ElastAlert-配置

最新推荐文章于 2023-04-24 17:01:14 发布
最新推荐文章于 2023-04-24 17:01:14 发布
阅读量485 收藏 2
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihaipeng0417/article/details/118297163
版权

目录

全局配置(Configuration)

# Elasticsearch集群配置
es_host:
es_port:
use_ssl:
verify_certs:
es_username:
es_password:
es_url_prefix:
es_conn_timeout:
# 设置检索rules和hashes的加载类
rules_loader: 'FileRulesLoader'
# 规则配置文件的文件夹的名称,仅rules_loader=FileRulesLoader时有效
rules_folder: rules
# 是否递归rules目录的子目录配置
scan_subdirectories: true
# 查询Elasticsearch的时间间隔
run_every:
  minutes: 1
# 查询窗口的大小
buffer_time:
  minutes: 15
# ElastAlert将存储数据的索引名称
writeback_index: elastalert
# 单次查询Elasticsearch最大文档数,默认10000
max_query_size: 10000
# 滚动浏览的最大页面数,默认0(表示不限制)
max_scrolling_count: 0
# 在滚动浏览上下文中应保持活动状态的最长时间
scroll_keepalive: 
# 汇总在一起的最大警报数
max_aggregation:
# 两次查询之间的最长时间
old_query_limit:
# 禁用未捕获异常的规则,默认True
disable_rules_on_error: 
# ElastAlert完成执行后会显示“禁用规则”列表
show_disabled_rules: true
# 通知邮件列表,当前只有未捕获的异常会发送通知电子邮件
notify_email:
# 警报是否包括规则中描述的元数据,默认False
add_metadata_alert: false
# 跳过无效的文件而不是退出
skip_invalid:
# 失败警报的重试窗口
alert_time_limit:

# 增强模块,与规则一起使用,将其传递给报警器之前对其进行修改或删除
match_enhancements:
- "elastalert_modules.my_enhancements.MyEnhancement"
# 匹配立刻运行增强
run_enhancements_first: true

规则配置(Rule Configuration)

# Elasticsearch配置
es_host: 10.188.10.1
es_port: 9200
es_username: elastic
es_password: xxx
index: logstash-*

# Rule Type
type: 'any'

# 导入公共配置
import:
# 用于标识警报的利益相关者
owner: 'xxx'
# 用于标识警报的相对优先级
priority: 2
# 用于标识警报的类别
catagory: ''
# 规则描述
description: ''

# 设置请求里查询窗口的范围。当use_count_query或use_terms_query为true时,将忽略此值
buffer_time:
  minutes: 5
# 延迟查询
query_delay:
  minutes: 5

# 开启timeframe(查询开始时间=now()-timeframe)
scan_entire_timeframe: true
# 1. 查询开始时间,scan_entire_timeframe开启,use_count_query和use_terms_query未设置时有效
# 2. 规则的事件发生窗口期,如:FrequencyRule-EventWindow
timeframe:
  minutes: 1

# Elasticsearch查询过滤器
filter:
- query:
    query_string:
      query: "level: ERROR"

# 触发报警的事件数
num_events: 5

# 传递给规则类型和警报的查询结果字段列表,默认所有字段
include: 
  - "username"
# 针对每个字段的前X(top_count_number)个最常用的值执行Terms查询
top_count_keys:
  - "username"
# 术语的前X个最常用的值,与top_count_keys一同使用
top_count_number: 5
# 如果为true,top_count_keys中所有字段都会附加.raw
raw_count_keys: true

# 单次查询获取的最大文档数
max_query_size: 10000
# 计数查询(count api),而不下载所匹配的文档
use_count_query: false
# 聚合查询(aggregation),和query_key、doc_type、terms_size一起使用
use_terms_query: false

# use_terms_query=true时,为每个值单独计数
query_key: 'username'
# top_count_keys存在,发送警报时,多个逗号分隔,必须配合compound_query_key使用
query_key: 'service_name,username'
# 复合的查询key,必须与query_key一一对应,get_hits_terms时使用
compound_query_key:
 - service_name
 - username
 
doc_type: _doc
# 桶的最大数
terms_size: 50
# 相关事件一同报警。一个桶触发报警,其他的桶一同触发报警
attach_related: false

