Elastalert использует значение поля как адрес в оповещении по электронной почте

В настоящее время я использую elasticsearch для хранения данных, Kibana для визуализации и elastalert для создания предупреждений.

вот рабочее правило для оповещения по электронной почте с использованием правила черного списка.

name: email blacklist rule

type: blacklist

index: subjects

compare_key: subject

blacklist:
- "Hindi"

alert:
- "email"

email:
 - "[email protected]"

Это правило работает нормально, когда я жестко запрограммировал адрес электронной почты в правиле.

Вот один из документов индекса elasticsearch:

{
  "subject" : "Hindi",
  "@timestamp" : "2020-08-19T12:23:00.000Z",
  "mail_to" : "[email protected]"
}

Теперь есть способ выбрать электронное письмо из документа и отправить ему электронное письмо?

Я имею в виду, что вместо [email protected] почту нужно отправлять на [email protected].


email elastic-stack kibana elastalert
person rana bhagath chand    schedule 19.08.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Для отправки предупреждений на почту, которая присутствует в одном из полей документа, который проходит через правила elastalert, мы можем использовать встроенный вызов функции.

email_from_field: "fields_that_consists_emailid"

вот один из документов в указателе:

{
  "subject" : "Hindi",
  "@timestamp" : "2020-08-19T12:23:00.000Z",
  "mail_to" : "[email protected]"
}

вот рабочее правило для него:

name: field value rule

type: blacklist

index: subjects

compare_key: subject

blacklist:
- "Hindi"

alert:
- "email"

email:
 - "[email protected]"
 
email_from_field: "mail_to"

В вышеупомянутом правиле адрес электронной почты является обязательным параметром, который будет использоваться в случае, если в параметре email_from_field нет действительного идентификатора почты.

Итак, в вышеупомянутом правиле оповещение будет отправлено на адрес [email protected].

person rana bhagath chand    schedule 19.08.2020