我目前正在尝试开发一个松弛通道,以便在收到一组特定警报时使用警报。每当警报出现时,我已经成功地将通知发送到该通道,但是,我无法消息中包含更具体的信息(主机名、源 IP、事件操作等),除非我执行默认的
{{alerts.all.data}}我已经有了默认的“规则
{{context.rule.name}}{{state.signals_count}}{{context.observer.hostname}}{{alerts.observer.hostname}}{{observer.hostname}}{{_source.observer.hostname}}{{alerts._source.observer.hostname}}为了澄清,observer.hostname 是一个关键字字段。但是,这不应该影响它是否可以提取该数据,对吗?
如有任何帮助,我们将不胜感激!
您可以使用 以下变量自定义消息:
这些应该始终可用。 然后,根据您要创建的警报类型,您可能需要查看其他字段,例如:
要引用这些字段,您将使用 moustache 语法