es watcher插件安装及使用

最新推荐文章于 2025-04-06 10:10:31 发布
最新推荐文章于 2025-04-06 10:10:31 发布
阅读量3.4k 收藏 6
点赞数 1
分类专栏: 日志 ELK elasticsearch watcher ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dwyane__wade/article/details/80191106
版权

es watcher插件安装及使用

简介

  • watcher是一个用于elasticsearch的插件,它可以根据数据的变化提供警报和通知

安装

  • 从5.0版本之后,watcher就成为了x-pack的一部分,也就是说安装了x-pack,watcher就已经安装了。

使用

  • 验证watcher是否启动:
 curl --user elastic:changeme -XGET 'http://172.30.1.45:9200/_watcher/stats?pretty'

返回:
{
  "watcher_state" : "started",
  "watch_count" : 0,
  "execution_thread_pool" : {
    "queue_size" : 0,
    "max_size" : 10
  },
  "manually_stopped" : false
}

说明watcher已经启动

  • watcher通常用于两个场景:

    • 监控日志数据的错误(Watch Log Data for Errors)
    • 监控es集群的状态(Watch Your Cluster Health)

  • 构建一个watcher,watcher的主体内容包含四部分:

    • 触发设置(trigger):设置一个检查错误日志数据的周期(periodically checks your log data for error conditions),以下是两种表达式:
      • ”schedule” : { “interval” : “10s” } 每十秒检查一次
      • “schedule” : { “cron” : “0 0/1 * * * ?” } 每分钟一次
      • 通常Schedules 配置不会很频繁的,配置10s是为了方便触发,便于测试,测试完成要记得删除测试watcher
    "trigger" : { 
    "schedule" : { "interval" : "10s" } 
}
或者
 "trigger" : { 
    "schedule" : { "cron" : "0 0/1 * * * ?" } 
}
    • 数据来源设置(input):
    "input" : {
    "search" : {
        "request" : {
            "indices": ["ecps-*"],  //索引名称
            "body" : {
                "query" : {
                    "match" : { "message": "WEIFAN-NIHAO" }
                }
            }
        }
    }
}

match短语:

"match" : {
    "message" : {
        "query" : "this is a test",
        "type" : "phrase"
    }
}
    • 条件设置(condition):判断要监控的内容是否命中(checks to see if any errors were found or hit)
    条件:总命中数大于2,gt是大于,gte是大于等于

"condition" : {
    "compare" : { "ctx.payload.hits.total" : { "gt" : 2 }}
}

ctx.payload.hits   查询结果命中内容
ctx.payload.hits.total  查询结果命中数量
ctx.payload.hits.hits.2  指定第几个命中的,0是起始索引
ctx.payload.hits.hits.<index>.fields.<fieldname> 指定第几个命中的某个属性,eg:ctx.payload.hits.hits.0.fields.message

以上均可可以作为邮件内容发送
    • 动作设置(actions): 一旦监控的内容命中,需要采取的措施,可以打印日志或者邮件预警等。(Take action if there are any errors)
    可以把命中数动态写入动作内容:

动作一:通过打印日志

logging:会将日志打印到es的标准输出日志中!(A watch action that simply logs text to the standard Elasticsearch logs)

"actions" : {
    "log_error" : {//动作id
        "logging" : {
            "text" : "Found {{ctx.payload.hits.total}} errors in the logs, message:服务挂了!!!",
            "level": info //默认就是info
        }
    }
}

动作二:通过发送邮件

"actions" : {
    "reminder_email" : {//动作 id
        "email" : {
            "to" : "to@host.domain",//收件人地址
            "subject" : "system error",//主题
            "body" : "Found {{ctx.payload.hits.total}} errors in the logs, message:服务挂了!!!"//内容
    },
   "priority" : "high"//优先级:lowest, low, normal, high and highest
}

  • 测试(测试过程可以直接在kibana dev tools 控制台进行):

# 验证watcher是否启动
 curl --user elastic:changeme -XGET 'http://172.30.1.45:9200/_watcher/stats?pretty'

# 创建索引index1
curl --user elastic:changeme -XPUT '172.30.1.45:9200/index1?pretty'

# 设置watch,id:weifan_watch
curl --user elastic:changeme -XPUT 'http://172.30.1.45:9200/_watcher/watch/weifan_watch' -d '{这里是watch的配置,json字符串}

