-
config.yaml 文件中的
max_aggregation
配置项不太理解 -
config.yaml 文件中的
old_query_limit
配置项提到EA会在启动后从上次运行的时间开始查询,也就是说即使EA或者ES不可用的时候,日志监控也不会断层?待确认 -
EA 在运行过期中貌似会监控规则文件夹下的磁盘状态,一旦文件发生变化会自动发生热重载。参考 config.yaml 中的
disable_rules_on_error
-
config.yaml 中的
skip_invalid
选项的跳过无效文件指的是配置文件? -
config.yaml 中的
--end <timestamp>
选项在官网有两个描述 -
buffer_time 选项要好好看看到底是什么意思,除了简单的查询窗口之外,还有没有其它用意以及功能:ElastAlert will buffer results from the most recent period of time, in case some log sources are not in real time
-
run_every 是执行时间间隔窗口,单run_every 小于buffer_time 的时候的处理逻辑是怎样的。初步看来 EA 会过滤那些在叠加的查询窗口内重复查询出来的内容,看看它是怎样实现的
-
大时间区间(timeframe)会有多个查询(run_every/buffer_time)发生
-
导入模块的规则和告警名称为
module.file.RuleName
和module.file.AlertName
,有点奇怪 -
了解规则配置中的
use_strftime_index
格式化字符串索引名称的原理、search_extra_index
参数不理解、aggregation和aggregate_by_match_time不理解、exponential_realert在文档中给出的例子算法貌似有点问题、query_delay 要看一下算法、top_count_keys
不理解
上一篇
01_首次运行elastalert
ELK告警
2020-12-22
下一篇
volatile 和 synchronized
volatile 和 synchronized
2020-12-22