n00bs的ElastAlert配置-第2部分

我们如何将elastalert设置为elasticsearch？

在跳到该步骤之前，请确保弹性搜索正在运行，并且针对接口是kibana（如果需要）。

Yass！， ElastAlert将在弹性搜索中创建一个要写入的索引 。

安装后，要运行，请执行以下命令来创建它。

$ elastalert-create-index

它将询问我们需要哪个索引名称，主机和端口信息。是否需要重新创建它？ $ elastalert-create-index —重新创建

更多信息，请查看$ elastalert-create-index —帮助

示例：您可以检查示例文件夹以获取更多信息，如我们所见
elastalert主要配置规则类型和警报。

让我们看看如何创建一个规则。

每个规则定义一个查询以在警报的弹性搜索列表中执行操作

以上两点将在规则中定义。（示例规则文件类似.yaml格式）。

频率规则类型，希望从config中描述信息。

elastalert的配置文件：（config.yaml）-全局配置。

如您所见，我们可以覆盖规则级别中的某些信息作为级别。

频率规则说明：索引（loginfo）记录要提取1分钟记录，num_events必须在30秒的时间范围内至少存在30个，并且规则将每1分钟运行一次以提醒该规则。

在下一部分中，我们将详细介绍每种规则类型
在下一部分中，以及如何创建自定义规则类型和增强数据。

如有疑问，请随时发表评论！

谢谢阅读