efk-elastalert-alerta集中日志自动告警

最新推荐文章于 2024-01-18 17:46:59 发布
最新推荐文章于 2024-01-18 17:46:59 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wenwenxiong/article/details/106048313
版权

组成

1、efk: 日志收集框架

2、estalert: 是基于 Elasticsearch 的报警工具

3、elastalert-kibana-plugin : kibana中elastalert插件,可以实现在kibana界面上编辑elastalert的告警规则配置。

4、alerta: 告警集中收集平台,elastalert告警规则可以配置alerta为接收平台。之前npgstack中alerta作为监控指标信息告警接收平台,日志信息告警配置为同一个alerta作为告警接收平台,实现一个界面管理和观察多种维度的告警信息。

部署

上一篇文章使用docker-compose来部署efk日志收集框架,这样通过改造kibana容器镜像,把elastalert-kibana-plugin插件安装上。在yml文件增加服务elastalert。

改造kibana容器镜像,Dockerfile文件内容如下:

FROM kibana/kibana-oss:7.5.0
COPY ./elastalert-kibana-plugin-1.1.0-7.5.0.zip /tmp/
RUN ["kibana-plugin", "install", "file:///tmp/elastalert-kibana-plugin-1.1.0-7.5.0.zip"]

执行命令构建镜像

docker build -f Dockerfile -t kibana/kibana-oss:7.5.0-ea .

docker-compose.yml增加服务elastalert。

---
version: '2'
services:
  elastalert:
    image: bitsensor/elastalert:3.0.0-beta.1
    ports:
      - 3030:3030
      - 3333:3333
    volumes:
      - ./elastalert/config/elastalert.yaml:/opt/elastalert/config.yaml
      - ./elastalert/config/elastalert-test.yaml:/opt/elastalert/config-test.yaml
      - ./elastalert/config/config.json:/opt/elastalert-server/config/config.json
      - ./elastalert/rules:/opt/elastalert/rules
      - ./elastalert/rule_templates:/opt/elastalert/rule_templates
    network_mode: "bridge"
    links:
    - "elasticsearch"

  elasticsearch:
    image: elasticsearch/elasticsearch-oss:7.6.2
    environment:
      - 'node.name=HEYJUDE'
      - 'discovery.type=single-node'
      - 'bootstrap.memory_lock=true'
      - 'ES_JAVA_OPTS=-Xms256m -Xmx256m'
    ports:
      - 9200:9200
      - 9300:9300
    volumes:
      - ./elasticsearch:/usr/share/elasticsearch/data
    network_mode: "bridge"
  
  kibana:
    image: kibana/kibana-oss:7.5.0-ea
    ports:
      - 5601:5601
    volumes:
      - ./kibana/config/kibana.yml:/usr/share/kibana/config/kibana.yml
    network_mode: "bridge"
    links:
    - "elasticsearch"
    - "elastalert"
  
  fluentd:
    image: fluent/fluentd:v1.4.2-2.0-es
    ports:
      - 24224:24224
      - 24224:24224/udp
    volumes:
      - ./fluentd/etc:/fluentd/etc
    network_mode: "bridge"
    links:
    - "elasticsearch"
  
networks:
  default:
    external:
      name: bridge

kibana服务增加配置项如下:

# cat kibana/config/kibana.yml 
#
# ** THIS IS AN AUTO-GENERATED FILE **
#

# Default Kibana configuration for docker target
server.name: kibana
server.host: "0"
elasticsearch.hosts: [ "http://elasticsearch:9200" ]
elastalert-kibana-plugin.serverHost: elastalert
elastalert-kibana-plugin.serverPort: 3030

alerta使用的是npgstack中的服务alerta。

elastalert测试告警规则

配置测试告警规则如下:

es_host: elasticsearch
es_port: 9200
name: test
type: frequency
index: fluent*
num_events: 5
timeframe:
    hours: 6
filter:
- term:
    log: "error"
alert:
  - alerta
alerta_api_url: "http://192.168.122.61:8889/api/alert"
alerta_api_key: "BU0SYnGHu9_1qEiWM12rXP7yMAZkFldWcupRIU7x"
alerta_text: "error in log"
alerta_value: "error"
alerta_event: "error_log"

