#elasticsearch #kibana #alert #elastalert
#elasticsearch #kibana #предупреждение #elastalert
Вопрос:
Моя цель — получать предупреждения только для уникальных типов ошибок (Elasticsearch 6.8 Elastalert).
Пример журналов ошибок (5 документов, один и тот же индекс, одно и то же поле):
- Ошибка 9837 в компоненте X при попытке повторного подключения через 9,3 секунды
- Ошибка 9837 в компоненте X при попытке повторного подключения через 8,7 секунды
- Попытка подключиться к 19.324.21.234 не удалась
- 2021/01/01 08:51:54.203 Ошибка 111 tensorflow /stream_executor…
- 2021/01/01 08:52:76.009 Ошибка № 111 tensorflow /stream_executor…
Используя query_key from Elastalert, я могу убедиться, что меня предупреждают только об уникальных сообщениях об ошибках. Все приведенные выше сообщения об ошибках уникальны, и поэтому я получу 5 предупреждений. Однако я хочу получать только 3 предупреждения, по одному для каждого типа ошибки.
Elastalert позволяет писать обычные запросы с помощью DSL запросов Elasticsearch.
Есть ли способ написать запрос, который отфильтровывает документы, если определенное поле на 100-90% похоже на другие документы?
Я подозреваю, что для этого может быть совершенно другое решение. Если есть лучшие способы обработки оповещений или некоторые рекомендации, не стесняйтесь делиться ими.
Ответ №1:
Можно добавить новое поле с расстоянием Левенштейна