

1 Ответ

0 голосов
/ 28 марта 2019

Глядя на официальную документацию, выясняется, что Elastalert не поддерживает добавление пользовательских вложений Slack для предупреждений, поскольку в документации нет свойства для этого.

На самом деле это выглядит так, чтооповещения уже отформатированы как вложения, поэтому вы можете установить заголовок и заголовок-URL.А также определите дополнительные «поля».То, что вы можете делать только с вложениями в Slack.

Это также означает, что вы не можете указывать кнопки для своих предупреждений (которые являются специальным видом вложений в Slack).

Если вам нужна эта функциональность, я бы посоветовал связаться с разработчиком Elastalert.

...