{"id":465464,"date":"2025-07-01T15:17:31","date_gmt":"2025-07-01T15:17:31","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=465464"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=465464","title":{"rendered":"<span>ElastAlert 2 \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435: \u043a\u0430\u043a \u044f \u0441\u043e\u0437\u0434\u0430\u043b \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439<\/span>"},"content":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412 \u043d\u0430\u0448 \u0432\u0435\u043a \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0439 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0441\u0438\u0441\u0442\u0435\u043c \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0430\u0436\u043d\u044b\u043c\u0438. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0434\u043b\u044f \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u0431\u0435\u0441\u043f\u0435\u0440\u0435\u0431\u043e\u0439\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u044b \u044f \u0447\u0430\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e \u0432 \u0441\u0432\u043e\u0438\u0445 \u043f\u0440\u043e\u0435\u043a\u0442\u0430\u0445 Elastic Stack (\u0440\u0430\u043d\u0435\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0439 \u043a\u0430\u043a ELK Stack), \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0438\u0439 \u0441\u043e\u0431\u0438\u0440\u0430\u0442\u044c, \u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0438 \u0432\u0438\u0437\u0443\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u0433\u0440\u043e\u043c\u043d\u044b\u0435 \u043e\u0431\u044a\u0435\u043c\u044b \u0434\u0430\u043d\u043d\u044b\u0445. \u042d\u0442\u043e\u0442 \u043f\u043e\u0434\u0445\u043e\u0434 \u0448\u0438\u0440\u043e\u043a\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043b\u043e\u0433\u043e\u0432, \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b, \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043e\u0442\u0447\u0435\u0442\u043e\u0432, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0434\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0430\u043d\u043e\u043c\u0430\u043b\u0438\u0439 \u0438 \u043e\u0448\u0438\u0431\u043e\u043a.\u00a0<\/p>\n<p>\u041e\u0434\u043d\u043e\u0439 \u0438\u0437 \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0445 \u0437\u0430\u0434\u0430\u0447 \u043f\u0440\u0438 \u0440\u0430\u0431\u043e\u0442\u0435 \u0441 Elastic Stack \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u0439. \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u044f\u0449\u0438\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0438 \u043c\u0438\u043d\u0438\u043c\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f \u0441\u0431\u043e\u0435\u0432 \u0438\u043b\u0438 \u0430\u0442\u0430\u043a. \u0412 \u0442\u0430\u043a\u043e\u043c \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a ElastAlert 2 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u043c\u043e\u0449\u043d\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0441\u0448\u0438\u0440\u044f\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u0439 Elastic Stack, \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044f \u0433\u0438\u0431\u043a\u043e\u0441\u0442\u044c \u0438 \u0434\u0435\u0442\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e \u0430\u043b\u0435\u0440\u0442\u043e\u0432.<\/p>\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u0432 \u0431\u043b\u043e\u0433\u0435 \u041b\u0410\u041d\u0418\u0422 \u044f \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443 \u043e \u0442\u043e\u043c, \u043a\u0430\u043a\u043e\u0435 \u043e\u0434\u043d\u043e \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0432 ElastAlert 2 \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0432\u0441\u0435 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b \u0443\u0441\u043b\u043e\u0432\u0438\u0439 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f. \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c ElastAlert 2 \u0434\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0430\u043b\u0435\u0440\u0442\u0438\u043d\u0433\u0430 \u0432 Kibana \u0438 \u043a\u0430\u043a \u0438\u043d\u0442\u0435\u0433\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u0431\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 \u0434\u043b\u044f \u0431\u043e\u043b\u0435\u0435 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439.<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e0b\/d49\/f66\/e0bd49f66cd8c40e1a30b3aeb163be2d.png\" width=\"1153\" height=\"769\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/e0b\/d49\/f66\/e0bd49f66cd8c40e1a30b3aeb163be2d.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e0b\/d49\/f66\/e0bd49f66cd8c40e1a30b3aeb163be2d.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><strong>\u041a\u0430\u043a \u043d\u0430\u0447\u0438\u043d\u0430\u043b \u0441 ElastAlert 2 \u0438 \u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u0442\u0440\u0443\u0434\u043d\u043e\u0441\u0442\u044f\u043c\u0438 \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u043b\u0441\u044f<\/strong><\/p>\n<p>\u041d\u0430 \u043d\u0430\u0447\u0430\u043b\u044c\u043d\u044b\u0445 \u044d\u0442\u0430\u043f\u0430\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f Elastic Stack \u0432 \u043c\u043e\u0435\u0439 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a ElastAlert 2 \u0431\u044b\u043b \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432. \u041e\u043d \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u043b \u0433\u0438\u0431\u043a\u0438\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u0430\u0432\u0438\u043b \u0430\u043b\u0435\u0440\u0442\u0438\u043d\u0433\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u043b\u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0432 Elasticsearch (\u043e\u0442\u043a\u0440\u044b\u0442\u0430\u044f \u0440\u0430\u0441\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u043f\u043e\u0438\u0441\u043a\u0430 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u043c\u0438) \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u043d\u0438\u0445.\u00a0<\/p>\n<p>ElastAlert 2 \u0438\u0434\u0435\u0430\u043b\u044c\u043d\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u0438\u043b \u0434\u043b\u044f \u0437\u0430\u0434\u0430\u0447, \u0433\u0434\u0435 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u0430\u0441\u044c \u0442\u043e\u043d\u043a\u0430\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0443\u0441\u043b\u043e\u0432\u0438\u0439 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f. \u041a\u0430\u0436\u0434\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0432 ElastAlert 2 \u0431\u044b\u043b\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u0444\u0438\u043b\u044c\u0442\u0440\u043e\u0432, \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0432 Elasticsearch \u0438 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0443\u0441\u043b\u043e\u0432\u0438\u0439. \u041f\u043e \u043c\u0435\u0440\u0435 \u0443\u0432\u0435\u043b\u0438\u0447\u0435\u043d\u0438\u044f \u0438\u0445 \u0447\u0438\u0441\u043b\u0430 \u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u043c\u044b \u0441 \u043a\u043e\u043b\u043b\u0435\u0433\u0430\u043c\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0440\u044f\u0434 \u043d\u0435\u0443\u0434\u043e\u0431\u0441\u0442\u0432 \u043f\u0440\u0438 \u0440\u0430\u0431\u043e\u0442\u0435 \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 \u0432 ElastAlert 2.<\/p>\n<p><strong>\u0411\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043f\u0440\u0430\u0432\u0438\u043b.<\/strong> \u041c\u044b \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u043b\u0438 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f \u0440\u0430\u0437\u043d\u044b\u0445 \u0442\u0438\u043f\u043e\u0432 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0438 \u0434\u0430\u043d\u043d\u044b\u0445. \u0421\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0435\u043c \u0438\u0445 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u043b\u043e\u0441\u044c \u0434\u043e \u0442\u0430\u043a\u043e\u0439 \u0441\u0442\u0435\u043f\u0435\u043d\u0438, \u0447\u0442\u043e \u0438\u043c\u0438 \u0431\u044b\u043b\u043e \u0441\u043b\u043e\u0436\u043d\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0438 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0442\u044c \u0432 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0438. \u041a\u0430\u0436\u0434\u043e\u0435 \u043d\u043e\u0432\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u043e \u0438\u043d\u0434\u0438\u0432\u0438\u0434\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438, \u0447\u0442\u043e \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u043b\u043e \u043c\u043d\u043e\u0433\u043e \u0440\u0443\u0447\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u044b.<\/p>\n<p><strong>\u041e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f.<\/strong> \u0421\u0442\u0430\u043b\u043e \u0442\u0440\u0443\u0434\u043d\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0438\u0437\u043c\u0435\u043d\u044f\u0442\u044c \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0430\u043b\u0435\u0440\u0442\u0438\u043d\u0433\u0430. \u0427\u0442\u043e\u0431\u044b \u043e\u0431\u043d\u043e\u0432\u0438\u0442\u044c \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443 \u0430\u043b\u0435\u0440\u0442\u0430, \u043d\u0443\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u0436\u0434\u044b\u0439 YAML-\u0444\u0430\u0439\u043b, \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0441\u0438\u0441\u0442\u0435\u043c\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u0432\u0435\u0440\u0441\u0438\u0439, \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c ansible \u0438 \u0442.\u043f.<\/p>\n<p><strong>\u0422\u0440\u0443\u0434\u043d\u043e\u0441\u0442\u0438 \u0441 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f\u043c\u0438 \u0438 \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u0438\u043c\u043e\u0441\u0442\u044c\u044e<\/strong>. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b\u0438\u0441\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u043c\u0438, \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u0432\u0435\u0440\u0441\u0438\u0438 ElastAlert 2 \u0438\u043b\u0438 Elastic Stack \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u043e \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u043b\u0438 \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u044b\u0432\u0430\u043d\u0438\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e. \u0418\u043d\u043e\u0433\u0434\u0430 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0432 \u043e\u0434\u043d\u043e\u0439 \u0447\u0430\u0441\u0442\u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u043c\u043e\u0433\u043b\u0438 \u043f\u043e\u0432\u043b\u0438\u044f\u0442\u044c \u043d\u0430 \u0434\u0440\u0443\u0433\u0438\u0435, \u0447\u0442\u043e \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u043b\u043e \u043a \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u0435.\u00a0<\/p>\n<p>\u041a\u043e\u0433\u0434\u0430 \u0432 Kibana \u0431\u044b\u043b \u0432\u043d\u0435\u0434\u0440\u0435\u043d \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c Alerts, \u043c\u044b \u043d\u0430\u0447\u0430\u043b\u0438 \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u0442\u044c \u043d\u0430 \u043d\u043e\u0432\u044b\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432, \u0447\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0443\u043f\u0440\u043e\u0441\u0442\u0438\u043b\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u044f\u043c\u0438. \u041d\u043e\u0432\u044b\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b \u0432 Kibana \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u043b \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0442\u044c \u0430\u043b\u0435\u0440\u0442\u044b \u043f\u0440\u044f\u043c\u043e \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 Kibana. \u041c\u0435\u0445\u0430\u043d\u0438\u0437\u043c Alerts \u0432 Kibana \u0442\u0435\u0441\u043d\u043e \u0441\u0432\u044f\u0437\u0430\u043d \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 (Rules<strong>)<\/strong> \u0438 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u043e\u0441\u043d\u043e\u0432\u0443 \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u044f\u043c\u0438 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430.\u00a0<\/p>\n<p><strong>\u0412\u0441\u0435 \u0430\u043b\u0435\u0440\u0442\u044b \u0432 Elastic Stack \u0441\u0432\u043e\u0434\u044f\u0442\u0441\u044f \u043a \u0448\u0435\u0441\u0442\u0438 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u044f\u043c, \u043d\u043e \u0435\u0441\u0442\u044c \u043d\u044e\u0430\u043d\u0441<\/strong><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/074\/a52\/990\/074a529906fa79b19d597d6250a8a0df.png\" alt=\"\u0420\u0438\u0441. 1. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 Observability\" title=\"\u0420\u0438\u0441. 1. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 Observability\" width=\"1191\" height=\"723\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/074\/a52\/990\/074a529906fa79b19d597d6250a8a0df.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/074\/a52\/990\/074a529906fa79b19d597d6250a8a0df.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/p>\n<div><figcaption><em>\u0420\u0438\u0441. 1. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 Observability<\/em><\/figcaption><\/div>\n<\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/fe5\/344\/ac4\/fe5344ac4471f66202178af6d3a08d0b.png\" alt=\"\u0420\u0438\u0441. 2. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 Security\" title=\"\u0420\u0438\u0441. 2. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 Security\" width=\"1275\" height=\"502\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/fe5\/344\/ac4\/fe5344ac4471f66202178af6d3a08d0b.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/fe5\/344\/ac4\/fe5344ac4471f66202178af6d3a08d0b.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/p>\n<div><figcaption><em>\u0420\u0438\u0441. 2. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 Security<\/em><\/figcaption><\/div>\n<\/figure>\n<p>\u041d\u0430\u043a\u0430\u043f\u043b\u0438\u0432\u0430\u044f \u043e\u043f\u044b\u0442 \u0440\u0430\u0431\u043e\u0442\u044b \u0432 Elastic Stack c \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 \u0438 \u0430\u043b\u0435\u0440\u0442\u0430\u043c\u0438, \u044f \u043f\u0440\u0438\u0448\u0435\u043b \u043a \u0432\u044b\u0432\u043e\u0434\u0443, \u0447\u0442\u043e \u0432\u0441\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432 Elastic Stack \u0434\u0435\u043b\u044f\u0442\u0441\u044f \u043d\u0430 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0439 \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0442\u0438\u043f\u0430 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u043d\u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044e\u0442 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u044e\u0442. \u0412 \u0431\u0430\u0437\u043e\u0432\u043e\u0439 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0438 Elastic Stack \u044f \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b \u0448\u0435\u0441\u0442\u044c \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0439: \u043f\u044f\u0442\u044c \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0439 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 Observability \u0438 \u043e\u0434\u043d\u0430 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 Security.<\/p>\n<p><strong>1. