Подать оповещение, если в течение 5 минут нет входа в кибану.
Я пробовал плоское оповещение.Он выдает предупреждение, но не сообщает, какой IP-адрес прекратил отправку журналов.Предположим, есть 4 IP-адреса, отправляющих журналы в Kibana, и если я создаю плоское оповещение с query_key в качестве ipaddress, оно срабатывает правильно.Но детали оповещения в slack не говорят, для какого IP логи перестали приходить в Кибану.Мне нужно пойти в Кибану и вручную выполнить запрос для каждого IP-адреса, чтобы определить правильный IP-адрес.Итак, я ищу альтернативу для плоского оповещения.
nextrulename: RLCMNoKibanaLogs
index: logstash-*
type: flatline
query_key: ["@module_tag", "ipaddr"]
threshold: 1
timeframe:
minutes: 5
realert:
minutes: 0
use_count_query: true
doc_type: fluentd
filter:
- query:
query_string:
query: '@module_tag:rlcm'
alert: my_alerts.AlertManager
labels:
alertsrc: ElasticSearch
kafka: 'true'
slack: 'true'
severity: info
annotations:
description: No logs reaching kibana for RLCM component.
summary: No logs available in Kibana from RLCM for the last 5 minutes.
Это оповещение срабатывает правильно, но не показывает, для каких журналов IP остановлено.Итак, я ищу альтернативу оповещениям с плоским журналом, чтобы не обрабатывать журналы в ситуации в Кибане.Любая помощь будет великолепна.