Kibanaで外部から取り込んでいるログに対し、下記ルールでアラートを発報させています。
手動実行では該当ログをすべて検出できる一方、スケジュール実行では一部が検出されません。
具体的には
- ある時間帯では該当ログが 「すべて」 アラート化される
- 別の時間帯では 「まったく」アラート化されない
── という状況で、何らかの時間要因が絡んでいるように見えます。
同様の事象を経験された方、または考えられる原因・対処法をご存じの方がいらっしゃいましたら、ご教示いただけないでしょうか。
[ルール設定]
ルール定義
インデックスパターン: logs-xxx-default
EQL クエリ: any where threat.field1 == "1"
ルールタイプ: イベント相関関係
タイムラインテンプレート: なし
スケジュール実行間隔
実行間隔:5m
追加のルックバック時間:1m
不足情報があれば追記いたします。
どうぞよろしくお願いいたします。