一:简介

ElastAlert是一个简单的框架,用于通过Elasticsearch中的数据异常警告,峰值或其他感兴趣的模式。

监控类型

  • “匹配Y时间内有X个事件的地方”(frequency类型)
  • “事件发生率增加或减少时匹配”(spike类型)
  • “在Y时间内少于X事件时匹配”(flatline类型)
  • “当某个字段匹配黑名单/白名单时匹配”(blacklist和whitelist类型)
  • “匹配任何匹配给定过滤器的事件”(any类型)
  • “在一段时间内某个字段有两个不同的值时匹配”(change类型)

二:部署安装

由于Yelp官方提供有docker镜像,docker的便捷性,所以采用docker进行部署

githup官方库:https://github.com/Yelp/elastalert

docker image:bitsensor/elastalert:latest

安装方式:

下载相应的配置文件

git clone https://github.com/bitsensor/elastalert.git; cd elastalert

启动镜像

docker run -d -p 3030:3030 \

    -v `pwd`/config/elastalert.yaml:/opt/elastalert/config.yaml \

    -v `pwd`/config/config.json:/opt/elastalert-server/config/config.json \

    -v `pwd`/rules:/opt/elastalert/rules \

    -v `pwd`/rule_templates:/opt/elastalert/rule_templates \

    --net="host" \

    --name elastalert bitsensor/elastalert:latest

ES 7.X用docker跑,问题比较多

三:配置方式

详细资料查看官方资料

规则配置

config

# rule规则所在路径

rules_folder: /data/elastalert/rules

# 运行时间间隔

run_every:

  minutes: 1

buffer_time:

  minutes: 15

es_host: 10.88.0.34

es_port: 9200

# 写入ES中的index

writeback_index: elastalert_status

writeback_alias: elastalert_alerts

# 告警发送失败的,时间限制,超过2天后,则丢弃

alert_time_limit:

  days: 2

rule

# Rule name, must be unique

name: web request status

# Type of alert.

#type: spike

type: frequency

# num_events must occur within this amount of time to trigger an alert

# 在5m内,查到的数量多余20,曾触发报警

timeframe:

  minutes: 5

num_events: 20

# Index to search, wildcard supported

# 索引和时间filed

index: web-2018.06.26

timestamp_field: "@timestamp"

# 匹配规则

filter:

- query:

    term:

      status:

        value: 404

# 邮件标题

alert_subject: "Surge in attacks on {}"

alert_subject_args:

  - http_host

# 邮件内容

alert_text_type: alert_text_only

alert_text: "Surge in attacks on {}"

alert_text_args:

  - host

# The alert is use when a match is found

alert:

  - "email"

email:

  - "xx@qq.com"

四:启动方式

binary Running

# 安装

git clone https://github.com/Yelp/elastalert.git

pip install -r requirements.txt

python setup.py install

cp config.yaml.example config.yaml

# 创建index

elastalert-create-index

# 测试

elastalert-test-rule --config config.yaml rules/test_frequency.yaml

# 正式

python3 -m elastalert.elastalert --config config.yaml

五:查看数据

1.elastalter会生成一个elastalter_status索引,里面会记录rule匹配的详细信息

{

  "_index": "elastalert_status_status",

  "_type": "_doc",

  "_id": "yosRkHAB-hBL9ipWbCYu",

  "_version": 1,

  "_score": null,

  "_source": {

    "rule_name": "Nginx request img check",

    "endtime": "2020-02-29T08:30:25.822237Z",

    "starttime": "2020-02-29T08:26:32.605579Z",

    # 匹配到多少天

    "matches": 0,

    # 命中

    "hits": 0,

    "@timestamp": "2020-02-29T08:30:25.836591Z",

    "time_taken": 0.014328718185424805

  },

  "fields": {

    "@timestamp": [

      "2020-02-29T08:30:25.836Z"

    ],

    "endtime": [

      "2020-02-29T08:30:25.822Z"

    ],

    "starttime": [

      "2020-02-29T08:26:32.605Z"

    ]

  },

  "sort": [

    1582965025836

  ]

}

elastalter邮件告警的更多相关文章

  1. 更新日志 - BugHD 新增邮件告警功能

    最近 BugHD 又新增了一些功能,包括邮件告警. issue 分享. issue 备注等,同时也做了性能优化.希望能够帮助你更高效地收集解决应用崩溃. BugHD 新增功能 1.邮件告警 除了 We ...

  2. zabbix邮件告警

    Zabbix邮件告警看了很多文档,写的那叫一个蛋疼,明明没有发出去邮件,硬要糊弄观众,我也跟着被糊弄. 操作系统环境: CentOS 5.5 x84_64位 Zabbix版本2.2.3 Web服务器: ...

