我正在尝试使用ElastAlert规则来匹配日志消息有效负载中的子串notify=warning或notify="warning"，而使用我下面包括的规则过滤器，结果到目前为止还不理想:
filter:- query: query_string: query: "message:\"notify=warning\" OR message:\"notify=\"warning\"\""
我正在搜索的子字符串位于message字段的中间，但是我的过滤器的结果与带引号的“警告”不匹配，它还会拾取仅包含“WARNING”之类的词的消息。在解决我的比赛方面的任何帮助将不胜感激。

您可以尝试使用“.keyword”进行精确匹配。

例如
query: "message.keyword:\"notify=warning\" OR message:\"notify=\"warning\"\""