ElastAlert2 规则要分别统计各个交换机ip出现CRCERRORRISING和NTP_TRAP_SYNCHRONIZE_STATUS的次数进行告警，怎么写规则,详细案例规则并附解释

ElastAlert2 是一个基于 Elasticsearch 的监控报警系统，它允许用户编写自定义规则来检测异常情况。如果你想针对交换机 IP 上的 CRCERRORRISING 和 NTP_TRAP_SYNCHRONIZE_STATUS 状态创建报警规则，你需要编写一个 JSON 格式的规则文件。下面是一个示例规则配置：

{
  "name": "Switch_CRC_NTP_Errors",
  "type": "metric alert",
  "index": ["your_index_name*"], // 替换为实际的日志索引名
  "filter": [
    {
      "query_string": {
        "query": "*switch_ip*" // 使用模糊查询匹配包含交换机 IP 的日志
      }
    },
    {
      "metric": {
        "function": "count", // 统计次数
        "field": "crcerrorrising_count", // 如果日志字段有记录这两种错误次数的字段名称
        "threshold": "3" // 设置阈值，当达到三次 CRCERRORRISING 错误时触发告警
      }
    },
    {
      "metric": {
        "function": "count",
        "field": "ntp_trap_synchronize_status_count",
        "threshold": "2" // 对于 NTP_TRAP_SYNCHRONIZE_STATUS 也设置一个独立的阈值
      }
    }
  ],
  "alert": {
    "type": "email",
    "recipients": ["your_email@example.com"], // 替换为接收邮件地址
    "message": "交换机 {{source_host}} 发生了 CRCERRORRISING 错误 {{crcerrorrising_count}} 次，并且 NTP_TRAP_SYNCHRONIZE_STATUS 错误发生了 {{ntp_trap_synchronize_status_count}} 次."
  },
  "throttle_period": "5m" // 告警频率设定为每五分钟一次
}

这个规则的意思是，当某个交换机相关的日志索引中，同时出现 CRCERRORRISING 至少3次和 NTP_TRAP_SYNCHRONIZE_STATUS 至少2次，就会触发一封电子邮件报警。