Elastic:使用 ElastAlert 发送 Slack 通知

于 2020-01-03 16:43:49 发布
阅读量5k 收藏 5
点赞数
分类专栏: Elastic Beats 文章标签: Elasticsearch Elastic elasticsearch 大数据
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/UbuntuTouch/article/details/103820572
版权
Elastic 同时被 2 个专栏收录
1400 篇文章 868 订阅
订阅专栏
Beats
90 篇文章 73 订阅
订阅专栏

ElastAlert 是一个简单的框架,用于从 Elasticsearch 中的数据中发出异常,尖峰或其他感兴趣模式的警报。我们可以在地址 ElastAlert - Easy & Flexible Alerting With Elasticsearch — ElastAlert 0.0.1 documentation 找到它的使用说明。在今天的教程中,我将一步一步地介绍如何搭配环境,并从 Elasticsearch 发送通知给 Slack。

为了说明问题的方便,我的环境如下:

在我的环境中,我使用 Mac 电脑运行 Elasticsearch 及 Kibana,而在另外一个虚拟机上运行我们的 Filebeat。Filebeat 把 Ubuntu 机器里的 syslog 传入到 Elasticsearch 中供分析,同时 ElastAlert 周期性地从 Elasticsearch 中获取数据,并依据制定的规则来发送通知。

准备工作

创建 Slack 账号

我们首先需要创建一个自己的 Slack 账号,并具有自己的管理员权限。你可以参考链接 “Configuring Slack Account” 来配置自己的 Slack 账号,并生成一个相应的一个 Webhook URL。这个 URL 将会在 Elasticsearch 里进行使用。

我们先把上面创建的 webhook url 记下来供下面的配置使用。

安装 Elasticsearch

我们可以按照 “如何在 Linux,MacOS 及 Windows 上进行安装 Elasticsearch” 介绍的那样安装好我们的 Elasticsearch。不过由于我们需要使 Elasticsearch 被另外一个虚拟机所见,在这里我们需要对 Elasticsearch 进行配置。首先使用一个编辑器打开在 config 目录下的 elasticsearch.yml 配置文件。我们需要修改 network.host 的 IP 地址。在你的 Mac 及 Linux 机器上,我们可以使用:

$ ifconfig

来查看到我们的机器的 IP 地址。针对我的情况,我的机器的 IP 地址是:10.211.55.2。

我们也必须在 elasticsearch.yml 的最后加上 discovery.type: single-node,表明我们是单个 node。

等修改完我们的 IP 地址后,我们保存 elasticsearch.yml 文件。然后重新运行我们的 elasticsearch。我们可以在一个浏览器中输入刚才输入的IP地址并加上端口号9200。这样可以查看一下我们的 elasticsearch 是否已经正常运行了。

安装 Kibana

我们可以按照 “如何在 Linux,MacOS 及 Windows 上安装 Elastic 栈中的 Kibana” 中介绍的那样来安装我们的 Kibana。由于我们的 Elasticsearch 的 IP 地址已经改变,所以我们必须修改我们的 Kibana 的配置文件。我们使用自己喜欢的编辑器打开在 config 目录下的 kibana.yml 文件,并找到 server.host。把它的值修改为自己的电脑的 IP 地址。针对我的情况是:

同时找到elasticsearch.hosts,并把自己的IP地址输入进去:

保存我们的 kibana.yml 文件,并运行我们的 Kibana。同时在浏览器的地址中输入自己的 IP 地址及 5601 端口:

如果配置成功的话,我们就可以看到上面的画面。

安装 Ubuntu 虚拟机

这个不在我的这个教程之内。在网上我们可以找到许多的教程教我们如何安装 Ubuntu 虚拟机。

安装 Filebeat

我们想在 Ubuntu 机器上安装我们的 filebeat 来手机 system log 信息。我们首先打开我们的 Kibana。点击左上角的 Kibana 图标:

点击 “Add log data” 按钮:

然后点击 “System logs

由于 Ubuntu 是 debian 系统,我们选择 DEB。安装上面的步骤一步一步地进行安装。在配置 filebeat.yml 时,我们需要把我们的 IP 地址输入到相应的地方:

output.elasticsearch:
  hosts: ["http://10.211.55.2:9200"]
  username: "elastic"
  password: "123456"
setup.kibana:
  host: "10.211.55.2:5601"

上面是我的配置情况。你可以根据自己的实际的 IP 地址进行配置。当我们成功地启动 filebeat 服务后,我们可以通过如下的命令来检查我们的服务是否已经成功运行:

sudo systemctl status filebeat

安装 ElastAlert

我们可以参考链接 Running ElastAlert for the First Time — ElastAlert 0.0.1 documentation 来安装我们的 ElastAlert。在这里我们使用 python3 来运行 ElastAlert。首先我们需要在 Ubuntu 上安装 python3

