ElastAlertはありません

Question

次は私のconfig.yamlであり、

config.yaml

rules_folder frequency.yamlヒット：rules_folder

run_every： 秒：15

buffer_timeを： 分：1

es_host：ローカルホスト

es_port：9200

writeback_index：elastalert_status

alert_time_limit： 日：2

frequency.yaml

es_host：ローカルホスト

es_port ：9200

名：エラールール

タイプ：任意の

インデックス：logstash- *

num_events：5

期限： 時間：4

timestamp_field：「@timestamp "

フィルタ：

• 用語： ログ： "ERROR" 警告：
• "電子メール"

メール： - "my@email.com"

ノーを取得していますヒット数

INFO：elastalert：Que ried ruleエラールール2016-09-02 09:33 MDTから2016-09-02 09:34 MDT：0/0ヒット

INFO：elastalert：Ran Error rule from 2016-09-02 09:33 MDT 2016年9月2日に9時34 MDT：0クエリがヒットし、0試合、0アラートがelastalert-テストルールrules_folder /周波数の

出力を送りました。YAML

INFO：elastalert：2016年9月2日午前9時47分MDT MDT 10時32 2016年9月2日までからクエリルールエラールール：0/0ヒット

は、次のことを書かれているだろうelastalert_statusのドキュメント：

elastalert_status - { 'ヒット' 0 'と一致する' 0 '@timestamp' datetime.datetimeの（2016、9、2、16、32、32、200330、tzinfoの= tzutc （）、 'rule_name'： 'エラールール'、 '開始時刻'：datetime.datetime（2016,9,16,32,32,123856,tzinfo = tzutc（））、 'endtime'：datetime。日時（2016,9,2,16,32、 32、123856、 tzinfoが= tzutc（）） 'TIME_TAKEN'：0.07315492630004883}

Answer 1

[OK]を、私は、インデックスからインデックスを変更することによってこの問題を解決することができた：インデックスlogstash- *：filebeat-の*ため私はそれをインデックスに使用していました。これが誰かを助けることを望みます。

Answer 2

出力ログでは、2016-09-02 09:33 MDTから2016-09-02 09:34 MDT：0/0ヒット、クエリでわずか1分です。

あなたbuffer_time 4時間以上（buffer_time>の時間枠）を設定しようと あなたはQmandoにより、https://github.com/Yelp/elastalert/issues/668を参照することができますが

返信