我试图使用ElastAlert规则在日志消息有效负载中匹配子字符串notify=warning或notify="warning",到目前为止使用我在下面包含的规则过滤器,结果不太理想:
filter:
- query:
query_string:
query: "message:\"notify=warning\" OR message:\"notify=\"warning\"\""
我正在搜索的子字符串位于message字段的中间,但我的过滤器的结果与引用的“警告”不匹配,并且它还将拾取仅包含“警告”等字样的消息。任何帮助修复我的比赛将不胜感激。
您可以尝试使用“.keyword”来完全匹配。
EG
query: "message.keyword:\"notify=warning\" OR message:\"notify=\"warning\"\""