# 测试案例一:
curl --user elastic:changeme -XPUT 'http://172.30.1.45:9200/_watcher/watch/weifan_watch' -d '{
  "trigger" : { "schedule" : { "interval" : "10s" } },
  "input" : {
    "search" : {
      "request" : {
        "indices":["index1"],
        "body" : {
          "query" : {
            "match" : { "message": "YIKANG" }//这里的message是精确匹配
          }
        }
      }
    }
  },
  "condition" : {
    "compare" : { "ctx.payload.hits.total" : { "gte" : 1 }}
  },
  "actions" : {
    "log_error" : {
      "logging" : {
        "text" : "Found {{ctx.payload.hits.total}} errors in the logs,message: 服务挂了!!!"
      }
    }
  }
}'

# 测试案例二:
curl --user elastic:changeme -XPUT 'http://172.30.1.45:9200/_watcher/watch/weifan_watch' -d '{
  "trigger" : { "schedule" : { "interval" : "10s" } },
  "input" : {
    "search" : {
      "request" : {
        "indices":["index1"],
        "body" : {
          "query" : {
           "match" : {
                "message" : {
                    "query" : "java.lang.OutOfMemoryError",
                    "type" : "phrase"//这里的message是根据短语匹配,message包含关键字即可预警
                }
            }
          }
        }
      }
    }
  },
  "condition" : {
    "compare" : { "ctx.payload.hits.total" : { "gte" : 1 }}
  },
  "actions" : {
    "log_error" : {
      "logging" : {
        "text" : "Found {{ctx.payload.hits.total}} errors in the logs,message: 服务挂了!!!"
      }
    }
  }
}'

# 查看watcher内容:
curl --user elastic:changeme -XGET 'http://172.30.1.45:9200/_watcher/watch/weifan_watch'

# 往es里面放数据,索引index1,type:type1,ID:1
# 测试案例一:
curl -XPOST '172.30.1.45:9200/index1/type1/1?pretty' -d '{"message": "YIKANG" }'

# 测试案例二:
curl -XPOST '172.30.1.45:9200/index1/type1/1?pretty' -d '{"message": "tomcat: java.lang.OutOfMemoryError: PermGen space" }'

查看es标准输出日志,是否打印:Found 1 errors in the logs,message: 服务挂了!!!,如果打印,即测试通过

# 删除测试watcher:
curl --user elastic:changeme -XDELETE 'http://172.30.1.45:9200/_watcher/watch/weifan_watch'

其他可能用到的命令:

