日志监控--elastalert

最新推荐文章于 2023-05-05 09:32:28 发布
最新推荐文章于 2023-05-05 09:32:28 发布
阅读量408 收藏
点赞数 1
分类专栏: 云安全 文章标签: python linux 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39325340/article/details/126757810
版权

依赖环境

系统:Centos7
依赖: python3.6.9

安装python

cd /tmp
# 使用yum安装依赖
yum -y install gcc libffi-devel python-devel openssl-devel4 ca-certificates openssl-dev openssl python2-dev python2 py2-pip py2-yaml libffi-dev gcc musl-dev 
yum -y install wget openssl openssl-devel gcc gcc-c++ zlib-devel bzip2 bzip2-devel readline-devel sqlite sqlite-devel xz xz-devel make git vim -y
# 下载PYTHON源码包
wget https://www.python.org/ftp/python/3.6.9/Python-3.6.9.tgz
# 解压python源码包
tar -zxvf Python-3.6.9.tgz
# 切换到解压包目录下
cd Python-3.6.9
# 编译配置:指定编译包目录/usr/local/python3
./configure --prefix=/usr/local/python3 --with-openssl
# 编译安装
make && make install
# 软链接文件命令到bin目录
ln -s /usr/local/python3/bin/python3 /usr/bin/
ln -s /usr/local/python3/bin/pip3 /usr/bin/
# 查看python版本, 是否安装成功
python3 -V

安装Elastalert

# 切换到上级目录
cd ..

pip3 install --upgrade pip
# 源码安装elastalert
git clone https://github.com/Yelp/elastalert.git
cd elastalert
pip3 install "elasticsearch<7,>6"
pip3 install -r requirements.txt
python3 setup.py install
# 查看是否安装成功, 安装成功后可以看到四个命令
ll /usr/local/python3/bin/
/usr/local/python3/bin/elastalert
/usr/local/python3/bin/elastalert-create-index
/usr/local/python3/bin/elastalert-rule-from-kibana
/usr/local/python3/bin/elastalert-test-rule
# 软连接文件命令到bin目录
ln -s /usr/local/python3/bin/elastalert* /usr/bin/
# 报错SyntaxError: invalid syntax
pip3 uninstall jira 
pip3 install jira>2.0.0
# 执行命令,查看是否存在问题
elastalert -h

配置

# 配置全局文件,修改其中的es为自己的es地址;如:
cat config.yaml.example |grep -vE "^#" > config.yaml
    rules_folder: rules
    run_every:
      minutes: 1
    buffer_time:
      minutes: 15
    es_host: 11.2.2.80
    es_port: 9200
    writeback_index: elastalert_status
    writeback_alias: elastalert_alerts
    alert_time_limit:
      days: 2
      
# 执行elastalert-create-index命令在ES创建索引,这不是必须的步骤,但是强烈建议创建。因为对于审计和测试很有用,并且重启ES不影响计数和发送alert。
elastalert-create-index
    Elastic Version: 7.3.2
    Reading Elastic 6 index mappings:
    Reading index mapping 'es_mappings/6/silence.json'
    Reading index mapping 'es_mappings/6/elastalert_status.json'
    Reading index mapping 'es_mappings/6/elastalert.json'
    Reading index mapping 'es_mappings/6/past_elastalert.json'
    Reading index mapping 'es_mappings/6/elastalert_error.json'
    New index elastalert_status created
    Done!
# 看到这个输出,就说明创建成功了,也可以请求一下看看:
curl es_adress_ip:9200/_cat/indices?v
    health status index                     uuid                   pri rep docs.count docs.deleted store.size pri.store.size
    green  open   elastalert_status_status  lh8LL4iCQeSn0afyzxBX7w   1   1          0            0       460b           230b
    green  open   elastalert_status         i7B7IfCuSb2Sex8U5KoTZg   1   1          0            0       460b           230b
    green  open   elastalert_status_past    et2aF44VR4WQnxB8T7zD4Q   1   1          0            0       460b           230b
    green  open   elastalert_status_silence lhXHEsuUQeGZaW3cRLp5pQ   1   1          0            0       460b           230b
    green  open   elastalert_status_error   zykwk4KtSyyOY7ckxQTrkA   1   1          0            0       460b           230b

