efk-elastalert-alerta集中日志自动告警

最新推荐文章于 2024-04-25 10:05:05 发布
最新推荐文章于 2024-04-25 10:05:05 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wenwenxiong/article/details/106048313
版权

组成

1、efk: 日志收集框架

2、estalert: 是基于 Elasticsearch 的报警工具

3、elastalert-kibana-plugin : kibana中elastalert插件,可以实现在kibana界面上编辑elastalert的告警规则配置。

4、alerta: 告警集中收集平台,elastalert告警规则可以配置alerta为接收平台。之前npgstack中alerta作为监控指标信息告警接收平台,日志信息告警配置为同一个alerta作为告警接收平台,实现一个界面管理和观察多种维度的告警信息。

部署

上一篇文章使用docker-compose来部署efk日志收集框架,这样通过改造kibana容器镜像,把elastalert-kibana-plugin插件安装上。在yml文件增加服务elastalert。

改造kibana容器镜像,Dockerfile文件内容如下:

FROM kibana/kibana-oss:7.5.0
COPY ./elastalert-kibana-plugin-1.1.0-7.5.0.zip /tmp/
RUN ["kibana-plugin", "install", "file:///tmp/elastalert-kibana-plugin-1.1.0-7.5.0.zip"]

执行命令构建镜像

docker build -f Dockerfile -t kibana/kibana-oss:7.5.0-ea .

docker-compose.yml增加服务elastalert。

---
version: '2'
services:
  elastalert:
    image: bitsensor/elastalert:3.0.0-beta.1
    ports:
      - 3030:3030
      - 3333:3333
    volumes:
      - ./elastalert/config/elastalert.yaml:/opt/elastalert/config.yaml
      - ./elastalert/config/elastalert-test.yaml:/opt/elastalert/config-test.yaml
      - ./elastalert/config/config.json:/opt/elastalert-server/config/config.json
      - ./elastalert/rules:/opt/elastalert/rules
      - ./elastalert/rule_templates:/opt/elastalert/rule_templates
    network_mode: "bridge"
    links:
    - "elasticsearch"

  elasticsearch:
    image: elasticsearch/elasticsearch-oss:7.6.2
    environment:
      - 'node.name=HEYJUDE'
      - 'discovery.type=single-node'
      - 'bootstrap.memory_lock=true'
      - 'ES_JAVA_OPTS=-Xms256m -Xmx256m'
    ports:
      - 9200:9200
      - 9300:9300
    volumes:
      - ./elasticsearch:/usr/share/elasticsearch/data
    network_mode: "bridge"
  
  kibana:
    image: kibana/kibana-oss:7.5.0-ea
    ports:
      - 5601:5601
    volumes:
      - ./kibana/config/kibana.yml:/usr/share/kibana/config/kibana.yml
    network_mode: "bridge"
    links:
    - "elasticsearch"
    - "elastalert"
  
  fluentd:
    image: fluent/fluentd:v1.4.2-2.0-es
    ports:
      - 24224:24224
      - 24224:24224/udp
    volumes:
      - ./fluentd/etc:/fluentd/etc
    network_mode: "bridge"
    links:
    - "elasticsearch"
  
networks:
  default:
    external:
      name: bridge

kibana服务增加配置项如下:

# cat kibana/config/kibana.yml 
#
# ** THIS IS AN AUTO-GENERATED FILE **
#

# Default Kibana configuration for docker target
server.name: kibana
server.host: "0"
elasticsearch.hosts: [ "http://elasticsearch:9200" ]
elastalert-kibana-plugin.serverHost: elastalert
elastalert-kibana-plugin.serverPort: 3030

alerta使用的是npgstack中的服务alerta。

elastalert测试告警规则

配置测试告警规则如下:

es_host: elasticsearch
es_port: 9200
name: test
type: frequency
index: fluent*
num_events: 5
timeframe:
    hours: 6
filter:
- term:
    log: "error"
alert:
  - alerta
alerta_api_url: "http://192.168.122.61:8889/api/alert"
alerta_api_key: "BU0SYnGHu9_1qEiWM12rXP7yMAZkFldWcupRIU7x"
alerta_text: "error in log"
alerta_value: "error"
alerta_event: "error_log"

