Он работает, комбинируя Elasticsearch с двумя типами компонентов, типами правил и предупреждениями. Elasticsearch периодически запрашивается, и данные передаются в тип правила, который определяет, когда будет найдено совпадение. Когда происходит совпадение, оно передается одному или нескольким оповещениям, которые предпринимают действия на основе совпадения.
Это настраивается набором правил, каждое из которых определяет запрос, тип правила и набор предупреждений.