告警规则表明,如果6小时内es中索引为fluent*的log字段出现error信息达到5次,则触发一个告警到alerta中。

告警类型:frequency

alerta显示界面配置:alerta_text,alerta_value,alerta_event。

其他的配置项容易理解。

在这里插入图片描述
在这里插入图片描述

在alerta界面看到的告警信息。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

wenwenxiong
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开源日志分析平台ELK实战应用:日志及时响应告警操作手册
m0_57021623的博客
06-04 645
为了在钉钉上接收基于特定关键词的日志告警,你可以利用 ELK 堆栈来收集和分析日志,然后使用 Kibana 的告警功能与钉钉的 Webhook 接口整合。下面是一个详细的步骤指导,包括如何设置 Logstash 以收集日志,如何配置 Elasticsearch 和 Kibana 来创建告警规则,以及如何设置钉钉机器人来接收告警
ELK之elastalert告警
派大星的不眠博客
05-05 4647
Elastalert是Yelp公司基于python开发的ELK日志告警插件,Elastalert通过查询Elasticsearch中的记录与定于的告警规则进行对比,判断是否满足告警条件。发生匹配时,将为该告警触发一个或多个告警动作。告警规则由Elastalert的rules定义,每个规则定义一个查询。1.1 ElastAlert 工作原理周期性的查询Elastsearch并且将数据传递给规则类型,规则类型定义了需要查询哪些数据。
ELK详解(二十二)——Elastalert报警配置实战
永远是少年
04-10 7626
今天继续给大家介绍Linux运维相关知识,本文主要内容是elastalert报警配置。 一、配置文件设置 二、创建告警索引 三、Rule规则配置 四、效果验证
alerta:Alerta监视系统
02-02
Alerta 8.0版 Alerta监视工具的开发考虑了以下目标: 分布和解耦,以便可缩放 最小的配置,可以轻松接受来自任何来源的警报 快速浏览可视化,深入细节 要求 版本8仅支持Python 3.6或更高版本。 唯一的强制依赖项是MongoDB或PostgreSQL。 其他所有都是可选的。 Postgres 9.5或更高版本 MongoDB 3.6版或更高版本(完整查询语法支持需要4.0.7版) 安装 要在Debian / Ubuntu上安装MongoDB,请运行: $ sudo apt-get install -y mongodb-org $ mongod 要在CentOS / RHEL上安装MongoDB,请运行: $ sudo yum install -y mongodb $ mongod 要安装Alerta服务器和客户端,请运行: $ pip install alerta-server alerta $ alertad run 要安装Web控制台,请运行: $ wget https://github.com/alerta/alerta-webui/releas
ElastAlert2部署教程
dzcro的博客
09-17 3332
ElastAlert2部署教程,从安装ElastAlert2的安装依赖开始,直到部署完成,并以触发邮件告警通知为例,详细展开如何入手使用ElastAlert2告警系统
ELK详解(二十一)——elastalert介绍与安装
永远是少年
04-10 2969
今天继续给大家介绍Linux运维相关知识,本文主要内容是elastalert的介绍与安装 一、elastalert简介 二、elastalert安装 三、elastalert命令介绍
ELK告警插件-elastalert2 实践,支持elk8.0版本,企微机器人告警实现
smallbird108的专栏
06-25 5710
最近刚把生产的ELK搭建完成,前面文章也有介绍,然后就在思考把日志监控告警也做起来,因为人力问题,既要处理生产问题,又要做一些日常运维工作,所以日志监控的调研和完成就放在周末来做了。简单说下,目前的运维现状,运维部门是新建立的,之前都是研发自管的,各自玩各自的,所以有蛮多的问题,有很多非标的建设,其实这种是很痛苦,最近在做的话,就是梳理不同的系统。基本就是从0到1的建设吧,之前在建设elk的时候,其实也有考虑过,后续的日志监控要怎么做,本来最初的想法是自己去写,但是时间来不及,也没有那么多的精力去做这些事。
elk或efk日志报警elastalert-docker安装-仅邮件
06-29
elk或efk日志报警elastalert-docker安装-仅邮件
elk或efk日志报警elastalert-docker安装-邮件或钉钉
06-29
ELK 或 EFK 日志报警 Elastalert-Docker 安装 - 邮件或钉钉 ELK(Elasticsearch、Logstash、Kibana)或 EFK(Elasticsearch、Fluentd、Kibana)日志报警系统是目前非常流行的日志管理解决方案之一。Elastalert 是一...
EFK-release-1.13分支镜像6
12-02
K8s上部署EFK的镜像,这些镜像是以github官方地址build的,包括alpine-3.6、elasticsearch-v6.3.0、fluentd-elasticsearch-v2.2.0、kibana-oss-6.3.2四个镜像及其yaml文件。 这些镜像是以github release-1.13 build...
EFK-release-1.13分支镜像7
12-02