# 查看索引信息(根据id查询):
curl --user elastic:changeme -XGET '172.30.1.45:9200/index1/type1/1?pretty'

# 查看索引内容(索引下所有):
curl --user elastic:changeme '172.30.1.45:9200/index1/_search?q=*&pretty'

# 删除索引:
curl --user elastic:changeme -XDELETE '172.30.1.45:9200/index1?pretty'

# 列举所有索引
curl --user elastic:changeme 'http://172.30.1.45:9200/_cat/indices?v'
Elasticsearch】 es watcher 视频 笔记
九师兄
06-29 237
1.概述 视频地址:https://www.bilibili.com/video/BV1uJ411g7ju?from=search&seid=16510000610773477650 可以开启30的试用功能 2种方式创建 基于阈值的告警 基于高级功能的告警
21-win10下ElasticSearch.6.1.0安装SQL插件
九师兄
03-01 2603
简介:win10下ElasticSearch.6.1.0安装SQL插件 5.安装sql 5.0 es配置 安装es http://blog.csdn.net/qq_21383435/article/details/79275543 cluster.name: elasticsearch node.name: "lcc_node" node.master: true # 指定该节...
ES监视器Watcher详解
弹指天下
11-02 3182
本文主要对ES监视器Watcher使用进行了详细介绍。 通过采用监视器Watcher,我们可以监控索引中的数据指标,集群服务器的磁盘使用情况,网络活动情况,ES集群的状态,程序的相应时间等属性,并根据监控到的情况做出相应的动作。
ES插件安装使用:兼容性及配置注意事项
haicha028765的博客
04-06 291
合理管理插件的启用与禁用,能灵活调整ES功能。同时,定期检查已安装插件,对不再使用插件及时卸载,清理系统资源,降低维护成本。然而,在安装使用ES插件时,兼容性和配置问题往往容易被忽视,一旦处理不当,可能导致插件无法正常工作,甚至影响ES集群的稳定性。安装插件前,查阅插件文档了解其依赖关系,借助社区论坛或技术交流群,了解其他用户安装类似插件组合的经验,提前规避潜在冲突。ES插件安装使用,从严格把控版本兼容性、考量插件间适配,到遵循安装流程精细配置,再到合理管理插件启用状态,每一步都环环相扣。
ElasticSearch预警服务-Watcher详解-Schedule配置_es watcher
2401_84248479的博客
04-15 1091
最近公司需求要搭建一个监控系统,用来监控程序运行状态,请求曲线,错误日志发生次数,等等分析,保障系统稳定性。因此最近研究了基于Lucene 号称企业级搜索服务的ElasticSearch ,用了一段时间发现速度还真快,对百万级甚至千万级的数据检索毫无压力,比之前用的MongoDB速度快了不少。
es watcher
weixin_34228387的博客
05-24 131
https://www.elastic.co/products/watcher https://www.elastic.co/blog/watcher-beta-goes-public-you-know-for-alerting
es上的的Watcher示例
weixin_30721077的博客
01-23 270
Watcher插件配置(创建预警任务) watcher目前是沒有界面配置的,需要通过Resfulapi调用创建、管理、更新预警任务 创建一个Watcher任务的流程是怎样的? 我们先来看下创建一个预警demo的api curl -XPUT 'http://localhost:9200/_watcher/watch/log_error_watch' -d'{ "trigg...
Elasticsearch报警插件Watch安装以及使用
虾米的博客
08-24 9076
一.watcher 插件安装 1.在ES_HOME目录下安装License插件: bin/plugin install license 2.安装watcher插件 bin/plugin install watcher 3.重新启动Elasticsearch bin/elasticsearch 4.验证是否安装成功 curl -XGET 'http:/
elasticsearch权限管理 x-pack 6.0 的安装及Security模块使用 内置角色介绍
墨小柒的博客
04-08 8216
x-pack安装 1.elasticsearch没给节点都需要安装x-pack elasticsearch-plugin install x-pack 2.启动elasticsearch 3.自定义设置密码 ./bin/x-pack/setup-passwords interactive 三个内置账号根据提示为其设置密码 也可以自动生产密码 ./bin/x-pack/setup...
Elasticsearch - Linux 安装7.14.0&集群搭建
scdncby的博客
08-11 2046
Elasticsearch - Linux 安装7.14.0 Elasticsearch官网下载最新版本7.14.0
Elasticsearch安装-安装附带账号密码权限的ES集群、Logstash和Kibana
y1006597541的博客
08-19 1760
查看更多Elasticsearch、Logstash、Kibana的问题处理和案例 给elasticsearch集群设置账号密码权限、x-pack账号密码
ElasticSearch(ES)预警服务 Watcher安装以及探究
weixin_30883271的博客
10-20 213
最近公司需求要搭建一个监控系统,用来监控程序运行状态,请求曲线,错误日志发生次数,等等分析,保障系统稳定性。因此最近研究了基于Lucene 号称企业级搜索服务的ElasticSearch ,用了一段时间发现速度还真快,对百万级甚至千万级的数据检索毫无压力,比之前用的MongoDB速度快了不少。 ElasticSearch服务安装过程这里就不在说了,有了监控之后应该还需给开发人员发送邮件...