告警规则表明,如果6小时内es中索引为fluent*的log字段出现error信息达到5次,则触发一个告警到alerta中。

告警类型:frequency

alerta显示界面配置:alerta_text,alerta_value,alerta_event。

其他的配置项容易理解。

在这里插入图片描述
在这里插入图片描述

在alerta界面看到的告警信息。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

wenwenxiong
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elk或efk日志报警elastalert-docker安装-仅邮件
06-29
elk或efk日志报警elastalert-docker安装-仅邮件
elk或efk日志报警elastalert-docker安装-邮件或钉钉
06-29
ELK 或 EFK 日志报警 Elastalert-Docker 安装 - 邮件或钉钉 ELK(Elasticsearch、Logstash、Kibana)或 EFK(Elasticsearch、Fluentd、Kibana)日志报警系统是目前非常流行的日志管理解决方案之一。Elastalert 是一...
ELK详解(二十二)——Elastalert报警配置实战
永远是少年
04-10 7617
今天继续给大家介绍Linux运维相关知识,本文主要内容是elastalert报警配置。 一、配置文件设置 二、创建告警索引 三、Rule规则配置 四、效果验证
探索ElastAlert2:实时警报与日志监控的新篇章
最新发布
gitblog_00064的博客
04-25 364
探索ElastAlert2:实时警报与日志监控的新篇章 项目地址:https://gitcode.com/jertel/elastalert2 ElastAlert2 是一个强大的开源工具,旨在简化和加强基于Elasticsearch的日志数据的实时警报功能。如果你在寻找一种能够自动化发现异常、触发通知并帮助你快速响应问题的技术解决方案,那么ElastAlert2绝对值得你关注。 项目简介 Ela...
ElastAlert2部署
yae的博客
02-01 618
ElastAlert2部署
elk日志大盘显示和日志监控报警配置实践
lwjaiyjk3的专栏
04-11 7282
1. Logstash1.1具体内容详解具体讲解大家可以看文档:https://www.elastic.co/guide/en/logstash/current/index.html1.2使用整体配置1.2.1项目工程中的配置在logback对应的配置文件logback-spring.xml中配置如下内容:        注意encoder标签中对应的三个字段:requestUrl,traceId...
Alerta: 监控告警系统,适用于各种环境
gitblog_00030的博客
03-18 446
Alerta: 监控告警系统,适用于各种环境 Alerta是一个开源的、可扩展的监控告警系统,它可以处理来自不同源的事件,并将它们转换为统一的报警通知,帮助您实时了解系统的运行状态。 Alerta能用来做什么? Alerta可以与不同的监控工具集成,例如Nagios、Prometheus等,接收这些工具产生的报警事件,并将其转发给指定的目标(如电子邮件、短信或Slack)。此外,它还提供了丰富的A...
Elasticsearch 日志监控方案
cr7258的博客
08-16 3219
现在大部分公司都会选择将应用、中间件、系统等日志存储在 Elasticsearch 中,如何发现日志中的异常数据并且及时告警通知就显得十分重要。本文将会介绍两种主流的日志监控方案,分别是 Yelp 公司开源的 ElastAlert 和 Elastic 官方的商业版功能 Watcher。 如下图所示,日志数据源是一台 Nginx 服务器,在该服务器上安装 Filebeat 收集 Nginx 日志并输出到 Elasticsearch,之后会分别演示用 ElastAlert 和 Watcher 两种方案监控日志
【Elastic (ELK) Stack 实战教程】11、使用 ElastAlert 实现 ES 钉钉群日志告警
Stars.Sky 的博客
04-12 3332
使用 ElastAlert 实现 ES 钉钉群日志告警
EFK-release-1.13分支镜像6
12-02
K8s上部署EFK的镜像,这些镜像是以github官方地址build的,包括alpine-3.6、elasticsearch-v6.3.0、fluentd-elasticsearch-v2.2.0、kibana-oss-6.3.2四个镜像及其yaml文件。 这些镜像是以github release-1.13 build...
Elasticsearch告警组件Elastalert钉钉报警插件
08-24
对Elastalert离线安装时可以用到
EFK-release-1.13分支镜像7
12-02
K8s上部署EFK的镜像,这些镜像是以github官方地址build的,包括alpine-3.6、elasticsearch-v6.3.0、fluentd-elasticsearch-v2.2.0、kibana-oss-6.3.2四个镜像及其yaml文件。 这些镜像是以github release-1.13 build...
EFK-release-1.13分支镜像3
12-02
