Можно ли использовать ElastAlert для составления отчета об общем количестве определенного события, поскольку количество его случаев увеличивается в течение дня?
Я пробовал что-то вроде правила ниже (которое не выполняется при разборепроблема), но неясно, как лучше отслеживать и сообщать о количестве обращений по заданному запросу с течением времени, чем сообщать о содержании документов, которые возвращаются из запроса.
name: Cumulative events
type: change
index: myindex*
compare_key: num_hits
timeframe:
minutes: 5
filter:
- query:
bool:
must:
- match:
data.attributes.source:
query: APP_NAME
- range:
eventTimestamp:
gte: now/d
lte: now
- regexp:
data.attributes.message: ".*complete.*"
alert:
- "slack"
alert_subject: "Cumulative event report"
alert_text_type: alert_text_only
alert_text: "{0} events so far today"
alert_text_args: [num_hits]
slack_webhook_url: https://hooks.slack.com/services/SNIP/SNIP/SNIP
slack_proxy: someserver:8080