我们安装如下的步骤进行安装:

1) 下载 elastalert 源码:

git clone https://github.com/Yelp/elastalert.git

2)安装模块:

我们进入到上面下载项目的根目录中,并打入如下的命令:

sudo pip3 install "setuptools>=11.3"
sudo python3 setup.py install
sudo pip3 install -U PyYAML

根据 Elasticsearch 的版本,你可能需要手动安装正确版本的 elasticsearch-py。

Elasticsearch 5.0+:

sudo pip3 install "elasticsearch>=5.0.0"

Elasticsearch 2.X:

sudo pip3 install "elasticsearch<3.0.0"

这样我们的安装工作就完成了。

配置 ElastAlert

配置文件

我们可以在 ElastAlert 源码文件的根目录下找到一个叫做 config.yaml.example 的文件:

我们可以把这个文件修改为 config.yaml 文件:

mv config.yaml.example config.yaml

我们使用我们喜欢的编辑器打开这个文件,并修改这个文件:

我们可以根据自己的 IP 地址来进行修改。如果我们对 Elasticsearch 做了安全设置,我们同时也需要填写用户名及密码:

做完上面的修改后,我们保存 config.yaml 文件。

配置 Elasticsearch

ElastAlert 将有关其查询和警报的信息和元数据保存回 Elasticsearch。 这对于审核和调试很有用,它使 ElastAlert 可以重新启动并完全从中断处恢复。 ElastAlert 不需要运行,但强烈建议使用。

首先,我们需要通过运行 elastalert-create-index 并按照说明为 ElastAlert 创建要写入的索引。我们进入到 ElastAlert 的源码根目录,并打入如下的命令:

elastalert-create-index

创建 rule

每个规则都定义要执行的查询,触发匹配的参数以及每个匹配要触发的警报列表。 我们将使用 example_rules/example_frequency.yaml 作为模板。我们删除其中一些不需要的项目,最终的文件是这样的:

example_frequency.yaml

# Alert when the rate of events exceeds a threshold

# Elasticsearch host
es_host: 10.211.55.2

# Elasticsearch port
es_port: 9200

# (OptionaL) Connect with SSL to Elasticsearch
#use_ssl: True

# (Optional) basic-auth username and password for Elasticsearch
es_username: "elastic"
es_password: "123456"

# (Required)
# Rule name, must be unique
name: Slack demo

# (Required)
# Type of alert.
# the frequency rule type alerts when num_events events occur with timeframe time
type: frequency

# (Required)
# Index to search, wildcard supported
index: filebeat-*

# (Required, frequency specific)
# Alert when this many documents matching the query occur within a timeframe
num_events: 3

# (Required, frequency specific)
# num_events must occur within this amount of time to trigger an alert
timeframe:
  hours: 1

# (Required)
# A list of Elasticsearch filters used for find events
# These filters are joined with AND and nested in a filtered query
# For more info: http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/query-dsl.html
filter:
- term:
    process.name: "JUSTME"

# (Required)
# The alert is use when a match is found
alert:
- "slack"

# (required, email specific)
# a list of email addresses to send alerts to
slack:
slack_webhook_url: Your_Webhook_Url
slack_username_override: "liuxg"

在上面请修改 es_host 为自己的 IP 地址,同时也需要把自己的 webhook url 写入到 slack_webhook_url 中去。在上面我们使用 index 为 filebeat-* 作为查询的索引,同时我们使用一个 filter。它检查 process.name 是否为 JUSTME 字符串。如果是,并且在1个小时(timeframe)里出现3次(num_events),那么将触发通知。

测试 rule

运行 elastalert-test-rule 工具将测试你的配置文件是否成功加载并在过去的24小时内以调试模式运行它:

elastalert-test-rule example_rules/example_frequency.yaml

运行 ElastAlert

我们使用 Python 来直接运行 Elastalert:

python3 -m elastalert.elastalert --verbose --rule example_frequency.yaml

这样我们的 Elastalert 已经被成功运行起来了。我们在这个时候可以打开我们的 Kibana 来监视 filebeat-* 索引,如果在一个小时内有三次 process.name 信息有 JUSTME 字样,那么我们就会在我们的 Slack 里收到一个通知。

我们在 Ubuntu 中打开另外的一个 terminal,并输入如下的命令:

sudo logger -t JUSTME this is message 1
sudo logger -t JUSTME this is message 2
sudo logger -t JUSTME this is message 3

那么我们可以打开 Kibana 查看这些消息:

那么这个时候,在我们的 Slack 中,我们可以看到如下的消息:

我们收到了我们所需要的通知信息。我们也可以把通知写入到我们的邮件中去。这个由你们自己来实践了。在 Elastalert 的官方网站上,我们可以看到很多的通知类型。详细地址为Rule Types and Configuration Options — ElastAlert 0.0.1 documentation