K8s上部署EFK的镜像,这些镜像是以github官方地址build的,包括alpine-3.6、elasticsearch-v6.3.0、fluentd-elasticsearch-v2.2.0、kibana-oss-6.3.2四个镜像及其yaml文件。 这些镜像是以github release-1.13 build...
prom-elastic-alert日志告警工具
热门推荐
分享不一样的技术,与你一起共同成长!
01-12 2万+
目前市场上基于ELK的日志系统,其中数据采集、数据过滤、数据存储可以采用Filebeat、Logstash、Elasticsearch进行实现。但是日志告警相关工具较少,要么购买Elastic的付费服务可以使用日志告警功能,要么我们只能选择一些相对靠谱的开源方案例如。所以后来,我自己花了点时间造轮子在Github进行了开源,解决了我们使用Elastalert过程中的一些问题。1.针对数据的展示和分析我们可以采用Kibana进行可视化分析,同时也可以对接Grafana进行数据分析。
关于日志的那些事儿
勿忘初心
07-16 1万+
在满足业务需求的前提下,代码、架构,越简单,越稳定。 通用性的架构意味着,考虑的比较全,也就会比较重(比如:会引入很多组件),而这些组件对于你的场景有可能并不是不可或缺的,同时运维这些组件又会产生一定的成本,所以说通用架构对于你来说有可能并不一定是最好的。
基于Kibana的可视化监控报警插件 KAAE 的配置
程序员必须坚持写博客,没人看也要写
06-27 1万+
可视化监控报警插件 KAAE:Kibi + Kibana Alert & Report App for Elasticsearch。   最近搭建了ELK系统,便想在此基础上做一个基于Kibana的可视化报警配置,在网上东翻西翻,基本没有相关的资料,唯有一篇介绍了KEEA,从这里入手,笔者搭建了自己的报警系统。这里笔者分享下个人在配置过程中的经验与心得。
ElastAlert日志告警(邮件、企业微信)
weixin_34192816的博客
12-28 1311
ElastAlert 工作原理 It works by combining Elasticsearch with two types of components, rule types and alerts. Elasticsearch is periodically queried and the data is passed to t...
Kibana 可视化监控报警插件 KAAE 的介绍与使用
weixin_34245082的博客
06-18 601
https://blog.csdn.net/phachon/article/details/53424631 https://blog.csdn.net/Dragon714/article/details/80625386 https://blog.csdn.net/whg18526080015/article/details/73812400  
docker-compose部署efk
09-20
通过docker compose可以一次性部署Elasticsearch、Filebeat和Kibana(EFK)。你需要使用以下镜像: - docker pull store/elastic/filebeat:7.6.2 - docker pull elasticsearch:7.6.2 - docker pull kibana:7.6.2 在docker compose文件中,你可以创建一个包含两个Elasticsearch节点的集群。其中一个节点(es01)监听本地主机的9200端口,另一个节点(es02)通过Docker网络与es01通信。为了保持数据的一致性,你可以将数据目录(data01和data02)挂载到Docker存储节点上。如果目录不存在,docker compose会在启动集群时自动创建它们(默认位置为/var/lib/docker/volumes/)。 在Filebeat和Kibana的配置中,你需要将Elasticsearch的主机地址改为集群中监听9200端口的es01节点。 以下是一个示例的docker compose文件部分内容(假设为filebeat.docker-compose.yml): ``` version: '3' services: elasticsearch: image: elasticsearch:7.6.2 ports: - 9200:9200 volumes: - data01:/path/to/data01 filebeat: image: store/elastic/filebeat:7.6.2 volumes: - /var/run/docker.sock:/var/run/docker.sock - /var/lib/docker/containers:/var/lib/docker/containers configs: - source: filebeat-config target: /usr/share/filebeat/filebeat.yml kibana: image: kibana:7.6.2 environment: - ELASTICSEARCH_HOSTS=es01:9200 ports: - 5601:5601 volumes: data01: configs: filebeat-config: file: ./filebeat.yml ``` 请注意,以上仅为示例,你可能需要根据实际情况进行调整。另外,为了解决一些常见问题,你可能需要确保正确设置了vm.max_map_count,并了解如何手动创建Kibana节点并加入集群。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值