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f \u043b\u043e\u0433\u043e\u0432\u00a0<\/strong><\/p>\n<p>\u0421\u043b\u0443\u0436\u0430\u0442 \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u0437\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0445 \u0432 \u043b\u043e\u0433\u0430\u0445 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439. \u041b\u043e\u0433\u0438 \u043c\u043e\u0433\u0443\u0442 \u0432\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u0432 \u0441\u0435\u0431\u044f \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043e\u0431 \u043e\u0448\u0438\u0431\u043a\u0430\u0445, \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445, \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0445 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f\u0445 \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0432\u0430\u0436\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435.<\/p>\n<p><strong>2. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f \u043c\u0435\u0442\u0440\u0438\u043a<\/strong><\/p>\n<p>\u041c\u0435\u0442\u0440\u0438\u043a\u0438 \u2014 \u044d\u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u043e \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0438 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b (\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0440\u0430, \u043f\u0430\u043c\u044f\u0442\u0438, \u0441\u0435\u0442\u0438, \u0434\u0438\u0441\u043a\u043e\u0432 \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0438 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439).\u00a0<\/p>\n<p><strong>3. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f APM (Application Performance Monitoring)<\/strong><\/p>\n<p>\u041f\u0440\u0435\u0434\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u044b \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439. \u041e\u043d\u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044e\u0442 \u0432\u0440\u0435\u043c\u044f \u043e\u0442\u043a\u043b\u0438\u043a\u0430 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043e\u0448\u0438\u0431\u043a\u0438, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0438, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c\u044e.<\/p>\n<p><strong>4. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f Uptime<\/strong><\/p>\n<p>\u041e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0442 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0438 \u0432\u0435\u0431-\u0441\u0430\u0439\u0442\u043e\u0432. \u0422\u0430\u043a\u0436\u0435 \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 Uptime \u0432\u0445\u043e\u0434\u044f\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435 \u0442\u0435\u0441\u0442\u044b (Synthetic) \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0441\u0440\u043e\u043a\u0430 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432.<\/p>\n<p><strong>5. \u041f\u043e\u0440\u043e\u0433\u043e\u0432\u044b\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 (Threshold)<\/strong><\/p>\n<p>\u042d\u0442\u0430 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u044f \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0441\u043b\u0443\u0447\u0430\u0438, \u043a\u043e\u0433\u0434\u0430 \u043d\u0443\u0436\u043d\u043e \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u043f\u0440\u0435\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u043e\u0440\u043e\u0433\u0430 \u043f\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0443 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u043c\u0435\u0442\u0440\u0438\u043a \u0438\u043b\u0438 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0435\u0439.<\/p>\n<p><strong>6. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u043f\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (Security)<\/strong><\/p>\n<p>\u041f\u043e\u043c\u043e\u0433\u0430\u044e\u0442 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u044b, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u0443\u0433\u0440\u043e\u0437\u0430\u043c\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435. \u042d\u0442\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0432 \u0441\u043e\u0447\u0435\u0442\u0430\u043d\u0438\u0438 \u0441 Elastic Enpoint Security (\u0431\u044b\u0432\u0448\u0438\u0439 SIEM)<strong> <\/strong>\u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0432\u044b\u044f\u0432\u043b\u044f\u0442\u044c \u0442\u0430\u043a\u0438\u0435 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f, \u043a\u0430\u043a \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u043d\u0435\u0441\u0430\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430, \u0430\u0442\u0430\u043a\u0438 \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0443\u0433\u0440\u043e\u0437\u044b.<\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u0430\u0432\u0438\u043b \u0432 Kibana \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0438 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0439 \u0438\u043d\u0434\u0435\u043a\u0441:<\/p>\n<details class=\"spoiler\">\n<summary>&#8212; .internal.alerts-observability.logs.alerts-default-*<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"python\">\"kibana\": {           \"properties\": {             \"alert\": {               \"properties\": {                 \"action_group\": {                   \"type\": \"keyword\"                 },                 \"case_ids\": {                   \"type\": \"keyword\"                 },                 \"consecutive_matches\": {                   \"type\": \"long\"                 },                 \"context\": {                   \"type\": \"object\"                 },                 \"duration\": {                   \"properties\": {                     \"us\": {                       \"type\": \"long\"                     }                   }                 },                 \"end\": {                   \"type\": \"date\"                 },                 \"evaluation\": {                   \"properties\": {                     \"threshold\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"value\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"values\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     }                   }                 },                 \"flapping\": {                   \"type\": \"boolean\"                 },                 \"flapping_history\": {                   \"type\": \"boolean\"                 },                 \"group\": {                   \"properties\": {                     \"field\": {                       \"type\": \"keyword\"                     },                     \"value\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"instance\": {                   \"properties\": {                     \"id\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"last_detected\": {                   \"type\": \"date\"                 },                 \"maintenance_window_ids\": {                   \"type\": \"keyword\"                 },                 \"previous_action_group\": {                   \"type\": \"keyword\"                 },                 \"reason\": {                   \"type\": \"keyword\",                   \"fields\": {                     \"text\": {                       \"type\": \"match_only_text\"                     }                   }                 },                 \"risk_score\": {                   \"type\": \"float\"                 },                 \"rule\": {                   \"properties\": {                     \"author\": {                       \"type\": \"keyword\"                     },                     \"category\": {                       \"type\": \"keyword\"                     },                     \"consumer\": {                       \"type\": \"keyword\"                     },                     \"created_at\": {                       \"type\": \"date\"                     },                     \"created_by\": {                       \"type\": \"keyword\"                     },                     \"description\": {                       \"type\": \"keyword\"                     },                     \"enabled\": {                       \"type\": \"keyword\"                     },                     \"execution\": {                       \"properties\": {                         \"timestamp\": {                           \"type\": \"date\"                         },                         \"uuid\": {                           \"type\": \"keyword\"                         }                       }                     },                     \"from\": {                       \"type\": \"keyword\"                     },                     \"interval\": {                       \"type\": \"keyword\"                     },                     \"license\": {                       \"type\": \"keyword\"                     },                     \"name\": {                       \"type\": \"keyword\"                     },                     \"note\": {                       \"type\": \"keyword\"                     },                     \"parameters\": {                       \"type\": \"flattened\",                       \"ignore_above\": 4096                     },                     \"producer\": {                       \"type\": \"keyword\"                     },                     \"references\": {                       \"type\": \"keyword\"                     },                     \"revision\": {                       \"type\": \"long\"                     },                     \"rule_id\": {                       \"type\": \"keyword\"                     },                     \"rule_name_override\": {                       \"type\": \"keyword\"                     },                     \"rule_type_id\": {                       \"type\": \"keyword\"                     },                     \"tags\": {                       \"type\": \"keyword\"                     },                     \"to\": {                       \"type\": \"keyword\"                     },                     \"type\": {                       \"type\": \"keyword\"                     },                     \"updated_at\": {                       \"type\": \"date\"                     },                     \"updated_by\": {                       \"type\": \"keyword\"                     },                     \"uuid\": {                       \"type\": \"keyword\"                     },                     \"version\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"severity\": {                   \"type\": \"keyword\"                 },                 \"severity_improving\": {                   \"type\": \"boolean\"                 },                 \"start\": {                   \"type\": \"date\"                 },                 \"status\": {                   \"type\": \"keyword\"                 },                 \"suppression\": {                   \"properties\": {                     \"docs_count\": {                       \"type\": \"long\"                     },                     \"end\": {                       \"type\": \"date\"                     },                     \"start\": {                       \"type\": \"date\"                     },                     \"terms\": {                       \"properties\": {                         \"field\": {                           \"type\": \"keyword\"                         },                         \"value\": {                           \"type\": \"keyword\"                         }                       }                     }                   }                 },                 \"system_status\": {                   \"type\": \"keyword\"                 },                 \"time_range\": {                   \"type\": \"date_range\",                   \"format\": \"epoch_millis||strict_date_optional_time\"                 },                 \"url\": {                   \"type\": \"keyword\",                   \"index\": false,                   \"ignore_above\": 2048                 },                 \"uuid\": {                   \"type\": \"keyword\"                 },                 \"workflow_assignee_ids\": {                   \"type\": \"keyword\"                 },                 \"workflow_reason\": {                   \"type\": \"keyword\"                 },                 \"workflow_status\": {                   \"type\": \"keyword\"                 },                 \"workflow_status_updated_at\": {                   \"type\": \"date\"                 },                 \"workflow_tags\": {                   \"type\": \"keyword\"                 },                 \"workflow_user\": {                   \"type\": \"keyword\"                 }               }             },             \"space_ids\": {               \"type\": \"keyword\"             },             \"version\": {               \"type\": \"version\"             }           }         }<\/code><\/pre>\n<\/div>\n<\/details>\n<details class=\"spoiler\">\n<summary>&#8212; .internal.alerts-observability.metrics.alerts-default-*<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"python\">\"kibana\": {           \"properties\": {             \"alert\": {               \"properties\": {                 \"action_group\": {                   \"type\": \"keyword\"                 },                 \"case_ids\": {                   \"type\": \"keyword\"                 },                 \"consecutive_matches\": {                   \"type\": \"long\"                 },                 \"context\": {                   \"type\": \"object\"                 },                 \"duration\": {                   \"properties\": {                     \"us\": {                       \"type\": \"long\"                     }                   }                 },                 \"end\": {                   \"type\": \"date\"                 },                 \"evaluation\": {                   \"properties\": {                     \"threshold\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"value\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"values\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     }                   }                 },                 \"flapping\": {                   \"type\": \"boolean\"                 },                 \"flapping_history\": {                   \"type\": \"boolean\"                 },                 \"group\": {                   \"properties\": {                     \"field\": {                       \"type\": \"keyword\"                     },                     \"value\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"instance\": {                   \"properties\": {                     \"id\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"last_detected\": {                   \"type\": \"date\"                 },                 \"maintenance_window_ids\": {                   \"type\": \"keyword\"                 },                 \"previous_action_group\": {                   \"type\": \"keyword\"                 },                 \"reason\": {                   \"type\": \"keyword\",                   \"fields\": {                     \"text\": {                       \"type\": \"match_only_text\"                     }                   }                 },                 \"risk_score\": {                   \"type\": \"float\"                 },                 \"rule\": {                   \"properties\": {                     \"author\": {                       \"type\": \"keyword\"                     },                     \"category\": {                       \"type\": \"keyword\"                     },                     \"consumer\": {                       \"type\": \"keyword\"                     },                     \"created_at\": {                       \"type\": \"date\"                     },                     \"created_by\": {                       \"type\": \"keyword\"                     },                     \"description\": {                       \"type\": \"keyword\"                     },                     \"enabled\": {                       \"type\": \"keyword\"                     },                     \"execution\": {                       \"properties\": {                         \"timestamp\": {                           \"type\": \"date\"                         },                         \"uuid\": {                           \"type\": \"keyword\"                         }                       }                     },                     \"from\": {                       \"type\": \"keyword\"                     },                     \"interval\": {                       \"type\": \"keyword\"                     },                     \"license\": {                       \"type\": \"keyword\"                     },                     \"name\": {                       \"type\": \"keyword\"                     },                     \"note\": {                       \"type\": \"keyword\"                     },                     \"parameters\": {                       \"type\": \"flattened\",                       \"ignore_above\": 4096                     },                     \"producer\": {                       \"type\": \"keyword\"                     },                     \"references\": {                       \"type\": \"keyword\"                     },                     \"revision\": {                       \"type\": \"long\"                     },                     \"rule_id\": {                       \"type\": \"keyword\"                     },                     \"rule_name_override\": {                       \"type\": \"keyword\"                     },                     \"rule_type_id\": {                       \"type\": \"keyword\"                     },                     \"tags\": {                       \"type\": \"keyword\"                     },                     \"to\": {                       \"type\": \"keyword\"                     },                     \"type\": {                       \"type\": \"keyword\"                     },                     \"updated_at\": {                       \"type\": \"date\"                     },                     \"updated_by\": {                       \"type\": \"keyword\"                     },                     \"uuid\": {                       \"type\": \"keyword\"                     },                     \"version\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"severity\": {                   \"type\": \"keyword\"                 },                 \"severity_improving\": {                   \"type\": \"boolean\"                 },                 \"start\": {                   \"type\": \"date\"                 },                 \"status\": {                   \"type\": \"keyword\"                 },                 \"suppression\": {                   \"properties\": {                     \"docs_count\": {                       \"type\": \"long\"                     },                     \"end\": {                       \"type\": \"date\"                     },                     \"start\": {                       \"type\": \"date\"                     },                     \"terms\": {                       \"properties\": {                         \"field\": {                           \"type\": \"keyword\"                         },                         \"value\": {                           \"type\": \"keyword\"                         }                       }                     }                   }                 },                 \"system_status\": {                   \"type\": \"keyword\"                 },                 \"time_range\": {                   \"type\": \"date_range\",                   \"format\": \"epoch_millis||strict_date_optional_time\"                 },                 \"url\": {                   \"type\": \"keyword\",                   \"index\": false,                   \"ignore_above\": 2048                 },                 \"uuid\": {                   \"type\": \"keyword\"                 },                 \"workflow_assignee_ids\": {                   \"type\": \"keyword\"                 },                 \"workflow_reason\": {                   \"type\": \"keyword\"                 },                 \"workflow_status\": {                   \"type\": \"keyword\"                 },                 \"workflow_status_updated_at\": {                   \"type\": \"date\"                 },                 \"workflow_tags\": {                   \"type\": \"keyword\"                 },                 \"workflow_user\": {                   \"type\": \"keyword\"                 }               }             },             \"space_ids\": {               \"type\": \"keyword\"             },             \"version\": {               \"type\": \"version\"             }           }         }<\/code><\/pre>\n<\/div>\n<\/details>\n<details class=\"spoiler\">\n<summary>&#8212;  .internal.alerts-observability.apm.alerts-default-*<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"python\">\"kibana\": {           \"properties\": {             \"alert\": {               \"properties\": {                 \"action_group\": {                   \"type\": \"keyword\"                 },                 \"case_ids\": {                   \"type\": \"keyword\"                 },                 \"consecutive_matches\": {                   \"type\": \"long\"                 },                 \"context\": {                   \"type\": \"object\"                 },                 \"duration\": {                   \"properties\": {                     \"us\": {                       \"type\": \"long\"                     }                   }                 },                 \"end\": {                   \"type\": \"date\"                 },                 \"evaluation\": {                   \"properties\": {                     \"threshold\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"value\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"values\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     }                   }                 },                 \"flapping\": {                   \"type\": \"boolean\"                 },                 \"flapping_history\": {                   \"type\": \"boolean\"                 },                 \"group\": {                   \"properties\": {                     \"field\": {                       \"type\": \"keyword\"                     },                     \"value\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"instance\": {                   \"properties\": {                     \"id\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"last_detected\": {                   \"type\": \"date\"                 },                 \"maintenance_window_ids\": {                   \"type\": \"keyword\"                 },                 \"previous_action_group\": {                   \"type\": \"keyword\"                 },                 \"reason\": {                   \"type\": \"keyword\",                   \"fields\": {                     \"text\": {                       \"type\": \"match_only_text\"                     }                   }                 },                 \"risk_score\": {                   \"type\": \"float\"                 },                 \"rule\": {                   \"properties\": {                     \"author\": {                       \"type\": \"keyword\"                     },                     \"category\": {                       \"type\": \"keyword\"                     },                     \"consumer\": {                       \"type\": \"keyword\"                     },                     \"created_at\": {                       \"type\": \"date\"                     },                     \"created_by\": {                       \"type\": \"keyword\"                     },                     \"description\": {                       \"type\": \"keyword\"                     },                     \"enabled\": {                       \"type\": \"keyword\"                     },                     \"execution\": {                       \"properties\": {                         \"timestamp\": {                           \"type\": \"date\"                         },                         \"uuid\": {                           \"type\": \"keyword\"                         }                       }                     },                     \"from\": {                       \"type\": \"keyword\"                     },                     \"interval\": {                       \"type\": \"keyword\"                     },                     \"license\": {                       \"type\": \"keyword\"                     },                     \"name\": {                       \"type\": \"keyword\"                     },                     \"note\": {                       \"type\": \"keyword\"                     },                     \"parameters\": {                       \"type\": \"flattened\",                       \"ignore_above\": 4096                     },                     \"producer\": {                       \"type\": \"keyword\"                     },                     \"references\": {                       \"type\": \"keyword\"                     },                     \"revision\": {                       \"type\": \"long\"                     },                     \"rule_id\": {                       \"type\": \"keyword\"                     },                     \"rule_name_override\": {                       \"type\": \"keyword\"                     },                     \"rule_type_id\": {                       \"type\": \"keyword\"                     },                     \"tags\": {                       \"type\": \"keyword\"                     },                     \"to\": {                       \"type\": \"keyword\"                     },                     \"type\": {                       \"type\": \"keyword\"                     },                     \"updated_at\": {                       \"type\": \"date\"                     },                     \"updated_by\": {                       \"type\": \"keyword\"                     },                     \"uuid\": {                       \"type\": \"keyword\"                     },                     \"version\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"severity\": {                   \"type\": \"keyword\"                 },                 \"severity_improving\": {                   \"type\": \"boolean\"                 },                 \"start\": {                   \"type\": \"date\"                 },                 \"status\": {                   \"type\": \"keyword\"                 },                 \"suppression\": {                   \"properties\": {                     \"docs_count\": {                       \"type\": \"long\"                     },                     \"end\": {                       \"type\": \"date\"                     },                     \"start\": {                       \"type\": \"date\"                     },                     \"terms\": {                       \"properties\": {                         \"field\": {                           \"type\": \"keyword\"                         },                         \"value\": {                           \"type\": \"keyword\"                         }                       }                     }                   }                 },                 \"system_status\": {                   \"type\": \"keyword\"                 },                 \"time_range\": {                   \"type\": \"date_range\",                   \"format\": \"epoch_millis||strict_date_optional_time\"                 },                 \"url\": {                   \"type\": \"keyword\",                   \"index\": false,                   \"ignore_above\": 2048                 },                 \"uuid\": {                   \"type\": \"keyword\"                 },                 \"workflow_assignee_ids\": {                   \"type\": \"keyword\"                 },                 \"workflow_reason\": {                   \"type\": \"keyword\"                 },                 \"workflow_status\": {                   \"type\": \"keyword\"                 },                 \"workflow_status_updated_at\": {                   \"type\": \"date\"                 },                 \"workflow_tags\": {                   \"type\": \"keyword\"                 },                 \"workflow_user\": {                   \"type\": \"keyword\"                 }               }             },             \"space_ids\": {               \"type\": \"keyword\"             },             \"version\": {               \"type\": \"version\"             }           }         }<\/code><\/pre>\n<\/div>\n<\/details>\n<details class=\"spoiler\">\n<summary>&#8212; .internal.alerts-observability.uptime.alerts-default-*<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"python\"> \"kibana\": {           \"properties\": {             \"alert\": {               \"properties\": {                 \"action_group\": {                   \"type\": \"keyword\"                 },                 \"case_ids\": {                   \"type\": \"keyword\"                 },                 \"consecutive_matches\": {                   \"type\": \"long\"                 },                 \"context\": {                   \"type\": \"object\"                 },                 \"duration\": {                   \"properties\": {                     \"us\": {                       \"type\": \"long\"                     }                   }                 },                 \"end\": {                   \"type\": \"date\"                 },                 \"evaluation\": {                   \"properties\": {                     \"threshold\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"value\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"values\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     }                   }                 },                 \"flapping\": {                   \"type\": \"boolean\"                 },                 \"flapping_history\": {                   \"type\": \"boolean\"                 },                 \"group\": {                   \"properties\": {                     \"field\": {                       \"type\": \"keyword\"                     },                     \"value\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"instance\": {                   \"properties\": {                     \"id\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"last_detected\": {                   \"type\": \"date\"                 },                 \"maintenance_window_ids\": {                   \"type\": \"keyword\"                 },                 \"previous_action_group\": {                   \"type\": \"keyword\"                 },                 \"reason\": {                   \"type\": \"keyword\",                   \"fields\": {                     \"text\": {                       \"type\": \"match_only_text\"                     }                   }                 },                 \"risk_score\": {                   \"type\": \"float\"                 },                 \"rule\": {                   \"properties\": {                     \"author\": {                       \"type\": \"keyword\"                     },                     \"category\": {                       \"type\": \"keyword\"                     },                     \"consumer\": {                       \"type\": \"keyword\"                     },                     \"created_at\": {                       \"type\": \"date\"                     },                     \"created_by\": {                       \"type\": \"keyword\"                     },                     \"description\": {                       \"type\": \"keyword\"                     },                     \"enabled\": {                       \"type\": \"keyword\"                     },                     \"execution\": {                       \"properties\": {                         \"timestamp\": {                           \"type\": \"date\"                         },                         \"uuid\": {                           \"type\": \"keyword\"                         }                       }                     },                     \"from\": {                       \"type\": \"keyword\"                     },                     \"interval\": {                       \"type\": \"keyword\"                     },                     \"license\": {                       \"type\": \"keyword\"                     },                     \"name\": {                       \"type\": \"keyword\"                     },                     \"note\": {                       \"type\": \"keyword\"                     },                     \"parameters\": {                       \"type\": \"flattened\",                       \"ignore_above\": 4096                     },                     \"producer\": {                       \"type\": \"keyword\"                     },                     \"references\": {                       \"type\": \"keyword\"                     },                     \"revision\": {                       \"type\": \"long\"                     },                     \"rule_id\": {                       \"type\": \"keyword\"                     },                     \"rule_name_override\": {                       \"type\": \"keyword\"                     },                     \"rule_type_id\": {                       \"type\": \"keyword\"                     },                     \"tags\": {                       \"type\": \"keyword\"                     },                     \"to\": {                       \"type\": \"keyword\"                     },                     \"type\": {                       \"type\": \"keyword\"                     },                     \"updated_at\": {                       \"type\": \"date\"                     },                     \"updated_by\": {                       \"type\": \"keyword\"                     },                     \"uuid\": {                       \"type\": \"keyword\"                     },                     \"version\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"severity\": {                   \"type\": \"keyword\"                 },                 \"severity_improving\": {                   \"type\": \"boolean\"                 },                 \"start\": {                   \"type\": \"date\"                 },                 \"status\": {                   \"type\": \"keyword\"                 },                 \"suppression\": {                   \"properties\": {                     \"docs_count\": {                       \"type\": \"long\"                     },                     \"end\": {                       \"type\": \"date\"                     },                     \"start\": {                       \"type\": \"date\"                     },                     \"terms\": {                       \"properties\": {                         \"field\": {                           \"type\": \"keyword\"                         },                         \"value\": {                           \"type\": \"keyword\"                         }                       }                     }                   }                 },                 \"system_status\": {                   \"type\": \"keyword\"                 },                 \"time_range\": {                   \"type\": \"date_range\",                   \"format\": \"epoch_millis||strict_date_optional_time\"                 },                 \"url\": {                   \"type\": \"keyword\",                   \"index\": false,                   \"ignore_above\": 2048                 },                 \"uuid\": {                   \"type\": \"keyword\"                 },                 \"workflow_assignee_ids\": {                   \"type\": \"keyword\"                 },                 \"workflow_reason\": {                   \"type\": \"keyword\"                 },                 \"workflow_status\": {                   \"type\": \"keyword\"                 },                 \"workflow_status_updated_at\": {                   \"type\": \"date\"                 },                 \"workflow_tags\": {                   \"type\": \"keyword\"                 },                 \"workflow_user\": {                   \"type\": \"keyword\"                 }               }             },             \"space_ids\": {               \"type\": \"keyword\"             },             \"version\": {               \"type\": \"version\"             }           }<\/code><\/pre>\n<\/div>\n<\/details>\n<details class=\"spoiler\">\n<summary>&#8212; .internal.alerts-observability.threshold.alerts-default-*<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"python\"> \"kibana\": {           \"properties\": {             \"alert\": {               \"properties\": {                 \"action_group\": {                   \"type\": \"keyword\"                 },                 \"case_ids\": {                   \"type\": \"keyword\"                 },                 \"consecutive_matches\": {                   \"type\": \"long\"                 },                 \"context\": {                   \"type\": \"object\"                 },                 \"duration\": {                   \"properties\": {                     \"us\": {                       \"type\": \"long\"                     }                   }                 },                 \"end\": {                   \"type\": \"date\"                 },                 \"evaluation\": {                   \"properties\": {                     \"threshold\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"value\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"values\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     }                   }                 },                 \"flapping\": {                   \"type\": \"boolean\"                 },                 \"flapping_history\": {                   \"type\": \"boolean\"                 },                 \"group\": {                   \"properties\": {                     \"field\": {                       \"type\": \"keyword\"                     },                     \"value\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"instance\": {                   \"properties\": {                     \"id\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"last_detected\": {                   \"type\": \"date\"                 },                 \"maintenance_window_ids\": {                   \"type\": \"keyword\"                 },                 \"previous_action_group\": {                   \"type\": \"keyword\"                 },                 \"reason\": {                   \"type\": \"keyword\",                   \"fields\": {                     \"text\": {                       \"type\": \"match_only_text\"                     }                   }                 },                 \"rule\": {                   \"properties\": {                     \"category\": {                       \"type\": \"keyword\"                     },                     \"consumer\": {                       \"type\": \"keyword\"                     },                     \"execution\": {                       \"properties\": {                         \"timestamp\": {                           \"type\": \"date\"                         },                         \"uuid\": {                           \"type\": \"keyword\"                         }                       }                     },                     \"name\": {                       \"type\": \"keyword\"                     },                     \"parameters\": {                       \"type\": \"flattened\",                       \"ignore_above\": 4096                     },                     \"producer\": {                       \"type\": \"keyword\"                     },                     \"revision\": {                       \"type\": \"long\"                     },                     \"rule_type_id\": {                       \"type\": \"keyword\"                     },                     \"tags\": {                       \"type\": \"keyword\"                     },                     \"uuid\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"severity_improving\": {                   \"type\": \"boolean\"                 },                 \"start\": {                   \"type\": \"date\"                 },                 \"status\": {                   \"type\": \"keyword\"                 },                 \"time_range\": {                   \"type\": \"date_range\",                   \"format\": \"epoch_millis||strict_date_optional_time\"                 },                 \"url\": {                   \"type\": \"keyword\",                   \"index\": false,                   \"ignore_above\": 2048                 },                 \"uuid\": {                   \"type\": \"keyword\"                 },                 \"workflow_assignee_ids\": {                   \"type\": \"keyword\"                 },                 \"workflow_status\": {                   \"type\": \"keyword\"                 },                 \"workflow_tags\": {                   \"type\": \"keyword\"                 }               }             },             \"space_ids\": {               \"type\": \"keyword\"             },             \"version\": {               \"type\": \"version\"             }           }         }<\/code><\/pre>\n<\/div>\n<\/details>\n<details class=\"spoiler\">\n<summary>&#8212; .internal.alerts-security.alerts-default-*<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"python\"> \"kibana\": {           \"properties\": {             \"alert\": {               \"properties\": {                 \"action_group\": {                   \"type\": \"keyword\"                 },                 \"ancestors\": {                   \"properties\": {                     \"depth\": {                       \"type\": \"long\"                     },                     \"id\": {                       \"type\": \"keyword\"                     },                     \"index\": {                       \"type\": \"keyword\"                     },                     \"rule\": {                       \"type\": \"keyword\"                     },                     \"type\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"building_block_type\": {                   \"type\": \"keyword\"                 },                 \"case_ids\": {                   \"type\": \"keyword\"                 },                 \"consecutive_matches\": {                   \"type\": \"long\"                 },                 \"depth\": {                   \"type\": \"long\"                 },                 \"duration\": {                   \"properties\": {                     \"us\": {                       \"type\": \"long\"                     }                   }                 },                 \"end\": {                   \"type\": \"date\"                 },                 \"flapping\": {                   \"type\": \"boolean\"                 },                 \"flapping_history\": {                   \"type\": \"boolean\"                 },                 \"group\": {                   \"properties\": {                     \"id\": {                       \"type\": \"keyword\"                     },                     \"index\": {                       \"type\": \"integer\"                     }                   }                 },                 \"host\": {                   \"properties\": {                     \"criticality_level\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"instance\": {                   \"properties\": {                     \"id\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"last_detected\": {                   \"type\": \"date\"                 },                 \"maintenance_window_ids\": {                   \"type\": \"keyword\"                 },                 \"new_terms\": {                   \"type\": \"keyword\"                 },                 \"original_event\": {                   \"properties\": {                     \"action\": {                       \"type\": \"keyword\"                     },                     \"agent_id_status\": {                       \"type\": \"keyword\"                     },                     \"category\": {                       \"type\": \"keyword\"                     },                     \"code\": {                       \"type\": \"keyword\"                     },                     \"created\": {                       \"type\": \"date\"                     },                     \"dataset\": {                       \"type\": \"keyword\"                     },                     \"duration\": {                       \"type\": \"keyword\"                     },                     \"end\": {                       \"type\": \"date\"                     },                     \"hash\": {                       \"type\": \"keyword\"                     },                     \"id\": {                       \"type\": \"keyword\"                     },                     \"ingested\": {                       \"type\": \"date\"                     },                     \"kind\": {                       \"type\": \"keyword\"                     },                     \"module\": {                       \"type\": \"keyword\"                     },                     \"original\": {                       \"type\": \"keyword\"                     },                     \"outcome\": {                       \"type\": \"keyword\"                     },                     \"provider\": {                       \"type\": \"keyword\"                     },                     \"reason\": {                       \"type\": \"keyword\"                     },                     \"reference\": {                       \"type\": \"keyword\"                     },                     \"risk_score\": {                       \"type\": \"float\"                     },                     \"risk_score_norm\": {                       \"type\": \"float\"                     },                     \"sequence\": {                       \"type\": \"long\"                     },                     \"severity\": {                       \"type\": \"long\"                     },                     \"start\": {                       \"type\": \"date\"                     },                     \"timezone\": {                       \"type\": \"keyword\"                     },                     \"type\": {                       \"type\": \"keyword\"                     },                     \"url\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"original_time\": {                   \"type\": \"date\"                 },                 \"previous_action_group\": {                   \"type\": \"keyword\"                 },                 \"reason\": {                   \"type\": \"keyword\",                   \"fields\": {                     \"text\": {                       \"type\": \"match_only_text\"                     }                   }                 },                 \"risk_score\": {                   \"type\": \"float\"                 },                 \"rule\": {                   \"properties\": {                     \"author\": {                       \"type\": \"keyword\"                     },                     \"building_block_type\": {                       \"type\": \"keyword\"                     },                     \"category\": {                       \"type\": \"keyword\"                     },                     \"consumer\": {                       \"type\": \"keyword\"                     },                     \"created_at\": {                       \"type\": \"date\"                     },                     \"created_by\": {                       \"type\": \"keyword\"                     },                     \"description\": {                       \"type\": \"keyword\"                     },                     \"enabled\": {                       \"type\": \"keyword\"                     },                     \"exceptions_list\": {                       \"type\": \"object\"                     },                     \"execution\": {                       \"properties\": {                         \"timestamp\": {                           \"type\": \"date\"                         },                         \"uuid\": {                           \"type\": \"keyword\"                         }                       }                     },                     \"false_positives\": {                       \"type\": \"keyword\"                     },                     \"from\": {                       \"type\": \"keyword\"                     },                     \"immutable\": {                       \"type\": \"keyword\"                     },                     \"interval\": {                       \"type\": \"keyword\"                     },                     \"license\": {                       \"type\": \"keyword\"                     },                     \"max_signals\": {                       \"type\": \"long\"                     },                     \"name\": {                       \"type\": \"keyword\"                     },                     \"note\": {                       \"type\": \"keyword\"                     },                     \"parameters\": {                       \"type\": \"flattened\",                       \"ignore_above\": 4096                     },                     \"producer\": {                       \"type\": \"keyword\"                     },                     \"references\": {                       \"type\": \"keyword\"                     },                     \"revision\": {                       \"type\": \"long\"                     },                     \"rule_id\": {                       \"type\": \"keyword\"                     },                     \"rule_name_override\": {                       \"type\": \"keyword\"                     },                     \"rule_type_id\": {                       \"type\": \"keyword\"                     },                     \"tags\": {                       \"type\": \"keyword\"                     },                     \"threat\": {                       \"properties\": {                         \"framework\": {                           \"type\": \"keyword\"                         },                         \"tactic\": {                           \"properties\": {                             \"id\": {                               \"type\": \"keyword\"                             },                             \"name\": {                               \"type\": \"keyword\"                             },                             \"reference\": {                               \"type\": \"keyword\"                             }                           }                         },                         \"technique\": {                           \"properties\": {                             \"id\": {                               \"type\": \"keyword\"                             },                             \"name\": {                               \"type\": \"keyword\"                             },                             \"reference\": {                               \"type\": \"keyword\"                             },                             \"subtechnique\": {                               \"properties\": {                                 \"id\": {                                   \"type\": \"keyword\"                                 },                                 \"name\": {                                   \"type\": \"keyword\"                                 },                                 \"reference\": {                                   \"type\": \"keyword\"                                 }                               }                             }                           }                         }                       }                     },                     \"timeline_id\": {                       \"type\": \"keyword\"                     },                     \"timeline_title\": {                       \"type\": \"keyword\"                     },                     \"timestamp_override\": {                       \"type\": \"keyword\"                     },                     \"to\": {                       \"type\": \"keyword\"                     },                     \"type\": {                       \"type\": \"keyword\"                     },                     \"updated_at\": {                       \"type\": \"date\"                     },                     \"updated_by\": {                       \"type\": \"keyword\"                     },                     \"uuid\": {                       \"type\": \"keyword\"                     },                     \"version\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"severity\": {                   \"type\": \"keyword\"                 },                 \"severity_improving\": {                   \"type\": \"boolean\"                 },                 \"start\": {                   \"type\": \"date\"                 },                 \"status\": {                   \"type\": \"keyword\"                 },                 \"suppression\": {                   \"properties\": {                     \"docs_count\": {                       \"type\": \"long\"                     },                     \"end\": {                       \"type\": \"date\"                     },                     \"start\": {                       \"type\": \"date\"                     },                     \"terms\": {                       \"properties\": {                         \"field\": {                           \"type\": \"keyword\"                         },                         \"value\": {                           \"type\": \"keyword\"                         }                       }                     }                   }                 },                 \"system_status\": {                   \"type\": \"keyword\"                 },                 \"threshold_result\": {                   \"properties\": {                     \"cardinality\": {                       \"properties\": {                         \"field\": {                           \"type\": \"keyword\"                         },                         \"value\": {                           \"type\": \"long\"                         }                       }                     },                     \"count\": {                       \"type\": \"long\"                     },                     \"from\": {                       \"type\": \"date\"                     },                     \"terms\": {                       \"properties\": {                         \"field\": {                           \"type\": \"keyword\"                         },                         \"value\": {                           \"type\": \"keyword\"                         }                       }                     }                   }                 },                 \"time_range\": {                   \"type\": \"date_range\",                   \"format\": \"epoch_millis||strict_date_optional_time\"                 },                 \"url\": {                   \"type\": \"keyword\",                   \"index\": false,                   \"ignore_above\": 2048                 },                 \"user\": {                   \"properties\": {                     \"criticality_level\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"uuid\": {                   \"type\": \"keyword\"                 },                 \"workflow_assignee_ids\": {                   \"type\": \"keyword\"                 },                 \"workflow_reason\": {                   \"type\": \"keyword\"                 },                 \"workflow_status\": {                   \"type\": \"keyword\"                 },                 \"workflow_status_updated_at\": {                   \"type\": \"date\"                 },                 \"workflow_tags\": {                   \"type\": \"keyword\"                 },                 \"workflow_user\": {                   \"type\": \"keyword\"                 }               }             },             \"space_ids\": {               \"type\": \"keyword\"             },             \"version\": {               \"type\": \"version\"             }           }         }<\/code><\/pre>\n<\/div>\n<\/details>\n<p>\u0418\u0437\u0443\u0447\u0438\u0432 \u043c\u0430\u043f\u043f\u0438\u043d\u0433\u0438 \u0438\u043d\u0434\u0435\u043a\u0441\u043e\u0432 \u0432\u0441\u0435\u0445 \u0448\u0435\u0441\u0442\u0438 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0439, \u0432\u0438\u0434\u0438\u043c \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u043f\u043e\u043b\u0435\u0439 kibana.alert.status \u0438 kibana.alert.uuid, \u043f\u043e \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430.\u00a0<\/p>\n<p>\u041d\u0430\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u043b\u043e\u0441\u044c \u043f\u0440\u043e\u0441\u0442\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435: \u0441\u043e\u0437\u0434\u0430\u0435\u043c \u043e\u0434\u043d\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0432 ElastAlert 2 \u0441 \u0442\u0438\u043f\u043e\u043c Change, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u044f \u0432 compare_key: kibana.alert.status, \u043f\u043e \u043a\u043b\u044e\u0447\u0443 \u0432 query_key: kibana.alert.uuid. \u041d\u043e \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u043e\u043a\u0430\u0437\u0430\u043b\u043e\u0441\u044c \u0432\u0441\u0435 \u043d\u0435 \u0442\u0430\u043a \u043f\u0440\u043e\u0441\u0442\u043e.<\/p>\n<p>\u0412 ElastAlert 2 \u0432\u043e\u0437\u043d\u0438\u043a\u043b\u0438 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438\u00a0 \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u0435 \u0441 \u0442\u0438\u043f\u043e\u043c Change:<\/p>\n<ol>\n<li>\n<p><strong>\u041f\u0435\u0440\u0432\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u043f\u043e \u043a\u043b\u044e\u0447\u0443 query_key \u043d\u0435 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435<\/strong>, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e ElastAlert 2 \u0441\u0440\u0430\u0432\u043d\u0438\u0432\u0430\u0435\u0442 \u0442\u0435\u043a\u0443\u0449\u0435\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u0441 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u043c. \u0415\u0441\u043b\u0438 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u0433\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043d\u0435 \u0431\u044b\u043b\u043e \u2013 \u0441\u0440\u0430\u0432\u043d\u0438\u0432\u0430\u0442\u044c \u043d\u0435 \u0441 \u0447\u0435\u043c \u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u043d\u0435 \u0441\u0447\u0438\u0442\u0430\u0435\u0442\u0441\u044f \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u043d\u044b\u043c. \u042d\u0442\u043e \u043d\u0435\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u043a\u043e\u0433\u0434\u0430 \u043d\u0430\u0441 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u0435\u0442 \u0438\u043c\u0435\u043d\u043d\u043e \u0444\u0430\u043a\u0442 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f, \u0430 \u043a\u043e\u0433\u0434\u0430 \u0440\u0435\u0447\u044c \u0438\u0434\u0435\u0442 \u043e\u0431 \u0430\u043b\u0435\u0440\u0442\u0430\u0445, \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0432 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u044f \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e\u0439.<\/p>\n<\/li>\n<li>\n<p><strong>\u041e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0438\u0437\u0431\u044b\u0442\u043e\u0447\u043d\u043e\u0441\u0442\u0438 \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u0439, <\/strong>\u043a\u043e\u0433\u0434\u0430 \u0430\u043b\u0435\u0440\u0442 \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u0447\u0430\u0441\u0442\u043e \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u0442 \u0438\u0437 \u043e\u0434\u043d\u043e\u0433\u043e \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u044f \u0432 \u0434\u0440\u0443\u0433\u043e\u0435.<strong>\u00a0<\/strong><\/p>\n<\/li>\n<li>\n<p><strong>\u041d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u0430\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0437\u0430 \u043e\u0434\u0438\u043d \u0446\u0438\u043a\u043b<\/strong>. \u0415\u0441\u043b\u0438 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u0437\u0430 \u043e\u0434\u0438\u043d \u0446\u0438\u043a\u043b \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438, \u0442\u043e \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435. \u042d\u0442\u043e \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u043e\u0442\u0440\u0430\u0436\u0435\u043d\u043e \u043f\u0440\u044f\u043c\u043e \u0432 \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u043c \u043a\u043e\u0434\u0435 \u043a\u043b\u0430\u0441\u0441\u0430:<\/p>\n<\/li>\n<\/ol>\n<p><code># TODO this is not technically correct<br \/># if the term changes multiple times before an alert is sent<br \/># this data will be overwritten with the most recent change\u00a0<\/code><\/p>\n<p><strong>\u0421\u043e\u0437\u0434\u0430\u0435\u043c \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0442\u0438\u043f \u043f\u0440\u0430\u0432\u0438\u043b\u0430<\/strong><\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u044f \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u043b\u0441\u044f \u0441 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f\u043c\u0438 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0441 \u0442\u0438\u043f\u043e\u043c Change, \u0441\u0442\u0430\u043b\u043e \u043f\u043e\u043d\u044f\u0442\u043d\u043e \u2013 \u043d\u0443\u0436\u0435\u043d \u043d\u043e\u0432\u044b\u0439 \u0442\u0438\u043f, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0431\u0445\u043e\u0434\u0438\u043b \u0431\u044b \u0438\u0445, \u043d\u043e \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u043c\u043e\u0433 \u0431\u044b\u0442\u044c \u043b\u0435\u0433\u043a\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d \u0431\u0435\u0437 \u0432\u043c\u0435\u0448\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 \u0432 \u0441\u0430\u043c \u043a\u043e\u0434 ElastAlert 2.\u00a0<\/p>\n<p>\u0418 \u0442\u0430\u043a\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0435\u0441\u0442\u044c. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0438 \u0442\u0438\u043f\u044b \u043f\u0440\u0430\u0432\u0438\u043b \u043e\u043f\u0438\u0441\u0430\u043d\u0430 \u0432<a href=\"https:\/\/elastalert2.readthedocs.io\/en\/latest\/recipes\/adding_rules.html\" rel=\"noopener noreferrer nofollow\"> \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438 ElasAlert 2<\/a>.