經過一陣兒的學習,elastalert可以滿足如下需求:
1. filter關鍵字
2. 報警
接下來,就是部署到測試環境,正式開始中短期測試。我們採用supervisord的方式進行部署。
[program:elastalert]
priority=1
command=/usr/local/scripts/deploy/fabenv/bin/python -m elastalert.elastalert --config /opt/xx/elk/aaa/config.yaml --verbose --rule /opt/xx/elk/aaa/example_rules/rule.yaml
autostart=false
autorestart=false
startretries=100
stopsignal=term
stopasgroup=true ; 是否想unix程序組傳送結束訊號 (default false)
killasgroup=true ; sigkill unix 進
rules_folder: example_rules
run_every:
#minutes: 1
seconds: 3
buffer_time:
minutes: 15
es_host:
192.168
.0.231
es_port:
9200
writeback_index: elastalert_status
alert_time_limit:
days: 2
rules_folder: example_rules
run_every:
#minutes: 1
seconds: 3
buffer_time:
minutes: 15
es_host:
192.168
.0.231
es_port:
9200
writeback_index: elastalert_status
alert_time_limit:
days: 2
#id: 5.1.1
(fabenv) [root@t228 aaa]# cat example_rules/rule.yaml
es_host:
192.168
.0.231
es_port:
9200
name: for a test
use_strftine_index: true
type: frequency
index: filebeat-*
num_events:
1timeframe:
hours: 1
filter:
- query_string:
query: "message: \"測試一下下\""
query: "message: \"abc\""
query: "message: \"closing socket connection and attempting reconnect\""
query: "message: \"伺服器下線: null\""
alert:
- "email"
email:
- "123@xx"
smtp_host: smtp.vip
.126
.com
from_addr: [email protected]
.com
email_reply_to: [email protected]
.com
smtp_auth_file: /opt/xx/elk/aaa/example_rules/auth
發現不行,原來我寫了多個query,貌似只有最後乙個query生效。好吧,作為乙個問題放在這裡。
elastAlert環境搭建,(親測可行)
注自己本地虛擬機器根據部落格安裝過程中遇到的問題 系統沒有pip的找一下pip命令安裝。此處不贅訴 索引名 search?pretty 如下顯示則為插入資料成功。啟動elastalert。檢測2017.08.28t10點到第二天十點的資訊 python m elastalert.elastalert...
類別,非正式協議,正式協議
類別,非正式協議,正式協議 1類別 1.1 不能新增新的例項變數 1.2 如果一定要在類別中使用例項標量,可以使用全域性變數 關聯 額外變數 注 cocoa中沒有任何真正的私有方法,只要知道物件支援的某個方法名稱,即使.h中沒有宣告,也可以呼叫該方法。個人理解是oc的動態機制 2非正式協議 即建立乙...
Spring Data Lovelace 正式發布
spring data的專案開發者mark paluch在部落格宣布了spring data lovelace 正式發布,本次大版本一共關閉了936個問題單。這個版本的火車構建在剛剛發布的spring framework 5.1 ga之上。您可以在下週的spring boot 2.1 m4版本中輕鬆...