# 将多次匹配汇总到一个警报中,将聚合时间期内发生的所有匹配项一起发送
aggregation:
  # 需要大量匹配并只需要定期报告
  hours: 2
  # 汇总所有警报并定期发送报警
  schedule: '2 4 * * mon,fri'
# 为不同的字段值创建一个独立的聚合窗口,默认在聚合窗口期中所有事件被分组在一起
aggregation_key: 'my_data.username'
# 基于第一个事件的时间创建聚合,默认当前时间
aggregate_by_match_time: true
# 对于聚合报警,指定摘要表字段
summary_table_fields:
  - my_data.username

# 忽略一段时间的重复警报,支持query_key
realert: 
  minutes: 10
# 使realert的值呈指数增加
exponential_realert:
  hours: 1

# 是否将时间戳转换为警报中的本地时区
use_local_time: true
# 时间戳类型(iso, unix, unix_ms, custom)
timestamp_type: 'iso'
# 自定义时间戳格式
timestamp_format: '%Y-%m-%dT%H:%M:%SZ'
# 指定时间字段,默认@timestamp
timestamp_field: '@timestamp'

### Metric Aggregation Type or Percentage Match Type
# 使用run_every计算度量计算窗口大小,默认使用buffer_time
use_run_every_query_size: true
# 度量计算窗口大小,必须是buffer_time的倍数
bucket_interval: 

# Alerts
alert:
  - command
  - debug
command: ["python3", "/opt/elastalert/weixin.py", "生产环境报警,报警:", "接口{orgPathName} 出现状态码{statusCode}频率高!","服务 IP: {directBackServer}; 服务端口:{port}"]