如果你想了解如何向邮件发送一个通知的话,请阅读我的另外一篇文章 “Elastic:使用 ElastAlert 发送邮件通知”。

Elastic 中国社区官方博客
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
博客
Elasticsearch:不用高深的数学知识来理解 LLMs 是如何工作的
06-20 1306
​我相信您同意,我们无法忽视生成式人工智能 (GenAI),因为我们不断被有关大型语言模型 (LLMs) 的主流新闻轰炸。你很可能已经尝试过 ChatGPT,甚至可能一直将其作为助手使用。我认为很多人对 GenAI 革命有一个基本疑问,即这些模型的明显智能来自哪里。在本文中,我将尝试用简单的术语解释生成式文本模型的工作原理,而不使用高级数学,以帮助你将它们视为计算机算法而不是魔法。
博客
Elasticsearch:ES|QL 查询展示
11-25 1236
这篇文章是继我昨天完成的文章 ​“Elasticsearch:ES|QL 函数及操作符” 的另外一篇文章。我将继续使用之前文章 “” 中的例子来结合 ES|QL 函数来做更进一步的展示。希望能对之前的文章做一个更进一步的展示。在这里,我将主要使用 Dev Tools 来进行展示。:在进行如下的例子之前,你需要至少安装 Elastic Stack 8.11 及以上版本。
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 14万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster, n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 16万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
Elasticsearch:Ingest architectures - 摄取架构
07-04 551
我们提供各种采集架构,以满足各种用例和网络配置的需求。要将数据采集到 Elasticsearch,请使用最符合你的需求和用例的选项。对于许多用户和用例来说,最简单的方法是使用 Elastic Agent 采集数据并将其发送到 Elasticsearch。Elastic Agent 和适用于许多流行的平台和服务,是一个不错的起点。:你可以在自己的硬件上托管 Elasticsearch,也可以将数据发送到 Elastic Cloud 上的 Elasticsearch。
博客
Elasticsearch:结合稀疏、密集和地理字段
07-04 396
Elasticsearch 是一款强大的工具,可用于近乎实时地搜索和分析数据。作为开发人员,我们经常会遇到包含各种不同字段的数据集。有些字段是必填字段,或者包含的数据超过平均水平,而有些字段则很少。缺少许多值的字段称为 “稀疏(sparse)” 字段,而存在大多数值的字段称为 “密集(dense)” 字段。当然,我们还有那些表示地理位置数据的地理位置字段。在本文中,我们将介绍如何查询具有不同字段的数据。我们将探索稀疏、密集和地理字段的集成,以增强你的搜索功能。我们将介绍实际示例(使用我最喜欢的 book
博客
Elasticsearch:Runtime fields - 运行时字段(二)
07-03 577
运行时字段(runtime fields)是在查询时计算的字段。运行时字段使你能够:- 向现有文档添加字段而无需重新索引数据- 开始处理数据而无需了解其结构- 在查询时覆盖索引字段返回的值- 定义用于特定用途的字段而无需修改底层架构你可以像访问其他任何字段一样从 search API 访问运行时字段,Elasticsearch 对运行时字段的看法也一样。你可以在 index mapping 或 search request 中定义运行时字段。你的选择是运行时字段固有灵活性的一部分。
博客
Elasticsearch:Runtime fields - 运行时字段(一)
07-02 1179
运行时字段通常包含一个 Painless 脚本,该脚本以某种方式操纵数据。但是,有些情况下,你可能会定义一个运行时字段而不使用脚本。例如,如果你想从 _source 中检索单个字段而不进行更改,则不需要脚本。如果未提供脚本,Elasticsearch 会在查询时隐式地在 _source 中查找与运行时字段同名的字段,并返回一个值(如果存在)。如果不存在同名的字段,则响应不包含该运行时字段的任何值。在大多数情况下,尽可能通过doc_values检索字段值。
博客
生成式人工智能将如何改变网络可访问性
07-02 803
受 Be My Eyes 和 OpenAI 启发的一项实验,尝试使用 ChatGPT 4o 实现网页无障碍。在 Elastic,我们肩负着一项使命,不仅要构建最佳的搜索驱动型 AI 平台,还要确保尽可能多的人喜欢使用该平台。我们相信,开放可访问性不仅可以将我们的受众扩大到新用户,还可以为所有用户带来更好的体验。然而,问题在于,传统的 Web 可访问性虽然出于良好的意图,但却让人感觉像是在圆孔中插入方枘。对于 Kibana 等复杂、视觉堆叠的应用程序来说,情况尤其如此。
