Watcher 搜索负载转换
编辑Watcher 搜索负载转换编辑
一个 负载转换,它在集群上执行搜索,并将监视执行上下文中的当前负载替换为返回的搜索响应。以下代码片段展示了如何在监视级别定义一个简单的搜索转换
{
"transform" : {
"search" : {
"request" : {
"body" : { "query" : { "match_all" : {} }}
}
}
}
}
与所有其他基于搜索的构造一样,可以使用 Elasticsearch 支持的完整搜索 API。例如,以下搜索负载转换在所有事件索引上执行搜索,匹配优先级为 error 的事件
{
"transform" : {
"search" : {
"request" : {
"indices" : [ "events-*" ],
"body" : {
"size" : 0,
"query" : {
"match" : { "priority" : "error"}
}
}
}
}
}
}
下表列出了搜索负载转换的所有可用设置
表 88. 搜索负载转换设置
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
|
否 |
query_then_fetch |
搜索 类型. |
|
否 |
所有索引 |
要搜索的一个或多个索引。 |
|
否 |
|
请求的主体。 请求主体 遵循您通常在 REST |
|
否 |
|
确定如何扩展索引通配符。由 |
|
否 |
|
一个布尔值,确定搜索是否应该宽松地忽略不可用的索引(参见 多目标语法) |
|
否 |
|
一个布尔值,确定当未解析任何索引时,搜索是否应该宽松地返回无结果(参见 多目标语法) |
|
否 |
- |
搜索模板的主体。有关更多信息,请参见 配置模板. |
|
否 |
30s |
等待搜索 API 调用返回的超时时间。如果在此时间内未返回响应,则搜索负载转换将超时并失败。此设置将覆盖默认超时时间。 |
模板支持编辑
搜索负载转换支持 mustache 模板。这可以作为主体定义的一部分,或者可以指向现有的模板(在文件中定义或 存储 为 Elasticsearch 中的脚本)。
例如,以下代码片段展示了引用监视计划时间的搜索
{
"transform" : {
"search" : {
"request" : {
"indices" : [ "logstash-*" ],
"body" : {
"size" : 0,
"query" : {
"bool" : {
"must" : {
"match" : { "priority" : "error"}
},
"filter" : [
{
"range" : {
"@timestamp" : {
"from" : "{{ctx.trigger.scheduled_time}}||-30s",
"to" : "{{ctx.trigger.triggered_time}}"
}
}
}
]
}
}
}
}
}
}
}
模板的模型是提供的 template.params 设置和 标准监视执行上下文模型 之间的联合。
以下是使用引用提供参数的模板的示例
{
"transform" : {
"search" : {
"request" : {
"indices" : [ "logstash-*" ],
"template" : {
"source" : {
"size" : 0,
"query" : {
"bool" : {
"must" : {
"match" : { "priority" : "{{priority}}"}
},
"filter" : [
{
"range" : {
"@timestamp" : {
"from" : "{{ctx.trigger.scheduled_time}}||-30s",
"to" : "{{ctx.trigger.triggered_time}}"
}
}
}
]
}
},
"params" : {
"priority" : "error"
}
}
}
}
}
}
}