\u00a0<\/p>\n<p>\u0412\u043e\u0442 \u043a\u0430\u043a \u044d\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442\u0441\u044f:<\/p>\n<ul>\n<li>\n<p>\u0441\u043e\u0437\u0434\u0430\u0451\u043c \u043a\u0430\u0442\u0430\u043b\u043e\u0433, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 <code>elastalert_modules<\/code>, \u0432 \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 ElastAlert 2;<\/p>\n<\/li>\n<li>\n<p>\u043a\u043b\u0430\u0434\u0451\u043c \u0442\u0443\u0434\u0430 \u043f\u0443\u0441\u0442\u043e\u0439 <code><strong>init<\/strong>.py<\/code>;<\/p>\n<\/li>\n<li>\n<p>\u0442\u0430\u043c \u0436\u0435 \u0441\u043e\u0437\u0434\u0430\u0435\u043c \u0444\u0430\u0439\u043b \u0441 \u043b\u043e\u0433\u0438\u043a\u043e\u0439 \u043f\u0440\u0430\u0432\u0438\u043b\u0430, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <code>KibanaAlertRule.py<\/code>;<\/p>\n<\/li>\n<li>\n<p>\u0432 YAML-\u0444\u0430\u0439\u043b\u0435 \u0441\u0430\u043c\u043e\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u0442\u0438\u043f \u043f\u0440\u0430\u0432\u0438\u043b\u0430:<br \/><code>type: elastalert_modules.kibana_alert.KibanaAlertRule.<\/code><\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043e\u0441\u043d\u043e\u0432\u044b \u0434\u043b\u044f \u0441\u0432\u043e\u0435\u0433\u043e \u0442\u0438\u043f\u0430 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u044f \u0432\u0437\u044f\u043b \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 \u0432 ElastAlert 2 \u043a\u043b\u0430\u0441\u0441 <code>CompareRule(RuleType)<\/code>, \u0438 \u0432\u043d\u0435\u0441 \u0432 \u043d\u0435\u0433\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f:<\/p>\n<ul>\n<li>\n<p>\u0434\u043e\u0431\u0430\u0432\u0438\u043b \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u0438 \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044e \u043f\u043b\u0430\u0432\u0430\u044e\u0449\u0438\u0445 \u0430\u043b\u0435\u0440\u0442\u043e\u0432;<\/p>\n<\/li>\n<li>\n<p>\u0441\u0434\u0435\u043b\u0430\u043b \u043a\u043b\u044e\u0447 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u043c, \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u0438\u043b <code>query_key<\/code> \u0438<code> compare_key<\/code> (\u044d\u0442\u043e \u0432\u0430\u0436\u043d\u043e, \u043a\u043e\u0433\u0434\u0430 \u0437\u0430 \u043e\u0434\u0438\u043d \u0446\u0438\u043a\u043b \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437\u043d\u044b\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439);<\/p>\n<\/li>\n<li>\n<p>\u0443\u0447\u0435\u043b \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u0438 \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0438 \u043f\u0435\u0440\u0432\u043e\u0433\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f;<\/p>\n<\/li>\n<li>\n<p>\u0443\u0431\u0440\u0430\u043b \u0446\u0438\u043a\u043b, \u0432\u043c\u0435\u0441\u0442\u043e \u043d\u0435\u0433\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u043b \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f.<\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u0438\u0442\u043e\u0433\u0435 \u0443 \u043c\u0435\u043d\u044f \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0441\u044f \u0442\u0430\u043a\u043e\u0439 \u043a\u043e\u0434:<\/p>\n<pre><code class=\"python\">import dateutil.parser   from elastalert.ruletypes import CompareRule, lookup_es_key, hashable, dt_to_ts, elastalert_logger   class KibanaAlertRule(CompareRule):     \"\"\" A rule that will store values for a certain term and match if those values change \"\"\"     required_options = frozenset(['query_key', 'compound_compare_key', 'ignore_null'])     change_map = {}     occurrence_time = {}       def compare(self, event):         # \u0415\u0441\u043b\u0438 \u0432 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u0445 \u0432\u043a\u043b\u044e\u0447\u0451\u043d \u0444\u043b\u0430\u0433 flapped, \u0438 \u0432 \u0441\u043e\u0431\u044b\u0442\u0438\u0438 flapped=true \u2014 \u043f\u0440\u043e\u043f\u0443\u0441\u0442\u0438\u0442\u044c         if self.rules.get('flapped', False) and lookup_es_key(event, 'kibana.alert.flapping') is True:             elastalert_logger.debug(\"Skipping event due to kibana.alert.flapped=True and flapped option enabled\")             return False                key = hashable(lookup_es_key(event, self.rules['query_key']))         values = []         elastalert_logger.debug(\" Previous Values of compare keys  \" + str(self.occurrences))           query_value = lookup_es_key(event, self.rules['query_key'])         # \u0418\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u0432\u0441\u0435\u0445 \u043a\u043b\u044e\u0447\u0435\u0439 \u0432 compound_compare_key         compound_values = [lookup_es_key(event, val) for val in self.rules['compound_compare_key']]         #values.append(str(query_value) + \"_\" + str(event['kibana.alert.uuid']) + \"_\" + \"_\".join(map(str, compound_values)))         values.append(str(query_value) + \"_\" + \"_\".join(map(str, compound_values)))           elastalert_logger.debug(\" Current Values of compare keys   \" + str(values))           changed = False           # \u0415\u0441\u043b\u0438 \u043a\u043b\u044e\u0447\u0438 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442, \u0438 \u044d\u0442\u043e \u043f\u0435\u0440\u0432\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435, \u0442\u043e \u0441\u0447\u0438\u0442\u0430\u0435\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u043d\u044b\u043c         if key not in self.occurrences:             previous_status = None             changed = True             elastalert_logger.debug(f\"First occurrence for {key}, considering it as changed\")           elif key in self.occurrences:             previous_status = self.occurrences[key]               # \u0415\u0441\u043b\u0438 \u0441\u0442\u0430\u0442\u0443\u0441 \u0438\u0437\u043c\u0435\u043d\u0438\u043b\u0441\u044f, \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043c \u0444\u043b\u0430\u0433 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439             if previous_status != values:                 changed = True                 elastalert_logger.debug(f\"Status changed for {key}: {previous_status} -&gt; {values}\")           # \u0415\u0441\u043b\u0438 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u043d\u0430 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435, \u0437\u0430\u043f\u0438\u0448\u0435\u043c \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0432 change_map         if changed:             self.change_map[key] = (previous_status, values)             # If using timeframe, only return true if the time delta is &lt; timeframe             if key in self.occurrence_time:                 changed = event[self.rules['timestamp_field']] - self.occurrence_time[key] &lt;= self.rules['timeframe']           # Update the current value and time         elastalert_logger.debug(\" Setting current value of compare keys values \" + str(values))         self.occurrences[key] = values         if 'timeframe' in self.rules:             self.occurrence_time[key] = event[self.rules['timestamp_field']]         elastalert_logger.debug(\"Final result of comparision between previous and current values \" + str(changed))         return changed       def add_match(self, match):         change = self.change_map.get(hashable(lookup_es_key(match, self.rules['query_key'])))         extra = {}         if change:             extra = {'old_value': change[0],                      'new_value': change[1]}             elastalert_logger.debug(\"Description of the changed records  \" + str(dict(list(match.items()) + list(extra.items()))))         super(KibanaAlertRule, self).add_match(dict(list(match.items()) + list(extra.items())))<\/code><\/pre>\n<p><strong>\u0421\u043e\u0437\u0434\u0430\u0435\u043c \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e<\/strong><\/p>\n<p>\u0412 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0430\u043b\u0435\u0440\u0442\u043e\u0432 \u044f \u0441\u043e\u0431\u0440\u0430\u043b \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0434\u043b\u044f ElastAlert 2, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0432\u0441\u0435 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432 \u0432 Kibana Alert. \u0412\u044b\u0434\u0435\u043b\u0438\u043b \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043c\u043e\u043c\u0435\u043d\u0442\u044b \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u0435, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0434\u043b\u044f \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u0432 Telegram.<\/p>\n<ol>\n<li>\n<p>\u0423\u043a\u0430\u0437\u0430\u043b \u0448\u0430\u0431\u043b\u043e\u043d \u0438\u043d\u0434\u0435\u043a\u0441\u043e\u0432, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u0432\u0441\u0435 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432.<\/p>\n<\/li>\n<li>\n<p>\u0414\u043e\u0431\u0430\u0432\u0438\u043b \u043b\u043e\u0433\u0438\u043a\u0443 \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0447\u0430\u0441\u0442\u044b\u0445 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f flapped.<\/p>\n<\/li>\n<li>\n<p>\u0423\u0434\u0430\u043b\u0438\u043b \u0441\u043f\u0435\u0446\u0441\u0438\u043c\u0432\u043e\u043b\u044b *<em> \u0438\u0437 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 \u0447\u0435\u0440\u0435\u0437 Jinja, \u0442\u0430\u043a \u043a\u0430\u043a ElastAlert 2 \u043e\u0431\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u0435\u0442 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u0432 <\/em>* \u0434\u043b\u044f \u0436\u0438\u0440\u043d\u043e\u0433\u043e \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u0438\u044f. \u0415\u0441\u043b\u0438 \u0432 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0435 \u0432\u0441\u0442\u0440\u0435\u0442\u0438\u0442\u0441\u044f \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0441\u0438\u043c\u0432\u043e\u043b *, \u0431\u0443\u0434\u0435\u0442 \u043e\u0448\u0438\u0431\u043a\u0430 \u0438 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u043d\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0441\u044f.<\/p>\n<\/li>\n<li>\n<p>\u041d\u0443\u0436\u0435\u043d \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0442\u0438\u0432\u043d\u044b\u0439 \u0438 \u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0439 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a, \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0442\u0438\u043f\u0430 \u0430\u043b\u0435\u0440\u0442\u0430. \u0417\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u0444\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043f\u043e \u043b\u043e\u0433\u0438\u043a\u0435:<br \/>&#8212; \u0435\u0441\u043b\u0438 \u0430\u043b\u0435\u0440\u0442 \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0441\u044f \u043a SIEM, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043f\u043e\u043b\u0435 <code>kibana.rule.name<\/code><br \/>&#8212; \u0432\u043e \u0432\u0441\u0435\u0445 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0445 \u0441\u043b\u0443\u0447\u0430\u044f\u0445 \u2013 <code>kibana.alert.reason<\/code><\/p>\n<\/li>\n<\/ol>\n<p>\u0412 \u0438\u0442\u043e\u0433\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c \u0442\u0430\u043a\u043e\u0435 \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e:<\/p>\n<pre><code class=\"python\">name: Kibana Alerts type: \"elastalert_modules.kibana_alert.KibanaAlertRule\"   index: .internal.alerts-*.alerts-*   compare_key: kibana.alert.status query_key: kibana.alert.uuid   flapped: true   ignore_null: true   realert:   minutes: 0   buffer_time:   minutes: 1   alert: - \"telegram\"   jinja_root_name: root alert_subject: &gt;-   {% set reason = root['kibana.alert.reason'] | replace('*', '') %}   {% if root['kibana.alert.rule.producer'] == \"siem\" -%}     {{ root['kibana.alert.rule.name'] }} is {{ root['kibana.alert.status'] }}   {%- else -%}     {{ reason }} is {{ root['kibana.alert.status'] }}   {%- endif %}   alert_text_type: alert_text_jinja alert_text: |   Alert Status: {{ root['kibana.alert.status'] }}   Rule: {{ root['kibana.alert.rule.name'] }}   Message: {{ root['kibana.alert.reason'] }}   Date: {{ root['@timestamp'] }}   telegram_bot_token: \"\u0425\u0425\u0425\u0425\u0425\u0425\u0425\u0425\u0425:\u0425\u0425\u0425\u0425\u0425\u0425\u0425\u0425\u0425\" telegram_room_id: \"\u0425\u0425\u0425\u0425\u0425\u0425\u0425\u0425\u0425\"<\/code><\/pre>\n<p><strong>\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f<\/strong><\/p>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0439 \u0442\u0438\u043f \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0438 \u0441\u0430\u043c\u043e \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043e\u0447\u0435\u043d\u044c<strong> <\/strong>\u0443\u0434\u043e\u0431\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0432 \u0441\u043e\u0441\u0442\u0430\u0432\u0435 Helm-\u0447\u0430\u0440\u0442\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u043c \u043a\u043e\u0434\u043e\u043c \u2014 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u0443\u0442\u044c \u043a \u043c\u043e\u0434\u0443\u043b\u044e \u0438 \u0441\u043c\u043e\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0447\u0435\u0440\u0435\u0437 extraVolumes \u0438 extraVolumeMounts. \u041d\u043e \u0434\u0430\u0436\u0435 \u0435\u0441\u043b\u0438 \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f Kubernetes, \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439 \u043d\u0435 \u0432\u043e\u0437\u043d\u0438\u043a\u043d\u0435\u0442 \u0434\u043b\u044f docker \u0438\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u0445\u043e\u0441\u0442\u0435.<\/p>\n<p>\u0414\u043b\u044f \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0438\u043b \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442 \u043f\u0440\u0430\u0432\u0438\u043b \u0432 Kibana \u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u043e\u0432 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0439 \u0432 Telegram \u043f\u0440\u0438 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432.<\/p>\n<p><em><u>\u041f\u0440\u0438\u0432\u0438\u043b\u0430 \u0432 Kibana<\/u><\/em><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/105\/f7a\/4f8\/105f7a4f8c20f2173095e85bc76d8f8a.png\" width=\"1600\" height=\"687\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/105\/f7a\/4f8\/105f7a4f8c20f2173095e85bc76d8f8a.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/105\/f7a\/4f8\/105f7a4f8c20f2173095e85bc76d8f8a.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><em><u>\u041e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 \u043f\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044e \u043b\u043e\u0433\u043e\u0432<\/u><\/em><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e57\/3e9\/eb1\/e573e9eb10c7a9237c3bfa008d7a8cd2.png\" width=\"1185\" height=\"395\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/e57\/3e9\/eb1\/e573e9eb10c7a9237c3bfa008d7a8cd2.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e57\/3e9\/eb1\/e573e9eb10c7a9237c3bfa008d7a8cd2.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><em><u>\u041e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 \u043f\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044e \u043c\u0435\u0442\u0440\u0438\u043a<\/u><\/em><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/039\/049\/157\/0390491571eadde25a2096045ca5aa0a.png\" width=\"1084\" height=\"312\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/039\/049\/157\/0390491571eadde25a2096045ca5aa0a.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/039\/049\/157\/0390491571eadde25a2096045ca5aa0a.