{ "watch_id": "_inlined_", "state": "failed", "status": { "state":

1. {
2.   "watch_id": "_inlined_",
3.   "state": "failed",
4.   "status": {
5.     "state": {
6.       "active": true,
7.       "timestamp": "2017-11-24T09:09:37.648Z"
8.     },
9.     "actions": {
10.       "notify-pagerduty": {
11.         "ack": {
12.           "timestamp": "2017-11-24T09:09:37.648Z",
13.           "state": "awaits_successful_execution"
14.         }
15.       }
16.     }
17.   },
18.   "trigger_event": {
19.     "type": "manual",
20.     "triggered_time": "2017-11-24T09:09:37.648Z",
21.     "manual": {
22.       "schedule": {
23.         "scheduled_time": "2017-11-24T09:09:37.648Z"
24.       }
25.     }
26.   },
27.   "input": {
28.     "search": {
29.       "request": {
30.         "search_type": "query_then_fetch",
31.         "indices": [
32.           "<logstash-infra-{now/d}>"
33.         ],
34.         "types": [],
35.         "body": {
36.           "size": 0,
37.           "query": {
38.             "bool": {
39.               "must": [
40.                 {
41.                   "query_string": {
42.                     "query": "system.auth.ssh.event: Failed OR Invalid"
43.                   }
44.                 },
45.                 {
46.                   "range": {
47.                     "@timestamp": {
48.                       "gte": "{{ctx.trigger.triggered_time}}||-1m"
49.                     }
50.                   }
51.                 }
52.               ]
53.             }
54.           },
55.           "aggs": {
56.             "user": {
57.               "terms": {
58.                 "field": "system.auth.user"
59.               }
60.             }
61.           }
62.         }
63.       }
64.     }
65.   },
66.   "condition": {
67.     "compare": {
68.       "ctx.payload.aggregations.user.buckets.0.doc_count": {
69.         "gte": 1
70.       }
71.     }
72.   },
73.   "metadata": {
74.     "name": "SSH FAiled again..."
75.   },
76.   "result": {
77.     "execution_time": "2017-11-24T09:09:37.648Z",
78.     "execution_duration": 2,
79.     "input": {
80.       "type": "search",
81.       "status": "success",
82.       "payload": {
83.         "_shards": {
84.           "total": 5,
85.           "failed": 0,
86.           "successful": 5,
87.           "skipped": 0
88.         },
89.         "hits": {
90.           "hits": [],
91.           "total": 0,
92.           "max_score": 0
93.         },
94.         "took": 1,
95.         "timed_out": false,
96.         "aggregations": {
97.           "user": {
98.             "doc_count_error_upper_bound": 0,
99.             "sum_other_doc_count": 0,
100.             "buckets": []
101.           }
102.         }
103.       },
104.       "search": {
105.         "request": {
106.           "search_type": "query_then_fetch",
107.           "indices": [
108.             "<logstash-infra-{now/d}>"
109.           ],
110.           "types": [],
111.           "body": {
112.             "size": 0,
113.             "query": {
114.               "bool": {
115.                 "must": [
116.                   {
117.                     "query_string": {
118.                       "query": "system.auth.ssh.event: Failed OR Invalid"
119.                     }
120.                   },
121.                   {
122.                     "range": {
123.                       "@timestamp": {
124.                         "gte": "2017-11-24T09:09:37.648Z||-1m"
125.                       }
126.                     }
127.                   }
128.                 ]
129.               }
130.             },
131.             "aggs": {
132.               "user": {
133.                 "terms": {
134.                   "field": "system.auth.user"
135.                 }
136.               }
137.             }
138.           }
139.         }
140.       }
141.     },
142.     "actions": []
143.   },
144.   "exception": {
145.     "type": "index_out_of_bounds_exception",
146.     "reason": "Index: 0, Size: 0"
147.   }
148. }