# 编写规则, 如:
vim nginx.yaml
    type: frequency
    index: mytest*
    num_events: 3
    timeframe:
      minutes: 1
    filter:
     - query:
        query_string:
          query: "message: sd"
    alert_text: "TTTTTTTtest"
    alert:
     - "post"
    http_post_url: "http://127.0.0.1:5000/elk_alarm"
# 测试规则是否可以运行, 没有报错,则说明可用
elastalert-test-rule --config config.yaml nginx.yaml
elastalert-test-rule --config config.yaml nginx.yaml --alert
# 启动方式有两种
# (1)指定规则文件路径
elastalert --verbose --config config.yaml --rule nginx.yaml
elastalert --verbose --config config.yaml --rule nginx.yaml --debug --es_debug --es_debug_trace test.log  # debug模式运行, 日志信息保存到test.log文件
# (2)在全局路径config.yaml下,配置规则存放在加载规则rules目录下
elastalert --debug  #启动debug模式会禁止报警

常见的一些问题

关于命中规则,不报警的问题

请参考官方说明,有三种方式导致不报警,其中一种是开启debug,另外两种是规则编写方式导致:
https://github.com/Yelp/elastalert#how-can-i-prevent-duplicate-alerts

关于时间格式问题

解决时间戳格式问题,修改全局配置config.yaml, 如下:
rules_folder: rules
run_every:
  minutes: 1
buffer_time:
  minutes: 15
es_host: 11.2.2.80
es_port: 9200
writeback_index: elastalert_status
writeback_alias: elastalert_alerts
alert_time_limit:
  days: 2
# 指定时间字段和对应的格式
timestamp_field: update_time
timestamp_format: "%Y-%m-%d"
timestamp_type: custom

测试,写入es数据

curl -XPOST 'http://1.1.1.1:9200/mytest_customer/_doc/9?pretty' -H 'Content-Type: application/json' -d '{ "customer_code": 22222243434434,"update_time" : "2020-12-09", "city_name" : "helloworld"}'
# mytest_customer 为索引名
# 9 为_id, 也可以不写
# -d 后面为测试数据内容

curl -XPOST 'http://1.1.1.1:9200/mytest_customer/_search?pretty'

场景

  1. 用于做态势感知
  2. 用于运维类日志分析

参考

https://segmentfault.com/a/1190000041943196
https://www.cnblogs.com/wzxmt/p/12180555.html
https://zhuanlan.zhihu.com/p/386723212
https://www.cnblogs.com/dance-walter/p/11194001.html
https://www.freebuf.com/sectool/164591.html
https://cloud.tencent.com/developer/article/1509404 – es操作
https://godleon.github.io/blog/Elasticsearch/Elasticsearch-getting-started/