博客
Elasticsearch:Painless scripting 语言(二)
07-01 836
Elasticsearch:Painless scripting 语言(二)
博客
统一的可观察性和安全性如何增强你的业务?
07-01 559
利用人工智能、异常检测和增强攻击发现功能,在一个平台上增强组织的可观察性和安全性能力当今数字环境中的组织越来越关注服务可用性,并保护其软件免受恶意篡改和攻击。传统的安全和可观察性工具通常以孤岛形式运行,导致观点分散,事件响应延迟。集成可观察性和安全性的统一平台对于加速软件交付和性能以及增强安全性至关重要。利用 AI 和 ML 技术以及先进的攻击发现方法可以显著改善这种集成,从而提供一种全面而主动的方法来管理安全性和应用程序运行状况。
博客
Elasticsearch:Painless scripting 语言(一)
06-30 1076
Painless 是一种高性能、安全的脚本语言,专为 Elasticsearch 设计。你可以使用 Painless 在 Elasticsearch 支持脚本的任何地方安全地编写内联和存储脚本。
博客
15 个适用于企业的生成式 AI 用例
06-30 1297
关于及其能做什么(和不能做什么)有很多讨论。生成式人工智能(例如大型语言模型 -)利用从大量训练数据中学习到的模式和结构来创建原创内容,而无需存储数据本身。这包括创建文本、软件代码和艺术等。虽然它可以创建内容,但它不会很快。尽管如此,它正在重塑全球行业的格局,从增强网络安全防御到个性化客户体验。事实上,99% 的受访组织表示,。让我们深入研究生成式人工智能如何通过协助使用它的人来释放新的可能性并改变日常业务运营。
博客
实验场:在几分钟内使用 Elasticsearch 进行 RAG 应用程序实验
06-29 1305
我们很高兴发布我们的 Playground 体验 —- 一个低代码界面,开发人员可以在几分钟内使用自己的私人数据探索他们选择的 LLM。在对对话式搜索进行原型设计时,快速迭代和试验 RAG 工作流的关键组件(例如:混合搜索或添加重新排名)的能力非常重要 —- 以便从 LLMs 获得准确且无幻觉的响应。Elasticsearch 向量数据库和 Search AI 平台为开发人员提供了广泛的功能,例如全面的混合搜索,以及使用来自越来越多的 LLM 提供商的创新。
博客
GenAI 用于客户支持 — 第 1 部分:构建我们的概念验证
06-29 679
​欢迎来到 Inside Elastic 博客系列,我们将展示 Elastic 的内部运营如何解决实际业务挑战。本系列将揭示我们将生成式 AI(gererative AI - GenAI)集成到客户成功和支持运营中的历程,让你了解我们流程的幕后情况。我们在构建此功能的同时,也在博客中介绍它,我们很高兴你能加入我们的行列!​
博客
Elasticsearch 与 OpenSearch:解开向量搜索性能差距
06-27 1238
Elasticsearch 的开箱即用的向量搜索速度比 OpenSearch 快 2 到 12 倍。向量搜索正在彻底改变我们进行相似性搜索的方式,尤其是在人工智能和机器学习等领域。随着向量嵌入模型的日益普及,高效搜索数百万个高维向量的能力变得至关重要。Elastic 收到了来自社区的大量请求,要求我们澄清 Elasticsearch 和 OpenSearch 之间的性能差异,尤其是在语义搜索/向量搜索领域。鉴于这个主题的重要性,我们进行了性能测试,以提供清晰的、数据驱动的比较 —— 没有歧义,只有直截了
博客
可持续性是 Elastic: 进步与新机遇的一年
06-26 311
​我们最新的可持续发展报告(Sustainability Report)总结了 Elastic 又一个令人兴奋的进步年,我们的项目继续揭示新的机遇。过去的一年对于我们与主要利益相关者群体合作以更好地了解他们的目标并朝着我们共同的可持续发展愿望迈进至关重要。越来越多的客户渴望与我们合作以履行自己的承诺,这些客户来自不同的行业和地区,这让我感到振奋。参与气候行动和脱碳措施令人振奋,为围绕共同抱负的合作开辟了新的机会。对我来说,这完美地体现了我们 Source code 中客户至上的方面。
博客
使用 Elastic ELSER 和 Llama3 的 RAG(使用 Langchain)
06-26 1106
​在之前的文章 “使用 Llama 3 开源和 Elastic 构建 RAG”,我们讲到了如何使用 Liama3 来结合 Elastic ELSER 来进行 RAG。在今天的文章里,我们来详细使用一个 notebook 来展示如何在本地 Elasticsearch 部署中进行实现。此交互式 notebook 使用 Langchain 处理虚构的工作场所文档,并使用在 Elasticsearch 中运行的 ELSER v2 将这些文档转换为嵌入并将它们存储到 Elasticsearch 中。然后我们提出

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值