规则操作变量

警报规则可以使用 Mustache 模板语法 ({{variable name}}) 在操作运行时传递值。

通用变量编辑

可用变量因规则类型而异，但有一些通用变量

在某些情况下，变量值在需要转义的上下文中使用时将被“转义”。例如

Mustache 还支持 {{{variable name}}} 形式的“三花括号”，表示不应执行任何转义。谨慎使用此形式，因为它可能最终会渲染变量内容，从而导致生成的参数无效或格式错误。

一般编辑

所有规则类型都传递以下变量

操作频率：警报摘要编辑

如果规则的操作频率是警报的摘要，则它会传递以下变量

操作频率：每个警报编辑

如果规则的操作频率不是警报的摘要，则它会传递以下变量

上下文编辑

如果规则的操作频率不是警报的摘要，则规则会将其他变量定义为变量 context 的属性。例如，如果规则类型定义了一个变量 value，则可以在操作参数中使用它，例如 {{context.value}}。

出于诊断或探索目的，值是对象的 action 变量（例如 context）可以直接作为变量引用。结果值将是对象的 JSON 表示形式。例如，如果操作参数包含 {{context}}，它将扩展到规则类型提供的所有变量和值的 JSON 表示形式。要查看所有特定于警报的变量，请使用 {{.}}。

对于规则响应返回数据数组的情况，您可以循环遍历 context

{{#context}}{{.}}{{/context}}

例如，循环遍历搜索结果命中

triggering data was:
{{#context.hits}} - {{_source.message}}
{{/context.hits}}

增强 Mustache 变量编辑

当 Mustache 模板被渲染时，您可以通过将对象渲染为 JSON 或使用 Mustache lambda 来增强 Mustache 变量中包含的值。

将对象渲染为 JSON编辑

某些连接器（例如 Webhook 连接器）在调用连接器时需要将 JSON 值作为参数传递。以下功能可用

使用 Mustache lambda编辑

Mustache lambda 为 Mustache 模板提供额外的渲染功能。Mustache lambda 的格式类似于 Mustache 部分。例如

{{#EvalMath}} round(context.value, 1) {{/EvalMath}}

在这个例子中，lambda EvalMath 被传递了文本 round(context.value, 1)，并渲染了 context.value 变量的四舍五入值。这种模式被所有后续部分描述的 Mustache lambdas 使用。

EvalMathedit

EvalMath lambda 将会把传递给它的文本作为 TinyMath 函数 进行评估。

例如，当 Mustache 变量 context.value 为 3.1234 时，以下模板将渲染为 3.1

{{#EvalMath}} round(context.value, 1) {{/EvalMath}}

这个 lambda 可以访问 Mustache 变量，而无需将它们包装在 {{}} 中。但是，如果值是字符串形式（例如，Elasticsearch 数字字段，其源被索引为字符串），或者可能被转义，使用三引号转义值应该可以解决这个问题。例如，如果 Mustache 变量 context.value 为 "3.1234"，以下模板将渲染为 3.1

{{#EvalMath}} round( {{{context.value}}} , 1) {{/EvalMath}}

ParseHjsonedit

ParseHjson lambda 在构建 JSON 对象时提供了易用性功能。 Hjson 是 JSON 的语法扩展。它具有以下功能

要使用它，请将您的 Hjson 内容用 {{#ParseHjson}}...{{/ParseHjson}} 包围。例如

{{#ParseHjson}}
{
  # add the rule id and name to the JSON document
  ruleId:   "{{rule.id}}"
  ruleName: "{{rule.name}}"
}
{{/ParseHjson}}

渲染后，此模板将生成

    {
      "ruleId": "<the rule id is here>",
      "ruleName": "<the rule name is here>"
    }

FormatDateedit

FormatDate lambda 提供日期格式化功能。日期可以在任意时区和任意格式字符串中进行格式化。

要使用它，请将日期和格式化参数用 {{#FormatDate}}...{{/FormatDate}} 包围。

传递给 lambda 的文本格式为：<date>; <time zone>; <date format>，其中分号 (;) 分隔每个参数。 <date> 参数是必需的；<time zone> 和 <date format> 参数是可选的。默认时区为 "UTC"，默认日期格式为 "YYYY-MM-DD hh:mma"。例如，以下模板都渲染相同的值

