基于Elastic Service中Watcher在日志EFK系统中告警应用

已于 2022-09-30 10:49:28 修改
阅读量1k 收藏 4
点赞数
文章标签: elasticsearch 搜索引擎 大数据 paas 后端
于 2022-09-06 16:09:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhonghua881016/article/details/126726536
版权

Elastic Service中Watcher在日志EFK系统中告警应用

日志告警,是基于EFK日志系统中的es(es版本是7.10.1) watcher。wathcer 是es中支持的一种定时任务调度引擎,可以对现有的索引内容进行监控,告警支持告警记录、发送通知、通知第三方(webhook)。架构图如下:

在这里插入图片描述

watcher 告警示例

告警示例是针对日志索引中error日志出现的频次做的告警,watcher 告警示例创建语句如下:

PUT _watcher/watch/123456
{
  "trigger": {
    "schedule": {
      "interval": "1m" ## 执行任务周期 
    }
  },
  "input": {   ## watcher检测的内容的输入
    "search": {
      "request": { ## es中DLS语句
        "body": {
          "size": 0,
          "query": {
            "bool": {
              "filter": {
                "range": {
                  "@timestamp": { 
                    "gte": "{{ctx.trigger.scheduled_time}}||-50m", ## 从定时任务触发开始的前50分钟
                    "lte": "{{ctx.trigger.scheduled_time}}",
                    "format": "strict_date_optional_time||epoch_millis"
                  }
                }
              },
              "must": [{"term":{"loglevel":"ERROR"}}]
            }
          }
        },
        "indices": [
          "<paas-cloud-log-consumer-staging-{now/d}>" ## 索引表达式 ,最新一天日志索引
        ]
      }
    }
  },
  "condition" : {
    "compare" : { "ctx.payload.hits.total" : { "gt" : 5 }} ## DLS 查询语句命中的数据数大于5,ctx.payload.hits.total  watcher执行器上下文,请参考wathcer官网文档
  },
  "actions" : {
  "my_webhook" : {
    "throttle_period" : "5m", ## 静默时间 ,静默时间最好是需要跟 执行周期匹配,避免无效的执行
    "webhook" : {  
      "method" : "POST",
      "scheme" : "http",
      "host" : "host",
      "port" : 8008,
      "path": "/robot/send",
      "headers" : {
        "Content-Type" : "application/json" 
      },
      "params" : {
        "access_token" :   "" ## 机器人id
        },
      "body" : """{  ## 钉钉认证方式 采用的是关键字认证,需要在内容中带机器人配置的关键字
        "msgtype": "markdown",
        "markdown": { ## 参考钉钉机器人api文档
           "title":"bdtp alert",
           "text": "##log alert \n #### business alert @18708450002 \n - content:log error of paas-cloud-log-consumer-staging service happended 5 time last 5 minutes \n - business owner:机器人\n"
     },
      "at": {
          "atMobiles": [
              "152222222222"
          ],
          "atUserIds": [
              "user123"
          ],
          "isAtAll": false
      }
      }"""
      }
    }
  }
}

通过kibana可视化界面配置,然后查看watcher定时任务的执行情况如下图:

第一步:找到下图的功能导航栏中:

在这里插入图片描述

第二步:进入Stack Management界面以后:

在这里插入图片描述

第三步:选中对应watcher 对应的id:

在这里插入图片描述

示例告警结果展示:
在这里插入图片描述

zhonghua881016
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Rancher入门到精通-2.0 forbidden: User "system:serviceaccount:efk-logging:filebeat" cannot get resource
隔壁老瓦的专栏
03-06 1321
2020-03-06T09:30:39.475Z INFO crawler/crawler.go:72 Loading Inputs: 1 2020/3/6 下午5:30:392020-03-06T09:30:39.475Z WARN [cfgwarn] docker/input.go:49 DEPRECATED: 'docker' input deprecated. Use 'co...
互联网监控专题:EFK框架搭建从0到1
撸起袖子加油干
07-15 659
在互联网行业,网络流量随着热点事件,呈现爆发式增长,通过可视化的界面监测某个应用的访问量,以及统计异常日志,显得尤为重要。 如下图:可以通过视图,查看流量异常情况: 这段时间为啥没日志,猜测:日志采集异常或者这段时间B端访问异常,需要介入排查 本篇博客免费教大家手把手的基于windows环境,搭建EFK监控框架过程,虽然偏运维,但是作为一名研发管理者,具备大局观,培养全局意识,而不是纸上谈兵,特别的重要。 一、搭建一套nginx+springboot应用 1.1n...
结合springboot搭建日志采集系统EFK
liurui_wuhan的专栏
04-13 1909
下载elasticsearch [root@ecs7 efk]# curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.12.0-linux-x86_64.tar.gz 下载kibana [root@ecs7 efk]# curl -L -O https://artifacts.elastic.co/downloads/kibana/kibana-7.12.0-linux-x...
efk介绍及安装部署
Linux运维老纪的博客
06-22 1176
EFK 不是一个软件,而是一套解决方案。EFK 是三个开源软件的缩写,Elasticsearch,FileBeat,Kibana。其 ELasticsearch 负责日志分析和存储,FileBeat 负责日志收集,Kibana 负责界面展示。它们之间互相配合使用,完美衔接,高效的满足了很多场合的应用,是目前主流的一种日志分析系统解决方案,今天给大家分享如何搭建efk.
EFK+sentinl报警机制
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-24 2935
EFK的部署可以参考https://blog.csdn.net/luanpeng825485697/article/details/83312662 fluentd日志采集的语法可以参考 :https://blog.csdn.net/luanpeng825485697/article/details/83339985 EFK缺少一个报警机制 下面我们尝试几种方法来设置报警 KAAE 先把kiban...
快速检索与存储系统——Elasticsearch
葱葱那年
07-22 672
一、什么是Elasticsearch?   ELASTICSEARCH(弹性搜索):是一款开源的分布式、RESTful风格的搜索和数据分析引擎,它底层基于Apache Lucene开源库进行封装,其不仅仅提供分布式多用户能力的全文搜索引擎,还可以被准确形容为: 1、一个分布式的实时文档存储,每个字段可以被索引与搜索; 2、一个分布式实时分析搜索引擎; 3、能胜任上百个节点的扩展,并支持PB级别额结构化和非结构化数据。 二、Elasticsearch基本概念 全文搜索(Full-text Search)  
EFK收集messages线程
爱吃鱼的小明的博客
04-04 277
Server 192.168.132.7 :3G 2cpu(kibana filebeat logstash nginx) Server 192.168.132.17 :1G (httpd-tools elasticsearch) Server 192.168.132.24 :1G 全局环境jdk rpm -ivh jdk-8u131-linux-x64_.rpm 三台虚拟机都做(zookeep...
《kubernetes-1.8.0》10-addon-EFK
Hek's blog
11-27 2541
《kubernetes-1.8.0》10-addon-EFK 《kubernetes 1.8.0 测试环境安装部署》 时间:2017-11-27 一、环境准备加载所需镜像:详见 《01-环境准备》下载所需yaml:官方文档鉴于镜像版本,以下贴出对应的yaml:es-service.yaml$ mkdir ~/EFK $ cd ~/EFK$ cat > es-service.yaml <
Elasticsearch ML(Machine Learning) 使用简介
Pzhang的博客
04-02 2296
Elasticsearch ML(Machine Learning) 测试 文章目录Elasticsearch ML(Machine Learning) 测试环境准备和配置标准数据源异常数据源创建 Single metric ML 和 Alter触发 Alter创建 Population MLReference 环境准备和配置 标准数据源 首先我们得产生一些有一定规律的标准数据。这里使用我之前写的...
EFK 监控 F5 BigIP 流量测试
Pzhang的博客
04-02 987
EFK 监控 F5 BigIP 流量测试 EFK 测试环境搭建 F5 BigIP 测试环境搭建 数据源测试脚本 这里使用 Python 发送多个异步 http get requests。 [root@asm-replay network-tester]# cat http-test.py import eventlet eventlet.monkey_patch() import request...
elastic-alert:基于ElasticSearch的业务数据监控告警系统
05-09
ElasticAlert是建立在Elasticsearch之上的一个告警系统,专为监控和管理Elasticsearch的业务数据而设计。ElasticAlert通过持续查询Elasticsearch并设置规则,当查询结果满足特定条件时,会触发告警,帮助用户及时...
基于Elasticsearch与MariaDB的文档系统源码+数据库(毕业设计).zip
11-16
基于Elasticsearch与MariaDB的文档系统源码+数据库(毕业设计).zip已获导师指导并通过的高分项目。基于领域驱动设计与CQRS架构实现。本项目是一套基于Elasticsearch与MariaDB的文档系统源码+数据库(毕业...
Kubernetes容器集群日志系统集成实践
02-25
Fig00-Kubernetes日志系统涉及的技术评估容器云平台日志系统的标准:易扩展:能够支撑集群规模的增长开销低:尽量占用较少的系统资源入侵小:尽量不需要改动应用容器和云平台系统大集:将所有分布在各个主机节点...
Elasticsearch在财务报表应用V1.2.ppt
10-20
Elasticsearch在财务报表应用
RestAPI操作es(一)
GD2604279407的博客
08-03 465
JavaRestClient操作elasticsearch的流程基本类似。核心是方法来获取索引库的操作对象。索引库操作的基本步骤:初始化创建XxxIndexRequest。XXX是CreateGetDelete准备请求参数(Create时需要,其它是无参,可以省略)发送请求。调用方法,xxx是createexistsdelete。
谷粒商城实战笔记-116-全文检索-ElasticSearch-进阶-filter过滤
epitomizelu的专栏
08-03 597
Elasticsearch,布尔查询(Boolean Query)除了包含mustmust_not和should子句之外,还有一个重要的子句叫做filter。filter子句在布尔查询扮演着过滤的角色,用于指定文档必须满足的条件,在语义上,和must非常相近,但与must不同的是,filter子句不会影响文档的相关性得分(_score以下是filter过滤作用filter子句用于过滤结果,确保返回的文档集合满足特定的条件。不计分:与must不同,filter子句不会对文档的得分产生影响。
[Git][基本操作]详细讲解
最新发布
SnowK博客
08-04 934
[Git][基本操作]详细讲解
Elasticsearch的基础使用和高阶使用
lssffy的博客
08-03 361
Elasticsearch 是一个开源的搜索引擎,基于Lucene库构建。它支持RESTful API,具有实时搜索能力和高扩展性,能够处理PB级别的数据量。通过本文的介绍,您应该对Elasticsearch的基础使用和高阶使用有了全面的了解。无论是索引管理、查询优化还是集群管理,Elasticsearch都提供了强大的功能和工具。通过合理配置和优化,您可以充分发挥Elasticsearch的潜力,为业务提供高效可靠的数据支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值