_0x00
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux安装.docx
09-27
Linux安装.docx
linux安装tcping
04-04
linux安装tcping
ELK详解(二十一)——elastalert介绍与安装
永远是少年
04-10 2872
今天继续给大家介绍Linux运维相关知识,本文主要内容是elastalert的介绍与安装 一、elastalert简介 二、elastalert安装 三、elastalert命令介绍
linux微信报警,GitHub - Hello-Linux/elastalert_wechat_plugin: 一个更加人性化,智能化,简单化的elastalert微信报警插件!...
weixin_36372094的博客
05-25 214
Elastalert_Wechat_Plugin基于ElastAlert的微信企业号报警插件Docker镜像的使用方法在普通安装下面使用说明申请企业微信公众号在这里我就不详细说明了,大家可以看看网上的教程去申请下面主要介绍一下该插件的使用方法第一步:首先你要确保你已经安装好了python的报警框架elastalert(https://github.com/Yelp/elastalert.git)具...
Elastalert Spike 配置说明
hell_world!
08-24 2949
最近在部署ELK,对业务日志进行监控分析。之前的小米的的open-falcon倒是也能用,但是对于我们的业务来说,不够细粒度。open-falcon还是挺不错的,报警什么的都比较及时。不过of还是偏向于系统级的性能及硬件监控,对于业务上的还得用ELK。 ELK 倒是部署完了,但是没有报警,他的watcher没法进行spike(峰值)判断。于是在调研yelp的开源报警系统elastaler
esalert ELK告警 EsAlert入门
yuezhilangniao的博客
10-11 1279
eslaert入门
elasticsearch5之Elastalert 安装使用 配置邮件报警和微信报警
weixin_34004750的博客
12-29 2002
  简介 Elastalert是用python2写的一个报警框架(目前支持python2.6和2.7,不支持3.x),github地址为 https://github.com/Yelp/elastalert。他提供不同场景的规则配置,若觉得规则、告警不满足需求时,可以用python编写插件Adding a New Rule Type、Adding a New A...
k8s 1.23.1 部署elk之elastalert日志系统错误日志钉钉报警,报警模板配置
07-08 1804
docker 制作镜像: 启动 5. 查看钉钉报警: 6. 错误收集 遇到了很多问题:时间问题,由于elastalert时间一直没有正确导致一直都没有报警触发,所以一定要保证elastalert时间正确。 刚开始没有dingidng模块,各种报错。elastalert排错命令: 正常如下图: 你会在kibana里面看到这条信息说明就没问题。(要把这个索引加进去才能看到,不会自己出来的。) 9. kibana时间一定要正确不然报警的时间就是相差8小时:.....................
配置elastalert告警(含告警代码)
qq_31677507的博客
09-07 1392
一、安装 安装elastalert和依赖模块 $ pip3 install elastalert $ pip3 install "setuptools>=11.3" $ python3 setup.py install 重命名配置文件 $ cp config.yaml.example config.yaml 二、配置文件解析 $ cat config.yaml # This is the folder that contains the rule yaml files # Any .yaml fi
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
Linux运维-04-日志分析-日志监控ELK-day03-生产案例及G
11-02
Linux运维-04-日志分析-日志监控ELK-day03-生产案例及Git版本控制-06-版本控制系统简介.mp4
使用elastalert进行错误报警
xiunai78的专栏
12-11 1403
关于elastalert elastalert是yelp出品的一个基于elasticsearch的报警服务,使用python编写。整体的思路还是基于轮询的方法,规则的话,内置frequency、spike、flatline、blacklist/whitelist、any、change。报警的话,提供了Email、HipChat、Slack、Telegram等。 dockerfile Elastal...
ELK借助ElastAlert实现故障提前感知预警功能
weixin_34153893的博客
05-28 494
本人公众号,欢迎来留言。 引子: 监控系统对于任何的业务系统来说都是非常重要的,很多时候它能够让我们及时的治疗线上的问题,避免更大的问题产生,但是现在的监控系统基本都是基于问题发生了之后,虽然也可以利用性能方面的产生做到提前的预知,但是有效性上可能能就没有那么高。那怎么提高提前的感知能力呢?怎么让问题消灭在萌芽中呢?啰嗦一下我们引入一个中医的概念,中医界公认最牛逼的医生是治疗“未病”的医生。所谓治...
ELK详解(二十三)——elastalert告警优化
永远是少年
04-11 1992
今天继续给大家介绍Linux运维相关知识,本文主要内容是elastalert告警优化。 一、避免重复告警 二、聚合相同告警 三、告警内容格式化
Elastalert规则运行原理详解与源码分析
本博客暂停使用
12-05 1582
引言:elastalert在kibana有个前端插件,在前台就可以对规则进行增删改,那么前台操作完之后,后端做了什么样的操作呢,这里根据个人俩天的熟悉与探究,先总结一个初版本,以进行反思与回顾。
日志、EFK-监控报警elastalert (docker 部署)容器化
qq_40178286的博客
05-24 1103
日志、EFK-监控报警elastalert (docker 部署)容器化
ELK之elastalert告警篇
派大星的不眠博客
05-05 3977
Elastalert是Yelp公司基于python开发的ELK日志告警插件,Elastalert通过查询Elasticsearch中的记录与定于的告警规则进行对比,判断是否满足告警条件。发生匹配时,将为该告警触发一个或多个告警动作。告警规则由Elastalert的rules定义,每个规则定义一个查询。1.1 ElastAlert 工作原理周期性的查询Elastsearch并且将数据传递给规则类型,规则类型定义了需要查询哪些数据。
python编写es脚本_python并行日志处理批量写入elasticsearch
weixin_39779530的博客
11-24 261
作者:容 易 2015-12-18 15:07:37版权所有未经允许请勿转载学习了几天elk,感觉非常不错。由于实际业务需求的关系,Logstash对我们显得太过庞大,而且相对学习成本也比较高。为了能够简单高效的实现日志解析并且写入elasticsearch。花了点时间写了一个简单的python并行日志处理的脚本。该脚本的并行处理框架已经写好了,理论上只需要简单修改就可以实现各种数据库的数据抽取处...
Python写入日志到Elasticsearch(logging/loguru,可个性化定制写入信息)————附带详细代码和示例
韩江雪de 小屋
06-09 1976
Python日志写入,使用logging/loguru,可以增删字段、自定义消息格式,有详细的代码和示例。
flink-job进程监控
最新发布
05-23
1. Flink Web Dashboard:可以通过 Flink Web Dashboard 监控 Flink 作业的状态、指标和日志等信息。Flink Web Dashboard 默认在 Flink 集群的 JobManager 上启动,可以通过打开浏览器并访问 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值