我写了以下规则
type: frequency
filter:
- query:
query_string:
query: "category:foo.bar AND msg._:*Failure*"
alert_text: "Total number of errors cross threshold..... <a href='{0}'>Kibana link</a>"
alert_text_args:
- kibana_link
alert_text_type: alert_text_only
我的config.yaml是
# Kibana Dashboard
use_kibana4_dashboard: http://mykibana.com/
当出现警报时,我点击我在邮件中添加的超链接。它带我到我的仪表板。
但我想要的是,它不是在数据发现屏幕上显示的仪表板,而是在它发出警报时发出的相同查询。
这样我想确切地看到当提出警报时,elastalert看到的查询结果。
答案 0 :(得分:1)
实际上,我能够自己解决这个问题。我在这里写我的解决方案。
所以基本上,我在kibana上完成了与上面标准完全相同的搜索并保存了搜索。接下来,我创建了一个仪表板,并将保存的查询拉入仪表板。
接下来,我将规则指向包含已保存查询的新仪表板。
生成链接时,elastalert将以将时间段注入超链接的方式创建链接。当您点击链接时,您将看到警报的确切内容。