不同的规则类型参数不同,详细请看源码文件elastalert/schema.yaml
IMAGE

参考

[ElastAlert](

七路灯
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElastAlert-Elasticsearch轻松灵活的警报
SRE运维部落
09-23 940
ElastAlert是基于python2开发的一个预设框架,目前部分组件可兼容python3,它主要有以下特点:版本迭代文档成熟,不易踩坑,Github上已有7k+ star对比kiba...
elastalert-kibana-plugin.zip
10-30
Elastalert则是一个基于Elasticsearch的报警工具,它可以配置一系列规则来实时检测数据中的模式,如频率、速率、单一事件等,当这些规则被触发时,Elastalert会通过邮件、Slack或其他方式发送警报。 Elastalert-...
elastalert 告警配置说明
wy
07-14 2190
部署 ElastAlert # ElastAlert 在数据与特定模式匹配时发送警告。是可靠、模块化、易配置的工具 # 通过将 Elasticsearch 与两种类型组件: 规则、警报结合使用,定期执行查询并将数据传递到规则 # 首次运行前要使用其提供的可执行文件 "elastalert-create-index" 创建相关索引,索引名: elastalert_status # ElastAlert 的 Kibana UI 插件: https://github.com/bitsensor/elastale
elasticsearch5之Elastalert 安装使用 配置邮件报警和微信报警
weixin_34004750的博客
12-29 2019
  简介 Elastalert是用python2写的一个报警框架(目前支持python2.6和2.7,不支持3.x),github地址为 https://github.com/Yelp/elastalert。他提供不同场景的规则配置,若觉得规则、告警不满足需求时,可以用python编写插件Adding a New Rule Type、Adding a New A...
ELK详解(二十五)——elastalert配置参数详解
永远是少年
04-11 2112
今天继续给大家介绍Linux运维相关知识,本文主要内容是elastalert配置参数详解。 一、配置文件参数详解 二、规则文件参数详解 (一)告警规则详解 (二)告警方式详解 (三)其他参数详解
ELK详解(二十二)——Elastalert报警配置实战
永远是少年
04-10 7644
今天继续给大家介绍Linux运维相关知识,本文主要内容是elastalert报警配置。 一、配置文件设置 二、创建告警索引 三、Rule规则配置 四、效果验证
elastalert-v0.2.1-DockerImage:Elastalert-V0.2.1 Dockerfile
02-20
1.因官网址比较比较老,或者相关依赖问题,故通过Dockerfile自定义名称; 2.image.sh是可以重建... 3.kubernetes-example文件夹下,是kubernetes环境下运行elastalert的示例配置; 4.如有疑问,请联系: 5.博主主页: :
elastalert-dingtalk插件资源
06-27
3. **配置Elastalert**:在Elastalert配置文件`elastalert.conf`中,添加新的通知类型,如`dingding`,并设置相关的API密钥和群组ID,这些信息可以在钉钉的企业应用管理中获取。 4. **编写规则**:创建或修改...
elastalert-wechat-plugin 基于ElastAlert的微信企业号报警插件
最新发布
07-13
2. **配置ElastAlert**:在ElastAlert配置文件`elastalert.yaml`中,添加新的报警类型`wechat`并配置微信企业号的API凭证。 3. **安装插件**:在ElastAlert的Python环境中,使用pip安装相关依赖,并将`elastalert...
elk或efk日志报警elastalert-docker安装-邮件或钉钉
06-29
在本文中,我们将介绍如何使用 Docker 安装 Elastalert,并配置邮件或钉钉报警。 一、搭建 ES 和 Kibana 首先,我们需要使用 Docker 安装 Elasticsearch 和 Kibana。我们可以使用以下命令来创建一个 Docker ...
elastic-alert:基于ElasticSearch的业务数据监控告警系统
05-09
elastic-alert 待续
elastalert:使用ElasticSearch轻松灵活地发出警报
02-22
最新更改:从Elastalert 0.2.0开始,您必须使用Python 3.6。 不再支持Python 2。 ElastAlert-。 使用Elasticsearch轻松灵活地发出警报 ElastAlert是一个简单的框架,用于从Elasticsearch中的数据中发出异常,尖峰或其他感兴趣的模式的警报。 ElastAlert适用于所有版本的Elasticsearch。 在Yelp,我们使用Elasticsearch,Logstash和Kibana来管理不断增长的数据和日志。 Kibana非常适合可视化和查询数据,但是我们很快意识到,它需要一个辅助工具来警告数据不一致。 为此,创建了ElastAlert。 如果您有近乎实时的数据写入Elasticsearch,并且想要在数据与特定模式匹配时收到警告,则ElastAlert是为您提供的工具。 如果您可以在Kibana中看到它,则Ela
ES告警之ElastAlert
完颜振江
04-24 2412
ES告警之ElastAlert
正式部署elastalert
vbaspdelphi的专栏
01-10 2671
经过一阵儿的学习,elastalert可以满足如下需求: 1. filter关键字 2. 报警接下来,就是部署到测试环境,正式开始中短期测试。我们采用supervisord的方式进行部署。supervisord的配置[program:elastalert] priority=1 command=/usr/local/scripts/deploy/fabenv/bin/python -m elas
ElastAlert2部署
yae的博客
02-01 631
ElastAlert2部署
ElastAlert2部署教程
dzcro的博客
09-17 3378
ElastAlert2部署教程,从安装ElastAlert2的安装依赖开始,直到部署完成,并以触发邮件告警通知为例,详细展开如何入手使用ElastAlert2告警系统
alert for elasticsearch
vbaspdelphi的专栏
01-08 700
http://elastalert.readthedocs.io/en/latest/running_elastalert.html#tutorial最近在想,是不是elk里面也有针对日志的关键字一些报警,然后就搜索到了这个项目,从配置上看,可以有关键字设置,先mark下。# From example_rules/example_frequency.yaml es_host: elasticsear
Elastalert监控elasticsearch实现邮件报警
CURD工程师
10-17 1173
文章目录一、安装ES二、Python版本问题三、安装Elastalert1、拉取项目2、安装依赖3、创建索引4、修改配置文件1️⃣config.yaml文件2️⃣配置发送邮件邮箱3️⃣监控规则四、测试1、启动ES2、启动Elastalert 一、安装ES 官方下载ES,好像暂时不支持7及以上版本,我用的是6.8.0,进入安装位置的bin目录下,例如: cd /usr/local/Cellar/el...
ElastAlert-Docker部署:ELK日志监控与邮件/钉钉报警教程
配置文件(config.yaml)是ElastAlert的核心,它定义了警报规则、触发条件以及发送警报的方式(如邮件或钉钉)。设置好规则后,ElastAlert会在后台持续监控Elasticsearch的数据,一旦满足预设的规则,就会触发相应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值