Может ли elastalert срабатывать, когда сумма полей для всех документов, соответствующих запросу, превышает некоторое значение? Скажем, каждый документ имеет значение «цена». Может ли elastalert срабатывать, например, когда сумма значений «цены» за последний день превышает 200?
Пример документа:
{
type: "transaction",
price: 20.32
}
Пример правила на английском языке:
The sum of all documents where type = 'transaction' over the past hour exceeds 200