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><em><u>\u041e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u043c APM<\/u><\/em><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/3c5\/349\/d3a\/3c5349d3a0ac161fdbb3b4e36a965df8.png\" width=\"1183\" height=\"345\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/3c5\/349\/d3a\/3c5349d3a0ac161fdbb3b4e36a965df8.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/3c5\/349\/d3a\/3c5349d3a0ac161fdbb3b4e36a965df8.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><em><u>\u041e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0441\u0438\u043d\u0442\u0435\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u043c \u0442\u0435\u0441\u0442\u0430\u043c\/\u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430\u043c<\/u><\/em><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/6c1\/553\/bb4\/6c1553bb4a38e72a9085bf928880b4e6.png\" width=\"1184\" height=\"356\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/6c1\/553\/bb4\/6c1553bb4a38e72a9085bf928880b4e6.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/6c1\/553\/bb4\/6c1553bb4a38e72a9085bf928880b4e6.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/9f3\/88a\/a32\/9f388aa322d06dcfd58e20c66d5fa84b.png\" width=\"1186\" height=\"518\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/9f3\/88a\/a32\/9f388aa322d06dcfd58e20c66d5fa84b.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/9f3\/88a\/a32\/9f388aa322d06dcfd58e20c66d5fa84b.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><em><u>\u041e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u043f\u043e\u0440\u043e\u0433\u043e\u0432\u044b\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f\u043c<\/u><\/em><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/1a8\/4c8\/d70\/1a84c8d70ecf675591a73b8900567b1e.png\" width=\"1185\" height=\"393\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/1a8\/4c8\/d70\/1a84c8d70ecf675591a73b8900567b1e.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/1a8\/4c8\/d70\/1a84c8d70ecf675591a73b8900567b1e.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><em><u>\u041e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044e SIEM\u00a0<\/u><\/em><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/2c8\/01b\/3e3\/2c801b3e3877880d6bbfd6d456bba825.png\" width=\"1188\" height=\"172\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/2c8\/01b\/3e3\/2c801b3e3877880d6bbfd6d456bba825.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/2c8\/01b\/3e3\/2c801b3e3877880d6bbfd6d456bba825.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/908\/f3f\/573\/908f3f573d26a65a6ca0b4a70fc81f8b.png\" width=\"1183\" height=\"179\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/908\/f3f\/573\/908f3f573d26a65a6ca0b4a70fc81f8b.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/908\/f3f\/573\/908f3f573d26a65a6ca0b4a70fc81f8b.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><strong>\u0427\u0442\u043e \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c \u0431\u044b \u0443\u043b\u0443\u0447\u0448\u0438\u0442\u044c<\/strong><\/p>\n<p>\u0412 \u043c\u043e\u0435\u043c \u0440\u0435\u0448\u0435\u043d\u0438\u0438 \u043e\u0447\u0435\u043d\u044c \u043d\u0435 \u0445\u0432\u0430\u0442\u0430\u0435\u0442 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 Jinja \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u0445 \u0434\u043b\u044f Telegram. \u041d\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u0432 \u0440\u0430\u0437\u043d\u044b\u0435 Telegram-\u043a\u0430\u043d\u0430\u043b\u044b, \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0443\u0441\u043b\u043e\u0432\u0438\u0439. \u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u0441 Kibana \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442 \u0440\u0430\u0437\u043d\u044b\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u044b: \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0438, \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0449\u0438\u043a\u0438 \u0438 \u0442.\u0434. \u0411\u044b\u043b\u043e \u0431\u044b \u0443\u0434\u043e\u0431\u043d\u043e \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0430\u043b\u0435\u0440\u0442\u044b \u043a\u0430\u0436\u0434\u044b\u043c \u0432 \u0441\u0432\u043e\u0439 \u043a\u0430\u043d\u0430\u043b, \u043e\u0441\u043d\u043e\u0432\u044b\u0432\u0430\u044f\u0441\u044c, \u043d\u0430 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432 Kibana.\u00a0 \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0442\u0430\u043a\u043e\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439:<\/p>\n<pre><code class=\"python\">telegram_room_id: &gt;   {% if 'DEVELOP' in rule.name %}   -111111111   {% elif 'TEST' in rule.name %}   -222222222   {% else %}   -333333333   {% endif %}<\/code><\/pre>\n<p>\u0415\u0441\u043b\u0438 \u0432\u044b \u0441\u0442\u0430\u043b\u043a\u0438\u0432\u0430\u043b\u0438\u0441\u044c \u0441 \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0435\u0439 \u0438 \u043d\u0430\u0448\u043b\u0438 \u043f\u0440\u043e\u0441\u0442\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435, \u044f \u0431\u0443\u0434\u0443 \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u0435\u043d \u0437\u0430 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0432\u0430\u0448\u0435\u043c \u043e\u043f\u044b\u0442\u0435. \u041f\u043e\u0434\u0435\u043b\u0438\u0442\u0435\u0441\u044c, \u043f\u043e\u0436\u0430\u043b\u0443\u0439\u0441\u0442\u0430, \u0432 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445.<\/p>\n<p><strong>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/strong><\/p>\n<p>\u041f\u043e\u043b\u0430\u0433\u0430\u044e, \u0447\u0442\u043e \u043c\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u044b\u043c \u0438 \u043f\u0440\u043e\u0441\u0442\u044b\u043c \u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438. \u041e\u043d\u043e \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0432\u0441\u0435 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432 \u0432 Kibana.\u00a0\u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0432\u0430\u0436\u043d\u043e, \u0447\u0442\u043e \u044d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u0435\u0440\u0435\u043d\u0435\u0441\u0442\u0438 \u0432\u0441\u044e \u043b\u043e\u0433\u0438\u043a\u0443 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0430\u043b\u0435\u0440\u0442\u0430\u043c\u0438 \u0432 Kibana, \u0434\u043e\u0431\u0438\u0442\u044c\u0441\u044f \u0435\u0434\u0438\u043d\u043e\u0433\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u0430 \u043a \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0435 \u0432\u0441\u0435\u0445 \u0442\u0438\u043f\u043e\u0432 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0439. \u042d\u0442\u043e \u0438\u0437\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u043e\u0442 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0440\u0430\u0432\u0438\u043b \u0432 ElastAlert 2.\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<p><!----><!----><\/div>\n<p><!----><!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/918898\/\"> https:\/\/habr.com\/ru\/articles\/918898\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412 \u043d\u0430\u0448 \u0432\u0435\u043a \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0439 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0441\u0438\u0441\u0442\u0435\u043c \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0430\u0436\u043d\u044b\u043c\u0438. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0434\u043b\u044f \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u0431\u0435\u0441\u043f\u0435\u0440\u0435\u0431\u043e\u0439\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u044b \u044f \u0447\u0430\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e \u0432 \u0441\u0432\u043e\u0438\u0445 \u043f\u0440\u043e\u0435\u043a\u0442\u0430\u0445 Elastic Stack (\u0440\u0430\u043d\u0435\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0439 \u043a\u0430\u043a ELK Stack), \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0438\u0439 \u0441\u043e\u0431\u0438\u0440\u0430\u0442\u044c, \u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0438 \u0432\u0438\u0437\u0443\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u0433\u0440\u043e\u043c\u043d\u044b\u0435 \u043e\u0431\u044a\u0435\u043c\u044b \u0434\u0430\u043d\u043d\u044b\u0445. \u042d\u0442\u043e\u0442 \u043f\u043e\u0434\u0445\u043e\u0434 \u0448\u0438\u0440\u043e\u043a\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043b\u043e\u0433\u043e\u0432, \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b, \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043e\u0442\u0447\u0435\u0442\u043e\u0432, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0434\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0430\u043d\u043e\u043c\u0430\u043b\u0438\u0439 \u0438 \u043e\u0448\u0438\u0431\u043e\u043a.\u00a0<\/p>\n<p>\u041e\u0434\u043d\u043e\u0439 \u0438\u0437 \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0445 \u0437\u0430\u0434\u0430\u0447 \u043f\u0440\u0438 \u0440\u0430\u0431\u043e\u0442\u0435 \u0441 Elastic Stack \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u0439. \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u044f\u0449\u0438\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0438 \u043c\u0438\u043d\u0438\u043c\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f \u0441\u0431\u043e\u0435\u0432 \u0438\u043b\u0438 \u0430\u0442\u0430\u043a. \u0412 \u0442\u0430\u043a\u043e\u043c \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a ElastAlert 2 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u043c\u043e\u0449\u043d\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0441\u0448\u0438\u0440\u044f\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u0439 Elastic Stack, \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044f \u0433\u0438\u0431\u043a\u043e\u0441\u0442\u044c \u0438 \u0434\u0435\u0442\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e \u0430\u043b\u0435\u0440\u0442\u043e\u0432.<\/p>\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u0432 \u0431\u043b\u043e\u0433\u0435 \u041b\u0410\u041d\u0418\u0422 \u044f \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443 \u043e \u0442\u043e\u043c, \u043a\u0430\u043a\u043e\u0435 \u043e\u0434\u043d\u043e \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0432 ElastAlert 2 \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0432\u0441\u0435 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b \u0443\u0441\u043b\u043e\u0432\u0438\u0439 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f. \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c ElastAlert 2 \u0434\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0430\u043b\u0435\u0440\u0442\u0438\u043d\u0433\u0430 \u0432 Kibana \u0438 \u043a\u0430\u043a \u0438\u043d\u0442\u0435\u0433\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u0431\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 \u0434\u043b\u044f \u0431\u043e\u043b\u0435\u0435 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439.<\/p>\n<figure class=\"full-width\"><\/figure>\n<p><strong>\u041a\u0430\u043a \u043d\u0430\u0447\u0438\u043d\u0430\u043b \u0441 ElastAlert 2 \u0438 \u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u0442\u0440\u0443\u0434\u043d\u043e\u0441\u0442\u044f\u043c\u0438 \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u043b\u0441\u044f<\/strong><\/p>\n<p>\u041d\u0430 \u043d\u0430\u0447\u0430\u043b\u044c\u043d\u044b\u0445 \u044d\u0442\u0430\u043f\u0430\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f Elastic Stack \u0432 \u043c\u043e\u0435\u0439 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a ElastAlert 2 \u0431\u044b\u043b \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432. \u041e\u043d \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u043b \u0433\u0438\u0431\u043a\u0438\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u0430\u0432\u0438\u043b \u0430\u043b\u0435\u0440\u0442\u0438\u043d\u0433\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u043b\u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0432 Elasticsearch (\u043e\u0442\u043a\u0440\u044b\u0442\u0430\u044f \u0440\u0430\u0441\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u043f\u043e\u0438\u0441\u043a\u0430 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u043c\u0438) \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u043d\u0438\u0445.\u00a0<\/p>\n<p>ElastAlert 2 \u0438\u0434\u0435\u0430\u043b\u044c\u043d\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u0438\u043b \u0434\u043b\u044f \u0437\u0430\u0434\u0430\u0447, \u0433\u0434\u0435 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u0430\u0441\u044c \u0442\u043e\u043d\u043a\u0430\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0443\u0441\u043b\u043e\u0432\u0438\u0439 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f. \u041a\u0430\u0436\u0434\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0432 ElastAlert 2 \u0431\u044b\u043b\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u0444\u0438\u043b\u044c\u0442\u0440\u043e\u0432, \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0432 Elasticsearch \u0438 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0443\u0441\u043b\u043e\u0432\u0438\u0439. \u041f\u043e \u043c\u0435\u0440\u0435 \u0443\u0432\u0435\u043b\u0438\u0447\u0435\u043d\u0438\u044f \u0438\u0445 \u0447\u0438\u0441\u043b\u0430 \u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u043c\u044b \u0441 \u043a\u043e\u043b\u043b\u0435\u0433\u0430\u043c\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0440\u044f\u0434 \u043d\u0435\u0443\u0434\u043e\u0431\u0441\u0442\u0432 \u043f\u0440\u0438 \u0440\u0430\u0431\u043e\u0442\u0435 \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 \u0432 ElastAlert 2.<\/p>\n<p><strong>\u0411\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043f\u0440\u0430\u0432\u0438\u043b.<\/strong> \u041c\u044b \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u043b\u0438 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f \u0440\u0430\u0437\u043d\u044b\u0445 \u0442\u0438\u043f\u043e\u0432 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0438 \u0434\u0430\u043d\u043d\u044b\u0445. \u0421\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0435\u043c \u0438\u0445 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u043b\u043e\u0441\u044c \u0434\u043e \u0442\u0430\u043a\u043e\u0439 \u0441\u0442\u0435\u043f\u0435\u043d\u0438, \u0447\u0442\u043e \u0438\u043c\u0438 \u0431\u044b\u043b\u043e \u0441\u043b\u043e\u0436\u043d\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0438 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0442\u044c \u0432 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0438. \u041a\u0430\u0436\u0434\u043e\u0435 \u043d\u043e\u0432\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u043e \u0438\u043d\u0434\u0438\u0432\u0438\u0434\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438, \u0447\u0442\u043e \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u043b\u043e \u043c\u043d\u043e\u0433\u043e \u0440\u0443\u0447\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u044b.<\/p>\n<p><strong>\u041e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f.<\/strong> \u0421\u0442\u0430\u043b\u043e \u0442\u0440\u0443\u0434\u043d\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0438\u0437\u043c\u0435\u043d\u044f\u0442\u044c \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0430\u043b\u0435\u0440\u0442\u0438\u043d\u0433\u0430. \u0427\u0442\u043e\u0431\u044b \u043e\u0431\u043d\u043e\u0432\u0438\u0442\u044c \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443 \u0430\u043b\u0435\u0440\u0442\u0430, \u043d\u0443\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u0436\u0434\u044b\u0439 YAML-\u0444\u0430\u0439\u043b, \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0441\u0438\u0441\u0442\u0435\u043c\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u0432\u0435\u0440\u0441\u0438\u0439, \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c ansible \u0438 \u0442.