我的目标是提醒唯一的错误类型仅(Elasticsearch 6.8 + Elastalert)。
错误日志示例(5个文档,相同索引,相同字段):
- 组件X试图在9.3秒内重新连接时出现9837错误
- 组件X试图在8.7秒内重新连接时出现9837错误
- 尝试连接19.324.21.234失败
- 201/01/01 08:51:54.203 Errno 111 tensorflow/stream_executor…
- 201/01/01 08:52:76.009 Errno 111 tensorflow/stream_executor…
使用query_key从Elastalert我可以确保警报唯一的错误消息。上面的错误信息都是唯一的,因此我将收到5个警报。但是,我只想收到3个警报,每个错误类型。
Elastalert允许您使用Elasticsearch的Query DSL编写常规查询。
是否有一种方法来编写一个查询,过滤掉文档,如果一个特定的字段是100% - 90%类似于其他文档?
我怀疑这可能有一个完全不同的解决方案。如果有更好的处理提醒的方法或一些最佳实践,请随时分享。
可以用Levenshtein距离添加新字段