K8s上部署EFK的镜像,这些镜像是以github官方地址build的,包括alpine-3.6、elasticsearch-v6.3.0、fluentd-elasticsearch-v2.2.0、kibana-oss-6.3.2四个镜像及其yaml文件。 这些镜像是以github release-1.13 build...
EFK-release-1.13分支镜像3
12-02
K8s上部署EFK的镜像,这些镜像是以github官方地址build的,包括alpine-3.6、elasticsearch-v6.3.0、fluentd-elasticsearch-v2.2.0、kibana-oss-6.3.2四个镜像及其yaml文件。 这些镜像是以github release-1.13 build...
elastsalert2部署
这是一个将要崛起小达人
08-08 607
日志关键字告警
ElastAlert-实践
七路灯
06-29 344
目录基于Elastalert的二次开发规则配置建议支持钉钉报警报警实践转换为本地时区 基于Elastalert的二次开发 https://github.com/lights8080/elastalert forked from Yelp/elastalert 修改内容大致如下: 修改报警及日志的日期格式为%Y-%m-%d %H:%M:%S %Z 集成钉钉报警(支持At、secret认证),参考example_rules/example_frequency_lights8080.yaml Percentag
Elastisearch 学习
天涯君落
07-12 205
中文官网网站: https://www.elastic.co/guide/cn/elasticsearch/guide/current/_retrieving_a_document.html (基于2.X版本) 集群健康查询: curl -XGET 'http://IP:9200/_cluster/health?pretty' 全量查询: curl -H "Content-Type: application/json" 'http://IP:9200/_count' -d '{"query"
ElastAlert2部署
yae的博客
02-01 624
ElastAlert2部署
(实战)搭建EFK+elastalert2进行钉钉告警推送
不积跬步无以至千里
10-25 1106
ElastAlert 2 是一个用于实时监控和警报 Elasticsearch 数据的开源工具,旨在帮助您检测和响应于 Elasticsearch 中的日志、指标或事件数据中发生的关键事件。ElastAlert 2 是 ElastAlert 的改进版本,它通过 Python 编写,支持 Elasticsearch 5.0+ 和 Kibana 6.0+。灵活的规则引擎: ElastAlert 2 允许您定义自定义规则,以捕获感兴趣的事件或模式。
ES告警之ElastAlert
完颜振江
04-24 2384
ES告警之ElastAlert
ELK系列(五) Elastalert2搭建
最新发布
BourneSu的博客
01-18 846
ELK系列(五) Elastalert2搭建
docker-compose部署efk
09-20
通过docker compose可以一次性部署Elasticsearch、Filebeat和Kibana(EFK)。你需要使用以下镜像: - docker pull store/elastic/filebeat:7.6.2 - docker pull elasticsearch:7.6.2 - docker pull kibana:7.6.2 在docker compose文件中,你可以创建一个包含两个Elasticsearch节点的集群。其中一个节点(es01)监听本地主机的9200端口,另一个节点(es02)通过Docker网络与es01通信。为了保持数据的一致性,你可以将数据目录(data01和data02)挂载到Docker存储节点上。如果目录不存在,docker compose会在启动集群时自动创建它们(默认位置为/var/lib/docker/volumes/)。 在Filebeat和Kibana的配置中,你需要将Elasticsearch的主机地址改为集群中监听9200端口的es01节点。 以下是一个示例的docker compose文件部分内容(假设为filebeat.docker-compose.yml): ``` version: '3' services: elasticsearch: image: elasticsearch:7.6.2 ports: - 9200:9200 volumes: - data01:/path/to/data01 filebeat: image: store/elastic/filebeat:7.6.2 volumes: - /var/run/docker.sock:/var/run/docker.sock - /var/lib/docker/containers:/var/lib/docker/containers configs: - source: filebeat-config target: /usr/share/filebeat/filebeat.yml kibana: image: kibana:7.6.2 environment: - ELASTICSEARCH_HOSTS=es01:9200 ports: - 5601:5601 volumes: data01: configs: filebeat-config: file: ./filebeat.yml ``` 请注意,以上仅为示例,你可能需要根据实际情况进行调整。另外,为了解决一些常见问题,你可能需要确保正确设置了vm.max_map_count,并了解如何手动创建Kibana节点并加入集群。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值