ElasticSearch预警服务-Watcher详解-Schedule配置
qq_40907977的博客
03-08 2237
介绍 Watcher服务详解-定时器的设定 关于Schedule配置选择,Watcher提供了丰富的时间语法支持,采用UTC时间,来我们一起看下如何设置: 支持的设置方式: hourly:按小时周期设置 daily:按天周期设置 weekly:按周周期设置 monthly:按月周期设置 yearly:按年周期设置 cron:Cron表达式设置 interval :固定周期设置 详细案例: ...
基于Elastic Service中Watcher在日志EFK系统中告警应用
zhonghua881016的博客
09-06 1139
日志告警,是基于EFK日志系统中的es(es版本是7.10.1) [watcher](https://www.elastic.co/guide/en/elasticsearch/reference/7.10/xpack-alerting.html)。wathcer 是es中支持的一种定时任务调度引擎,可以对现有的索引内容进行监控,告警支持告警记录、发送通知、通知第三方(webhook)
Elasticsearch:开始使用 Watcher
Elastic 中国社区官方博客
07-05 4304
我在之前的文章中已经创建了一些关于如何创建一个 Watcher。请参阅文章 “Elastic:菜鸟上手指南” 里的 “通知及警报” 部分。在其中的一篇文章 “Elastic:创建你的第一个Elastic watcher” 中,可能会涉及到两个机器的配置,不编译实验。在今天的文章中,我将使用一台机器来进行展示。 在这里我必须指出的是:Watchers 和 Alerts 都可以发出警报,但是 Watchers 是在 Elasticsearch 中运行的,而 Alerts 是在 Kibana 里运行的。 .
Elasticsearch:一次生产集群 ES Watcher 失效的深度排查与分析 - 全过程剖析与解决方案
Elastic 中国社区官方博客
09-19 1750
WatcherElasticsearch 提供的一项监控和告警服务,允许用户定义、管理警报规则,并持续跟踪网络和数据的变化。基于 Elasticsearch 的分布式架构,Watcher 可以对基础设施、索引数据、集群健康等多种指标进行实时监控和自动化告警。当预设条件被触发时,Watcher 会及时发送通知。这项功能特别适用于日志数据的监控、应用性能追踪,以及其他需要自动化响应的场景,帮助运维人员快速响应潜在问题,提升系统稳定性和可靠性。1)定时监控数据。
2.ElasticSearch预警服务-Watcher详解
宇智波带土
05-21 536
Watcher的核心组成部分:1.Trigger:决定何时触发,必须对每个Watcher指定2.Input:将数据加载到Context中3.Condition:根据条件决定师傅执行Action操作,如不设置,默认总是执行4.Transform:可选传输设置:处理及数据Load过程设置5.Actions:动作:零个或者多个执行动作设定完整的案例: PUT _watcher/watch/log_...
Elasticsearch的集群监控与报警
AI天才研究院
01-18 870
1.背景介绍 Elasticsearch是一个分布式、实时、高性能的搜索和分析引擎,它可以处理大量数据并提供快速、准确的搜索结果。在大规模的数据处理和分析中,Elasticsearch的性能和稳定性是非常重要的。因此,对于Elasticsearch集群的监控和报警是非常必要的。 在本文中,我们将从以下几个方面进行讨论: 背景介绍 核心概念与联系 核心算法原理和具体操作步骤以及数学模型公式详...
Kibana下使用ES查询
热门推荐
兰星_thk&try的博客
01-01 1万+
Kibana下使用ES api查询数据
使用watcher
最新发布
04-24
<think>好的,我现在需要帮助用户使用Elasticsearch Watcher来设置基于防火墙威胁日志数量激增的告警,并通过邮件发送包含统计信息的通知。用户之前的问题是关于Kibana告警的配置,现在转向使用Watcher,可能需要更复杂的条件或更灵活的设置。 首先,用户提到“日志数量激增”,比如10分钟内数量翻倍。在之前的回答中,我指导用户使用Kibana的告警规则,但这里用户明确要求使用Elasticsearch WatcherWatcherElasticsearch的告警功能,更底层,适合复杂场景,而Kibana的告警可能更简单。需要确认两者的区别,并调整步骤。 接下来,用户需求中的关键点: 1. 使用Elasticsearch Watcher。 2. 基于日志数量激增的条件,比如10分钟内数量翻倍。 3. 邮件通知包含统计信息,如具体威胁类型及其数量。 需要参考用户提供的引用内容,特别是关于ELK Stack和告警的部分。引用中提到了ELK的日志收集、传输、存储和告警,但用户现在需要的是Watcher的具体配置。 用户之前的配置使用了Kibana的告警规则,现在要转换为Watcher的JSON配置。需要确保语法正确,包括输入、条件、动作等部分。可能需要构建一个Watcher,定期执行查询,比较当前窗口与前一时段的日志数量,并触发邮件。 另外,用户希望邮件中包含统计信息,这意味着Watcher的查询需要做聚合,按威胁类型分组统计数量。这需要在Watcher的输入部分设置terms aggregation。 还需要处理时间窗口的问题,比如当前10分钟和前10分钟的数据对比。可能需要使用Elasticsearch的日期范围查询,结合聚合来获取数量变化。同时,触发条件需要判断当前数量是否超过前一时段的两倍。 邮件内容需要动态填充统计结果,可能需要使用Mustache模板来生成邮件正文,将聚合结果循环展示出来。 需要注意Watcher的权限和配置,确保Elasticsearch集群启用了Watcher功能,并且SMTP设置正确,以便发送邮件。用户之前配置过Kibana的SMTP,但Watcher可能需要单独配置,或者使用相同的设置? 此外,用户的环境是微服务架构,日志分散,可能需要确保所有相关日志都正确索引到Elasticsearch,并且有统一的Trace ID,方便追踪。但当前问题聚焦在Watcher设置,这部分可能属于环境准备步骤,需要用户确认日志收集和存储是否已经正常。 测试步骤也很重要,需要指导用户如何手动触发测试日志,验证Watcher是否正常工作,以及如何查看执行历史记录来调试问题。 