  3. Python巡检Oracle表空间并邮件告警

    最近,自学了Python基础,突发奇想,把以前通过shell自定义通过nagios实现Oracle表空间以及ASM以及备份的脚本改进下,首先感叹的是Python脚本看上去确实挺好的,效率还不错. 这是 ...

  4. zabbix监控配置与邮件告警

    添加主机与主机组 进入web页面,在 配置-主机群组,创建主机群组 在 配置-主机,新建主机 在可见的名称中建议填写为类似 主机类型-主机名-IP或域名 的格式,如Web-Hyrule001-192. ...

  5. zabbix的自动发现、自定义添加监控项目、配置邮件告警

    1.zabbix的自动发现这里的自动发现,所显示出来的是规则的上自动了现 然后 可以对其内容进行相关的配制,如时间或周期 注意:对于单个主机的规则,可以自行添加或删除, 但对于已经添加好了的规则,若需 ...

  6. T-Pot平台cowrie蜜罐暴力破解探测及实现自动化邮件告警

    前言:Cowrie是基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录,并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP.SCP上传 ...

  7. zabbix邮件告警之 通过shell脚本发送告警

    说明:本文讲如何通过shell脚本实现zabbix发送告警邮件,共有5步1.设置mailx账号:是配置mailx的发信账号2.zabbix服务器端编写邮件发送脚本:是增加zabbix的告警方式,增加通 ...

  8. kubernetes实战(二十):k8s一键部署高可用Prometheus并实现邮件告警

    1.基本概念 本次部署使用的是CoreOS的prometheus-operator. 本次部署包含监控etcd集群. 本次部署适用于二进制和kubeadm安装方式. 本次部署适用于k8s v1.10版 ...

  9. zabbix配置自动发现,故障邮件告警

    对网段内的主机进行自动发现,自动加入主机组,自定加入template 创建动作时,类型这里选择discovery 然后将发现的主机加入host group和template: 动作针对的是discov ...

随机推荐

  1. spring源码分析系列5:ApplicationContext的初始化与Bean生命周期

    回顾Bean与BeanDefinition的关系. BeanFactory容器. ApplicationContext上下文. 首先总结下: 开发人员定义Bean信息:分为XML形式定义:注解式定义 ...

  2. JZOJ10004 列车调度

    [JZOJ100041]列车调度 Description Input Output Sample Input Sample1: 3 1 2 3 Sample2: 9 1 3 2 4 8 6 9 5 7 ...

  3. 本人亲测-SSM整合后的基础包(供新手学习使用,可在本基础上进行二次开发)

    本案例是在eclipse上进行开发的,解压后直接添加到eclipse即可.还需要自己配置maven环境.链接:https://pan.baidu.com/s/1siuvhCJASuZG_jqY5utP ...

  4. GLSL 参考GIMP源码实现色彩平衡调节

    色彩平衡 修图工具中的色彩平衡一般用来根据亮度等级调整图片中颜色的偏色,调整偏色涉及到加色原理和减色原理 其实我们通过三原色加色原理的图片就可以知道,红色的对比色是青色,蓝色的对比色是黄色,绿色的对比 ...

  5. 单元测试实践(SpringCloud+Junit5+Mockito+DataMocker)

    网上看过一句话,单元测试就像早睡早起,每个人都说好,但是很少有人做到.从这么多年的项目经历亲身证明,是真的. 这次借着项目内实施单元测试的机会,记录实施的过程和一些总结经验. 项目情况 首先是背景,项 ...

  6. Linux防火墙常用操作

    /tcp —— 配置白名单 sudo systemctl start firewalld — 启动防火墙 sudo firewall-cmd --state - 看状态 sudo firewall-c ...

  7. SpringBoot系列:Spring Boot集成Spring Cache

    一.关于Spring Cache 缓存在现在的应用中越来越重要, Spring从3.1开始定义了org.springframework.cache.Cache和org.springframework. ...

  8. [JZOJ5817] 【NOIP提高A组模拟2018.8.15】 抄代码

    Description J 君是机房的红太阳,每次模拟她总是 AK 虐场.然而在 NOIP2117 中,居然出现了另一位 AK 的选手 C 君! 这引起了组委会的怀疑,组委会认为 C 君有抄袭 J 君 ...

  9. advisor调优工具优化sql(基于sql_id)

    advisor调优工具优化sql(基于sql_id) 问题背景:客户反馈数据库迁移后cpu负载激增,帮忙查看原因 解决思路:1> 查看问题系统发现有大量的latch: cache buffers ...

  10. 2.Linux Bash认识

    虚拟机快照操作 1.什么是Bash shell? 它就是命令解释器,将用户输入的指令翻译给内核程序,内核处理完成之后将结果返回给Bash 2.Bash shell的用途? 几乎能完成所有的操作: 文件 ...