Elastalertのrule.yamlの設定について

elastalertにて
/var/log/messagesをelasticsearchのindexに格納して、ログ監視したいです。
blacklistの文言が出力されたら、アラートメールを送信させてたいです。

初回
logger error:testtest で、blacklist内の文字列を出力させて、
アラートメールを送信させることができました。

二度目以降
logger error:testtestで、アラートメールを送信させようとしたのですが
検知できていないのか、アラートメールが送信できませんでした。

設定に、不備があるのでしょうか?
原因確認方法と対処をご教示をお願いします。

■elastalertのrule.yaml
rule.yaml: |
es_host: Monitoring-elasticsearch-service-front
es_port: 9200
use_ssl: False

name: monitoring_/var/log/messages
index: logstash-*

type: blacklist
compare_key: "message"
blacklist:
 - "error:testtest"
 - " alert "
 - " crit "
 - " critical "
 - " emergency "
 - " err "
 - " error "
 - " failed "
 - " halt "
 - "kern.alert"
 - "kern.crit"
 - "kern.emerg"
 - "kern.err"
 - "kern.warnig"
 - " can't "
 - " dis"
 - " down "
 - " ignore "
 - " no "
 - " not "
 - " oops "
 - " warn "
 - " warning "
 - " [ERROR] "

type: frequency
num_events: 1
timeframe:
    minutes: 1
realert:
  minutes: 0

alert:
- "email"
email: 
- "メールアドレス"

Elastalertの質問はElastalertのリポジトリやコミュニティに聞いていただくのが良いかと思います。

ご指摘、ありがとうございます!
わかりました。

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.