elastalert疑问记录

1. config.yaml 文件中的max_aggregation配置项不太理解

2. config.yaml 文件中的old_query_limit配置项提到EA会在启动后从上次运行的时间开始查询，也就是说即使EA或者ES不可用的时候，日志监控也不会断层？待确认

3. EA 在运行过期中貌似会监控规则文件夹下的磁盘状态，一旦文件发生变化会自动发生热重载。参考 config.yaml 中的disable_rules_on_error

4. config.yaml 中的 skip_invalid 选项的跳过无效文件指的是配置文件？

5. config.yaml 中的 --end <timestamp> 选项在官网有两个描述

6. buffer_time 选项要好好看看到底是什么意思，除了简单的查询窗口之外，还有没有其它用意以及功能：ElastAlert will buffer results from the most recent period of time, in case some log sources are not in real time

7. run_every 是执行时间间隔窗口，单run_every 小于buffer_time 的时候的处理逻辑是怎样的。初步看来 EA 会过滤那些在叠加的查询窗口内重复查询出来的内容，看看它是怎样实现的

8. 大时间区间(timeframe)会有多个查询(run_every/buffer_time)发生

9. 导入模块的规则和告警名称为 module.file.RuleName和 module.file.AlertName，有点奇怪

10. 了解规则配置中的use_strftime_index格式化字符串索引名称的原理、search_extra_index参数不理解、aggregation和aggregate_by_match_time不理解、exponential_realert在文档中给出的例子算法貌似有点问题、query_delay 要看一下算法、top_count_keys不理解