一、配置规则
规则类型
- any: 只要有匹配就报警;
- blacklist: compare_key 字段的内容匹配上 blacklist 数组里任意内容;
- whitelist: compare_key 字段的内容一个都没能匹配上 whitelist 数组里内容;
- change: 在相同 query_key 条件下,compare_key 字段的内容,在 timeframe 范围内发送变化;
- frequency: 在相同 query_key 条件下,timeframe 范围内有 num_events 个被过滤出来的异常;
- spike: 在相同 query_key 条件下,前后两个 timeframe 范围内数据量相差比例超过 spike_height。其中可以通过 spike_type 设置具体涨跌方向是up, down, both。还可以通过threshold_ref 设置要求上一个周期数据量的下限,threshold_cur 设置要求当前周期数据量的下限,如果数据量不到下限,也不触发;
- flatline: timeframe 范围内,数据量小于 threshold 阈值;
- new_term: fields 字段新出现之前 terms_window_size(默认 30 天) 范围内最多的 terms_size(默认 50) 个结果以外的数据;
- cardinality: 在相同 query_key 条件下,timeframe 范围内 cardinality_field 的值超过 max_cardinality 或者低于 min_cardinality。
Elasticsearch 之 elastalert监控告警通知
原文:https://blog.51cto.com/12965094/2666368
