INTRODUÇÃO
Um dos grandes beneficios de se trabalhar com a versão licenciada da Elastic é poder fazer o uso dos alertas com os conectores no Kibana! Esses alertas são bem uteis no dia a dia para identificar alguma situação que faça com o alerta seja disparado, por exemplo, falta de espaço em disco, alto uso de cpu, uma quantidade X de eventos em menos de Y segundos, etc… o céu é o limite para os alertas.
Porém esses alertas precisam ter uma interpretação fácil, você não pode gastar muito tempo para entender quais informações são uteis ou não, por isso nesse artigo de hoje foi ensinar como refinar os “hits” que são retornados quando fazemos um alerta utilizando uma query elasticsearch.
Obs. O foco do artigo NÃO é ensinar a fazer o alerta, apenas ensinar como deixá-lo mais legível.
EXECUÇÃO
Um vez definido a query você irá informar quais serão os campos enviados no alerta, conforme o opção “Message” do exemplo abaixo:
Porém ao usar um context.hits o retorno do alerta será o seguinte:
{"_index":"index_teste","_id":"LxwyX4UBRN4n6xZU6aBp","_score":null,"_source":{"account":"production","service":"nginx","@timestamp":"2023-01-02T12:34:50.084Z"},"fields":{"@timestamp":["2023-01-02T12:34:50.084Z"]},"sort":[1672662890084]}Para entender qual foi a aplicação impactada caberia uma analise para identificar os campos. O que podemos fazer nesse cenário é “navegar” no array de hits e definir que o alerta envie somente os campos necessários. Exemplo:
CTRL C + CTRL V
{{#context.hits}}
Account: {{_source.account}} | Service: {{_source.service}}
{{/context.hits}}Ao definir o alerta dessa forma o texto do envio passará a ser assim:
Account: service | Service: nginxBeeeem mais prático não? Espero que seja útil para você como é útil para mim!!
Essa era a dica que tinha para hoje, te vejo em breve!
REFERÊNCIA
Link da documentação oficial: https://www.elastic.co/pt/what-is/kibana-alerting