总结步骤: 1. 确认环境准备,包括Elasticsearch和Watcher的启用,SMTP配置。 2. 编写Watcher的JSON定义,包括输入查询、条件判断、聚合统计。 3. 配置邮件动作,使用模板插入统计信息。 4. 部署和测试Watcher,确保告警触发和邮件发送正常。 5. 提供优化建议,比如加入Trace ID或使用Kafka缓冲。 需要确保每个步骤的细节正确,例如时间窗口的计算、比较条件的语法、聚合查询的正确性。可能还需要处理时区问题,确保查询的时间范围正确。 最后,用户的相关问题可能涉及Watcher的高级用法、与其他系统的集成,或者性能优化,需要在回答后列出这些问题,帮助用户进一步探索。</think>基于Elasticsearch Watcher实现防火墙威胁日志激增告警的核心配置可分为以下步骤: --- ### **一、Watcher基础架构** Watcher由三部分组成: - **Input**:数据输入(日志查询) - **Condition**:触发条件(数量对比) - **Actions**:告警动作(邮件通知) $$ \text{Watcher} = \left\{ \text{Input} \rightarrow \text{Condition} \rightarrow \text{Actions} \right\} $$ --- ### **二、告警规则配置** #### **1. 输入阶段(Input)** ```json "input": { "search": { "request": { "indices": ["firewall-*"], "body": { "size": 0, "query": { "range": { "@timestamp": { "gte": "now-10m", "lte": "now" } } }, "aggs": { "current_threats": { "value_count": { "field": "threat.type.keyword" } }, "threat_types": { "terms": { "field": "threat.type.keyword", "size": 10 } } } } } } } ``` > 通过聚合查询获取: > - 当前窗口期(10分钟)总威胁量`current_threats` > - 具体威胁类型分布`threat_types` #### **2. 条件判断(Condition)** ```json "condition": { "script": { "source": """ def prev = ctx.payload.hits.total.value; def current = ctx.payload.aggregations.current_threats.value; return current >= prev * 2; """, "params": { "prev_window": "now-20m/m", "current_window": "now-10m/m" } } } ``` > 对比当前窗口与前一时段的日志量,实现$ \text{current} \geq 2 \times \text{previous} $判断[^1] #### **3. 邮件动作(Actions)** ```json "actions": { "send_email": { "email": { "to": "security@example.com", "subject": "防火墙威胁激增告警 - 检测到{{ctx.payload.aggregations.current_threats.value}}次攻击", "body": """ 时间窗口:{{ctx.watch.trigger.triggered_time}} 威胁分布: {{#ctx.payload.aggregations.threat_types.buckets}} ▸ {{key}}: {{doc_count}}次 {{/ctx.payload.aggregations.threat_types.buckets}} 原始日志查询:{{ctx.watch_id}} """ } } } ``` --- ### **三、部署与验证** 1. **创建Watcher** ```bash PUT _watcher/watch/firewall_threat_alert { "trigger": { "schedule": { "interval": "5m" } }, "input": { ... }, // 上述Input配置 "condition": { ... }, // 上述Condition配置 "actions": { ... } // 上述Actions配置 } ``` 2. **调试技巧** - 执行模拟测试:`POST _watcher/watch/firewall_threat_alert/_execute` - 查看执行记录:`GET .watcher-history*/_search` --- ### **四、进阶优化建议** 1. **加入Trace ID** 在日志采集阶段注入唯一追踪标识: ```json "processors": [ { "set": { "field": "trace_id", "value": "{{_id}}" } } ] ``` 2. **引入Kafka缓冲** 使用Logstash Kafka插件避免日志洪峰: ```conf input { kafka { topics => ["firewall-logs"] } } filter { grok { match => { "message" => "%{SYSLOG5424LINE}" } } } output { elasticsearch { hosts => ["es01:9200"] } } ``` --- ### **相关问题** 1. 如何实现Watcher与其他告警系统(如PagerDuty)的联动? 2. Elasticsearch Watcher与Kibana Alerting有何本质区别? 3. 如何通过Watcher监控微服务间的异常调用链? : 注意时间窗口计算需考虑时区设置,建议使用UTC时间避免偏差 [^2]: 当威胁类型超过50种时,建议采用滚动聚合优化性能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值