ElasticSearch Watcher gefilterte Bereich Abfrage

Question

Ich brauche Hilfe beim Schreiben Watcher Eingabe Abfrage für ElasticSearch (v5.3). Meine Anforderung besteht darin, eine Warnung auszulösen, wenn der Apache-Statuscode 500 oder mehr erreicht.

Index name: Apache-access-log Field name: status_code Kibana Discover query: status_code: [500 TO 600] Time period: Last 15 minutes.

Hier ist die Watcher Eingangs Abfrage, die ich verwendet habe, aber es hat nicht wie erwartet funktioniert.

Answer 1

Elasticsearch 5.5 unterstützt keine gefilterte Abfrage mehr. Verwenden Sie eine boolean Abfrage mit einem Filter

Bool: Muss: query_string: Abfrage: 'status_code: [500: 600]' Filter: Bereich: @timestamp: ...

Immer versuchen, zuerst als eigenständige Abfrage abfragen, bevor sie in Watcher gestellt wird. Wenn Sie etwas Zeit haben, ermutige ich Sie sehr this blog post, wie man Uhren schreibt und debuggt