- elasticsearch/
elasticsearch 在ElastAlert中比较上周同一小时的数据
elasticsearch 在ElastAlert中比较上周同一小时的数据
我正在尝试在ElastAlert中设置一个警报,该警报将在周一01:00-02:00的事件数量比前一周周一的同一时间段大或小10%时发出警报 我们的数据每天都有很大的不同,例如,周日和周一,以及一小时一小时
有没有办法使用spike类型或任何其他过滤器来执行此类检查?我也遇到过类似的问题。最后,我对elastAlert进行了分叉,并添加了新的规则类型 在引擎盖下,它再次调用ES并比较数据。它有点脏,不适合原来的elastAlert架构。但它确实做到了。 它是“峰值”和“度量聚合”规则的混合体 下面是我的规则配置示例
# Alert when there is a sudden spike comparing to the historical data
name: Spike detection
type: metric_history_aggregation
index: metrics-*
# Reference window diff in minutes
date_diff_ref: 10080
# Spike detection
threshold_total: 50
threshold_cur: 0
threshold_ref: 0
spike_height: 1.05
spike_type: both # <both/up/down>
# Aggregation
metric_agg_key: "<field_name>"
metric_agg_type: sum
max_threshold:
# Alert section
alert:
- "slack"
alert_display_timezone: US/Pacific
alert_text_type: exclude_fields
alert_subject: ""
slack_webhook_url: "https://hooks.slack.com/services/..."
#与历史数据相比出现突然峰值时发出警报
名称:尖峰检测
类型:度量\历史\聚合
索引:指标-*
#参考窗口差异(分钟)
日期差异参考号:10080
#尖峰检测
总数:50
阈值\u cur:0
阈值\u参考:0
穗高:1.05
棘突型:两种类型
#聚集
公制加总键:“
度量加类型:总和
最大阈值:
#警戒区
警觉的:
-“松弛”
警报显示时区:美国/太平洋
警报\文本\类型:排除\字段
警告主题:“
slack\u webhook\u url:“https://hooks.slack.com/services/..."
# Alert when there is a sudden spike comparing to the historical data
name: Spike detection
type: metric_history_aggregation
index: metrics-*
# Reference window diff in minutes
date_diff_ref: 10080
# Spike detection
threshold_total: 50
threshold_cur: 0
threshold_ref: 0
spike_height: 1.05
spike_type: both # <both/up/down>
# Aggregation
metric_agg_key: "<field_name>"
metric_agg_type: sum
max_threshold:
# Alert section
alert:
- "slack"
alert_display_timezone: US/Pacific
alert_text_type: exclude_fields
alert_subject: ""
slack_webhook_url: "https://hooks.slack.com/services/..."
#与历史数据相比出现突然峰值时发出警报
名称:尖峰检测
类型:度量\历史\聚合
索引:指标-*
#参考窗口差异(分钟)
日期差异参考号:10080
#尖峰检测
总数:50
阈值\u cur:0
阈值\u参考:0
穗高:1.05
棘突型:两种类型
#聚集
公制加总键:“
度量加类型:总和
最大阈值:
#警戒区
警觉的:
-“松弛”
警报显示时区:美国/太平洋
警报\文本\类型:排除\字段
警告主题:“
slack\u webhook\u url:“https://hooks.slack.com/services/..."