一:简介

ElastAlert是一个简单的框架,用于通过Elasticsearch中的数据异常警告,峰值或其他感兴趣的模式。

监控类型

  • “匹配Y时间内有X个事件的地方”(frequency类型)
  • “事件发生率增加或减少时匹配”(spike类型)
  • “在Y时间内少于X事件时匹配”(flatline类型)
  • “当某个字段匹配黑名单/白名单时匹配”(blacklist和whitelist类型)
  • “匹配任何匹配给定过滤器的事件”(any类型)
  • “在一段时间内某个字段有两个不同的值时匹配”(change类型)

二:部署安装

由于Yelp官方提供有docker镜像,docker的便捷性,所以采用docker进行部署

githup官方库:https://github.com/Yelp/elastalert

docker image:bitsensor/elastalert:latest

安装方式:

下载相应的配置文件

git clone https://github.com/bitsensor/elastalert.git; cd elastalert

启动镜像

docker run -d -p 3030:3030 \

    -v `pwd`/config/elastalert.yaml:/opt/elastalert/config.yaml \

    -v `pwd`/config/config.json:/opt/elastalert-server/config/config.json \

    -v `pwd`/rules:/opt/elastalert/rules \

    -v `pwd`/rule_templates:/opt/elastalert/rule_templates \

    --net="host" \

    --name elastalert bitsensor/elastalert:latest

ES 7.X用docker跑,问题比较多

三:配置方式

详细资料查看官方资料

规则配置

config

# rule规则所在路径

rules_folder: /data/elastalert/rules

# 运行时间间隔

run_every:

  minutes: 1

buffer_time:

  minutes: 15

es_host: 10.88.0.34

es_port: 9200

# 写入ES中的index

writeback_index: elastalert_status

writeback_alias: elastalert_alerts

# 告警发送失败的,时间限制,超过2天后,则丢弃

alert_time_limit:

  days: 2

rule

# Rule name, must be unique

name: web request status

# Type of alert.

#type: spike

type: frequency

# num_events must occur within this amount of time to trigger an alert

# 在5m内,查到的数量多余20,曾触发报警

timeframe:

  minutes: 5

num_events: 20

# Index to search, wildcard supported

# 索引和时间filed

index: web-2018.06.26

timestamp_field: "@timestamp"

# 匹配规则

filter:

- query:

    term:

      status:

        value: 404

# 邮件标题

alert_subject: "Surge in attacks on {}"

alert_subject_args:

  - http_host

# 邮件内容

alert_text_type: alert_text_only

alert_text: "Surge in attacks on {}"

alert_text_args:

  - host

# The alert is use when a match is found

alert:

  - "email"

email:

  - "xx@qq.com"

四:启动方式

binary Running

# 安装

git clone https://github.com/Yelp/elastalert.git

pip install -r requirements.txt

python setup.py install

cp config.yaml.example config.yaml

# 创建index

elastalert-create-index

# 测试

elastalert-test-rule --config config.yaml rules/test_frequency.yaml

# 正式

python3 -m elastalert.elastalert --config config.yaml

五:查看数据

1.elastalter会生成一个elastalter_status索引,里面会记录rule匹配的详细信息

{

  "_index": "elastalert_status_status",

  "_type": "_doc",

  "_id": "yosRkHAB-hBL9ipWbCYu",

  "_version": 1,

  "_score": null,

  "_source": {

    "rule_name": "Nginx request img check",

    "endtime": "2020-02-29T08:30:25.822237Z",

    "starttime": "2020-02-29T08:26:32.605579Z",

    # 匹配到多少天

    "matches": 0,

    # 命中

    "hits": 0,

    "@timestamp": "2020-02-29T08:30:25.836591Z",

    "time_taken": 0.014328718185424805

  },

  "fields": {

    "@timestamp": [

      "2020-02-29T08:30:25.836Z"

    ],

    "endtime": [

      "2020-02-29T08:30:25.822Z"

    ],

    "starttime": [

      "2020-02-29T08:26:32.605Z"

    ]

  },

  "sort": [

    1582965025836

  ]

}

elastalter邮件告警的更多相关文章

  1. 更新日志 - BugHD 新增邮件告警功能

    最近 BugHD 又新增了一些功能,包括邮件告警. issue 分享. issue 备注等,同时也做了性能优化.希望能够帮助你更高效地收集解决应用崩溃. BugHD 新增功能 1.邮件告警 除了 We ...

  2. zabbix邮件告警

    Zabbix邮件告警看了很多文档,写的那叫一个蛋疼,明明没有发出去邮件,硬要糊弄观众,我也跟着被糊弄. 操作系统环境: CentOS 5.5 x84_64位 Zabbix版本2.2.3 Web服务器: ...