\u043f.<\/p>\n<p><strong>\u0422\u0440\u0443\u0434\u043d\u043e\u0441\u0442\u0438 \u0441 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f\u043c\u0438 \u0438 \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u0438\u043c\u043e\u0441\u0442\u044c\u044e<\/strong>. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b\u0438\u0441\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u043c\u0438, \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u0432\u0435\u0440\u0441\u0438\u0438 ElastAlert 2 \u0438\u043b\u0438 Elastic Stack \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u043e \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u043b\u0438 \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u044b\u0432\u0430\u043d\u0438\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e. \u0418\u043d\u043e\u0433\u0434\u0430 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0432 \u043e\u0434\u043d\u043e\u0439 \u0447\u0430\u0441\u0442\u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u043c\u043e\u0433\u043b\u0438 \u043f\u043e\u0432\u043b\u0438\u044f\u0442\u044c \u043d\u0430 \u0434\u0440\u0443\u0433\u0438\u0435, \u0447\u0442\u043e \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u043b\u043e \u043a \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u0435.\u00a0<\/p>\n<p>\u041a\u043e\u0433\u0434\u0430 \u0432 Kibana \u0431\u044b\u043b \u0432\u043d\u0435\u0434\u0440\u0435\u043d \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c Alerts, \u043c\u044b \u043d\u0430\u0447\u0430\u043b\u0438 \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u0442\u044c \u043d\u0430 \u043d\u043e\u0432\u044b\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432, \u0447\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0443\u043f\u0440\u043e\u0441\u0442\u0438\u043b\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u044f\u043c\u0438. \u041d\u043e\u0432\u044b\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b \u0432 Kibana \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u043b \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0442\u044c \u0430\u043b\u0435\u0440\u0442\u044b \u043f\u0440\u044f\u043c\u043e \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 Kibana. \u041c\u0435\u0445\u0430\u043d\u0438\u0437\u043c Alerts \u0432 Kibana \u0442\u0435\u0441\u043d\u043e \u0441\u0432\u044f\u0437\u0430\u043d \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 (Rules<strong>)<\/strong> \u0438 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u043e\u0441\u043d\u043e\u0432\u0443 \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u044f\u043c\u0438 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430.\u00a0<\/p>\n<p><strong>\u0412\u0441\u0435 \u0430\u043b\u0435\u0440\u0442\u044b \u0432 Elastic Stack \u0441\u0432\u043e\u0434\u044f\u0442\u0441\u044f \u043a \u0448\u0435\u0441\u0442\u0438 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u044f\u043c, \u043d\u043e \u0435\u0441\u0442\u044c \u043d\u044e\u0430\u043d\u0441<\/strong><\/p>\n<figure class=\"full-width\">\n<div><figcaption><em>\u0420\u0438\u0441. 1. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 Observability<\/em><\/figcaption><\/div>\n<\/figure>\n<figure class=\"full-width\">\n<div><figcaption><em>\u0420\u0438\u0441. 2. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 Security<\/em><\/figcaption><\/div>\n<\/figure>\n<p>\u041d\u0430\u043a\u0430\u043f\u043b\u0438\u0432\u0430\u044f \u043e\u043f\u044b\u0442 \u0440\u0430\u0431\u043e\u0442\u044b \u0432 Elastic Stack c \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 \u0438 \u0430\u043b\u0435\u0440\u0442\u0430\u043c\u0438, \u044f \u043f\u0440\u0438\u0448\u0435\u043b \u043a \u0432\u044b\u0432\u043e\u0434\u0443, \u0447\u0442\u043e \u0432\u0441\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432 Elastic Stack \u0434\u0435\u043b\u044f\u0442\u0441\u044f \u043d\u0430 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0439 \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0442\u0438\u043f\u0430 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u043d\u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044e\u0442 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u044e\u0442. \u0412 \u0431\u0430\u0437\u043e\u0432\u043e\u0439 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0438 Elastic Stack \u044f \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b \u0448\u0435\u0441\u0442\u044c \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0439: \u043f\u044f\u0442\u044c \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0439 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 Observability \u0438 \u043e\u0434\u043d\u0430 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 Security.<\/p>\n<p><strong>1. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f \u043b\u043e\u0433\u043e\u0432\u00a0<\/strong><\/p>\n<p>\u0421\u043b\u0443\u0436\u0430\u0442 \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u0437\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0445 \u0432 \u043b\u043e\u0433\u0430\u0445 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439. \u041b\u043e\u0433\u0438 \u043c\u043e\u0433\u0443\u0442 \u0432\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u0432 \u0441\u0435\u0431\u044f \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043e\u0431 \u043e\u0448\u0438\u0431\u043a\u0430\u0445, \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445, \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0445 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f\u0445 \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0432\u0430\u0436\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435.<\/p>\n<p><strong>2. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f \u043c\u0435\u0442\u0440\u0438\u043a<\/strong><\/p>\n<p>\u041c\u0435\u0442\u0440\u0438\u043a\u0438 \u2014 \u044d\u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u043e \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0438 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b (\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0440\u0430, \u043f\u0430\u043c\u044f\u0442\u0438, \u0441\u0435\u0442\u0438, \u0434\u0438\u0441\u043a\u043e\u0432 \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0438 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439).\u00a0<\/p>\n<p><strong>3. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f APM (Application Performance Monitoring)<\/strong><\/p>\n<p>\u041f\u0440\u0435\u0434\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u044b \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439. \u041e\u043d\u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044e\u0442 \u0432\u0440\u0435\u043c\u044f \u043e\u0442\u043a\u043b\u0438\u043a\u0430 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043e\u0448\u0438\u0431\u043a\u0438, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0438, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c\u044e.<\/p>\n<p><strong>4. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u0434\u043b\u044f Uptime<\/strong><\/p>\n<p>\u041e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0442 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0438 \u0432\u0435\u0431-\u0441\u0430\u0439\u0442\u043e\u0432. \u0422\u0430\u043a\u0436\u0435 \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 Uptime \u0432\u0445\u043e\u0434\u044f\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435 \u0442\u0435\u0441\u0442\u044b (Synthetic) \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0441\u0440\u043e\u043a\u0430 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432.<\/p>\n<p><strong>5. \u041f\u043e\u0440\u043e\u0433\u043e\u0432\u044b\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 (Threshold)<\/strong><\/p>\n<p>\u042d\u0442\u0430 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u044f \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0441\u043b\u0443\u0447\u0430\u0438, \u043a\u043e\u0433\u0434\u0430 \u043d\u0443\u0436\u043d\u043e \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u043f\u0440\u0435\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u043e\u0440\u043e\u0433\u0430 \u043f\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0443 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u043c\u0435\u0442\u0440\u0438\u043a \u0438\u043b\u0438 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0435\u0439.<\/p>\n<p><strong>6. \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u043f\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (Security)<\/strong><\/p>\n<p>\u041f\u043e\u043c\u043e\u0433\u0430\u044e\u0442 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u044b, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u0443\u0433\u0440\u043e\u0437\u0430\u043c\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435. \u042d\u0442\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0432 \u0441\u043e\u0447\u0435\u0442\u0430\u043d\u0438\u0438 \u0441 Elastic Enpoint Security (\u0431\u044b\u0432\u0448\u0438\u0439 SIEM)<strong> <\/strong>\u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0432\u044b\u044f\u0432\u043b\u044f\u0442\u044c \u0442\u0430\u043a\u0438\u0435 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f, \u043a\u0430\u043a \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u043d\u0435\u0441\u0430\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430, \u0430\u0442\u0430\u043a\u0438 \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0443\u0433\u0440\u043e\u0437\u044b.<\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u0430\u0432\u0438\u043b \u0432 Kibana \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0438 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0439 \u0438\u043d\u0434\u0435\u043a\u0441:<\/p>\n<details class=\"spoiler\">\n<summary>&#8212; .internal.alerts-observability.logs.alerts-default-*<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"python\">\"kibana\": {           \"properties\": {             \"alert\": {               \"properties\": {                 \"action_group\": {                   \"type\": \"keyword\"                 },                 \"case_ids\": {                   \"type\": \"keyword\"                 },                 \"consecutive_matches\": {                   \"type\": \"long\"                 },                 \"context\": {                   \"type\": \"object\"                 },                 \"duration\": {                   \"properties\": {                     \"us\": {                       \"type\": \"long\"                     }                   }                 },                 \"end\": {                   \"type\": \"date\"                 },                 \"evaluation\": {                   \"properties\": {                     \"threshold\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"value\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     },                     \"values\": {                       \"type\": \"scaled_float\",                       \"scaling_factor\": 100                     }                   }                 },                 \"flapping\": {                   \"type\": \"boolean\"                 },                 \"flapping_history\": {                   \"type\": \"boolean\"                 },                 \"group\": {                   \"properties\": {                     \"field\": {                       \"type\": \"keyword\"                     },                     \"value\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"instance\": {                   \"properties\": {                     \"id\": {                       \"type\": \"keyword\"                     }                   }                 },                 \"last_detected\": {                   \"type\": \"date\"                 },                 \"maintenance_window_ids\": {                   \"type\": \"keyword\"                 },                 \"previous_action_group\": {                   \"type\": \"keyword\"                 },                 \"reason\": {                   \"type\": \"keyword\",                   \"fields\": {                     \"text\": {                       \"type\": \"match_only_text\"                     }                   }                 },                 \"risk_score\": {                   \"type\": \"float\"                 },                 \"rule\": {                   \"properties\": {                     \"author\": {                       \"type\": \"keyword\"                     },                     \"category\": {                       \"type\": \"keyword\"                     },                     \"consumer\": {                       \"type\": \"keyword\"                     },                     \"created_at\": {                       \"type\": \"date\"                     },                     \"created_by\": {                       \"type\": \"keyword\"                     },                     \"description\": {                       \"type\": \"keyword\"                     },                     \"enabled\": {                       \"type\": \"keyword\"                     },                     \"execution\": {                       \"properties\": {                         \"timestamp\": {                           \"type\": \"date\"                         },                         \"uuid\": {                           \"type\": \"keyword\"                         }                       }                     },                     \"from\": {                       \"type\": \"keyword\"                     },                     \"interval\": {                       \"type\": \"keyword\"                     },                     \"license\": {                       \"type\": \"keyword\"                     },                     \"name\": {                       \"type\": \"keyword\"                     },                     \"note\": {                       \"type\": \"keyword\"                     },                     \"parameters\": {                       \"type\": \"flattened\",                       \"ignore_above\": 4096                     },                     \"producer\": {                       \"type\": \"keyword\"                     },                     \"references\": {                       \"type\": \"keyword\"                     },                     \"revision\": {                       \"type\": \"long\"                     },                     \"rule_id\": {                       \"type\": \"keyword\"                     },                     \"rule_name_override\": {                       \"type\": \"keyword\"                     },                     \"rule_type_id\": {                       \"type\": \"keyword\"                     },                     \"tags\": {                       \"type\": \"keyword\"                     },  <\/code><\/pre>\n<\/div>\n<\/details>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-465464","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/465464","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=465464"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/465464\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=465464"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=465464"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=465464"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}