    {{#FormatDate}} {{{timestamp}}} {{/FormatDate}}
    {{#FormatDate}} {{{timestamp}}} ; UTC {{/FormatDate}}
    {{#FormatDate}} {{{timestamp}}} ; UTC; YYYY-MM-DD hh:mma {{/FormatDate}}
    {{#FormatDate}} {{{timestamp}}} ; ; YYYY-MM-DD hh:mma {{/FormatDate}}

<time zone> 参数必须是 TZ 数据库时区名称 中列出的有效时区标识符，例如 "America/New_York"。

<date format> 参数必须是 Moment format() 文档 中描述的有效日期格式字符串。例如，日期格式 "YYYY-MM-DD hh:mma" 将以以下格式渲染："2023-04-24 11:21pm"。

日期值本身通常应该用三花括号引用，因为日期字符串中的一些字符可能包含被转义的值，这将阻止它们被解析为日期。

FormatNumberedit

FormatNumber lambda 使用 Intl.NumberFormat 对象 提供数字格式化功能。

可以使用以下 Intl.NumberFormat 选项对数字进行格式化

要使用 lambda，请将数字和格式化选项用 {{#FormatNumber}}...{{/FormatNumber}} 包围。

传递给 lambda 的文本格式为：<number>; <locales>; <options>，其中分号 (;) 分隔每个参数。 <number> 参数是必需的；它是要格式化的值。 <locales> 和 <options> 参数是可选的，但必须提供分号；值可以为空字符串。 <locales> 参数是通过逗号 (,) 分隔的区域设置列表。 <options> 参数是通过逗号 (,) 分隔的键值对列表。键值对是通过冒号 (:) 分隔的字符串，其中键是选项的名称，值是选项的值。默认区域设置为 en-US，默认情况下不设置任何选项。

有关区域设置字符串的更多信息，请参阅 Intl 参考中的 locales 参数文档。

可以在其中使用的选项和值列在 Intl.NumberFormat() 构造函数文档 中的 options 下。

例如

    original value: {{{context.value.condition0}}}
    formatted value: {{#FormatNumber}}
        {{{context.value.condition0}}} ; de-DE ; style: currency, currency: EUR
    {{/FormatNumber}}

如果上下文变量 context.value.condition0 的值为 628.4，则会生成以下文本

    original value: 628.4
    formatted value: 628,40 €

{{FormatNumber}} 和 {{EvalMath}} lambda 可以一起使用，对数字执行计算，然后对其进行格式化。例如

    original value: {{{context.value.condition0}}}
    formatted value: {{#FormatNumber}}
      {{#EvalMath}} {{context.value.condition0}} * 0.1 {{/EvalMath}}
      ; de-DE ; style: currency, currency: EUR
    {{/FormatNumber}}

如果上下文变量 context.value.condition0 的值为 628.4，则会生成以下文本

    original value: 628.4
    formatted value: 62,84 €

Mustache 示例edit

此示例演示了从 Elasticsearch 查询规则发送的电子邮件操作的 Mustache 模板。该模板引用了以下 Mustache 变量

例如，如果您有以下数据可用作 Mustache 变量

{
  "date": "2023-04-27T22:40:34.153Z",
  "context": {
    "title": "rule 'esq' matched query for group host-2",
    "conditions": "Number of matching documents for group \"host-2\" is less than 1000",
    "link": "https://example.com/this-will-link-to-Discover",
    "hits": [
      {
        "_source": {
          "event": {
            "provider": "alerting",
            "action": "active-instance",
            "duration": "96023000000"
          }
        }
      },
      {
        "_source": {
          "@timestamp": "2023-04-27T22:40:22.251Z",
          "event": {
            "provider": "alerting",
            "action": "execute-action"
          }
        }
      }
    ]
  }
}

您可以在规则的电子邮件操作中创建以下 Mustache 模板

# {{context.title}} 

{{#FormatDate}} {{{date}}} ; America/New_York {{/FormatDate}} 

{{context.conditions}}

**documents** _[view in Discover]({{{context.link}}})_ 

| provider | action | duration | 
| -------- | ------ | -------- |
{{#context.hits}}{{#_source.event}}| {{provider}} | {{action}} | {{#duration}}{{#EvalMath}} round( {{{duration}}} / 1000 / 1000 / 1000 ) {{/EvalMath}} sec{{/duration}} {{^duration}}-n/a-{{/duration}} |{{/_source.event}}
{{/context.hits}}

当渲染为 Markdown，然后渲染为 HTML 并显示在电子邮件客户端中时，它看起来像这样