  3. Python巡检Oracle表空间并邮件告警

    最近,自学了Python基础,突发奇想,把以前通过shell自定义通过nagios实现Oracle表空间以及ASM以及备份的脚本改进下,首先感叹的是Python脚本看上去确实挺好的,效率还不错. 这是 ...

  4. zabbix监控配置与邮件告警

    添加主机与主机组 进入web页面,在 配置-主机群组,创建主机群组 在 配置-主机,新建主机 在可见的名称中建议填写为类似 主机类型-主机名-IP或域名 的格式,如Web-Hyrule001-192. ...

  5. zabbix的自动发现、自定义添加监控项目、配置邮件告警

    1.zabbix的自动发现这里的自动发现,所显示出来的是规则的上自动了现 然后 可以对其内容进行相关的配制,如时间或周期 注意:对于单个主机的规则,可以自行添加或删除, 但对于已经添加好了的规则,若需 ...

  6. T-Pot平台cowrie蜜罐暴力破解探测及实现自动化邮件告警

    前言:Cowrie是基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录,并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP.SCP上传 ...

  7. zabbix邮件告警之 通过shell脚本发送告警

    说明:本文讲如何通过shell脚本实现zabbix发送告警邮件,共有5步1.设置mailx账号:是配置mailx的发信账号2.zabbix服务器端编写邮件发送脚本:是增加zabbix的告警方式,增加通 ...

  8. kubernetes实战(二十):k8s一键部署高可用Prometheus并实现邮件告警

    1.基本概念 本次部署使用的是CoreOS的prometheus-operator. 本次部署包含监控etcd集群. 本次部署适用于二进制和kubeadm安装方式. 本次部署适用于k8s v1.10版 ...

  9. zabbix配置自动发现,故障邮件告警

    对网段内的主机进行自动发现,自动加入主机组,自定加入template 创建动作时,类型这里选择discovery 然后将发现的主机加入host group和template: 动作针对的是discov ...

随机推荐

  1. 技术不错的Java程序员,为何面试却“屡战屡败”

    为何很多有不少编程经验,技术能力不错的程序员,去心仪公司面试时却总是失败?至于失败的原因,可能很多人都没意识到过. 01想要通关面试,千万别让数据结构拖了后腿 很多公司,比如 BAT.Google.F ...

  2. [NOIp2010] luogu P1514 引水入城

    跟 zzy, hwx 等人纠结是否回去上蛋疼的董老板的课. 题目描述 如图所示.你有一个 N×MN\times MN×M 的矩阵,水可以从一格流到与它相邻的格子,需要满足起点的海拔严格高于终点海拔.定 ...

  3. Dropzone.js

    2015-11-25 发布 DropzoneJS 官网没有中文版的,很多东西只能跟着自己的感觉去理解,有些地方把握不了是否准确,在网上搜了一下中文版,看到一位大神简易的中文版 个人觉得和原官网对比着看 ...

  4. 《HTML5+CSS3+JavaScript 从入门到精通(标准版)》学习笔记(二)

    这是一个应用的例子,学以致用嘛 <!--这些代码我就直接放在了博客园的"页首Html代码"中,用于自定义博客,效果就是页面左上角的白色文字--> <p> & ...

  5. 微服务架构 ------ Day01 微服务架构优缺点

    1. 微服务架构的优点 庞大的单体程序 -> 一套微型程序. 每一个服务有明确的边界(服务之间的消息通讯机制) ,每一个服务都能单独的开发和维护,并且更好理解 每一个服务都能由一个团队来开发,当 ...

  6. Java学习笔记五--String(二)String其他方法

    第一节课 // 清除单位字符串开始和结尾空白的副本 String.trim(); 字符串每次更改都会创建新的对象,而不会覆盖原来的字符串,每次拼接都会产生新的String对象,耗时耗内存. java. ...

  7. SpringBoot系列教程之Bean之指定初始化顺序的若干姿势

    上一篇博文介绍了@Order注解的常见错误理解,它并不能指定 bean 的加载顺序,那么问题来了,如果我需要指定 bean 的加载顺序,那应该怎么办呢? 本文将介绍几种可行的方式来控制 bean 之间 ...

  8. angularjs通过ng-bind-html指令和$sce服务绑定html

    代码: <!doctype html> <html lang="en"> <head> <meta charset="UTF-8 ...

  9. TwoHandleSlider/RangeSlider

    项目需求:双滑块slider,可以实现选择一个范围 (一)添加两个slider,并把背景以及fill设置为透明,并去除RaycastTarget (二)在背景下添加个一个image,背景图为滑块划过后 ...

  10. Linux 提示符格式及颜色

    # 提示符颜色配置: 颜色  黑   红  绿  黄  青   紫  蓝  白 字体  30  31  32  33 34  35  36  37 背景  40  41  42  43 44  45 ...