ELK告警插件-elastalert2 实际，支持elk8.0版本，企微机器人告警完成

cBiZ 发表于 2022-12-30 15:19:44 | 显示全部楼层 |阅读模式 近来刚刚把消耗的ELK拆修完毕，前面文章也有介绍，而后便正在思考把日记监控告警也干起去，因为人力成就，既要处置消耗成就，又要干一点儿一样平常运维事情，以是日记监控的调研战完毕便搁正在周终去干了。 简朴道下，今朝的运维近况，运维部分是新成立的，以前皆是研收自管的，各自玩各自的，以是有蛮多的成就，有许多非目标建立，实在这类是很疾苦，近来正在干的话，即是梳理差别的体系。 根本即是从0到1的建立吧，以前正在建立elk的时候，实在也有思考过，后绝的日记监控要如何干，原来最初的设法是自己来写，可是时间去不迭，也不那末多的肉体来干那些事。 正在很早以前的话，是有效过一点儿插件的，elasticalert，sentinl，前者的话，很早以前便没有革新了，后者的话，今朝也是只撑持到7版原，以是便瞅到了elastalert2，瞅了下最新的革新是正在短期，并且文档也很完美，固然皆是英文。 elastalert2参照质料： 文档：https://elastalert2.readthedocs.io/en/latest/index.htmlgithub地点：https://github.com/jertel/elastalert2 复造代码 那个插件的话，是撑持docker布置及k8上布置的，相干的docker file及helm文献皆有供给，根本是启箱即用了。 尔那里是间接用当地python起的，有docker大概k8需要的，能够自己来瞅下。 所需硬件及版原： python 3.10opensll 1.1.1 （python 3.10需要） 复造代码 装置python的话，那里便没有细道了 装置步调： pip install elastalert2 （可以会有setuptools版原高的情况，自止革新）git clone https://github.com/jertel/elastalert2.gitpython setup.py install 复造代码 二个设置文献： 一个是根底设置，正在examples上面有根底设置 #必需设置项#告警划定规矩目次rules_folder: examples/rulesrun_every:  minutes: 1buffer_time:  minutes: 15es_host: es ipes_port: 9200#非必需设置#因为尔是启开了鉴权的，统统需要启开ssl认证use_ssl: Truees_username: useres_password: passwdca_certs: ./http_ca.crt#会成立一个对于应d的索引，前面能够间接来成立writeback_index: elastalert_status#retry window for failed alerts.alert_time_limit:  days: 2 复造代码 而后即是告警划定规矩的设置了 默认是正在examples上面的rules文献夹下，已经有蛮多的根底设置了，能够按照需要来设置，尔那里设置了一个frequency范例的动作尝试。 frequency这类范例的话，更契合一样平常的一个告警步伐，能够按照时间范畴内乱，呈现的次数截至预警。 撑持蛮多的告警路子，能够瞅下民间的介绍，尔那里用到的是post路子，而后对于数据截至处置，颠末企微机械人截至告警，以前的prometheus也是颠末那个告警的，数据格局差别，干了下处置。 撑持的告警路子： 对于rule的设置能够瞅下： #能够针对于字段干一点儿增加，那个战略的话，即是30分钟内乱呈现50次404便告警#query 也能够按照一点儿理论的需要截至调解#并且撑持多个rule设置文献name: "Exemple  webhook alert"type: frequencyindex: ng*use_strftime_index: truefilter:- query:    query_string:      query: "status: 404"num_events: 50timeframe:  hours: 0.5realert:  minutes: 0include: ["time_local","fields.host_ip"]alert_text: "Alerts at {0} on the host {1}.\n```"alert_text_args: ["timestamp","status"]alert: posthttp_post_url: "http://192.168.200.9:5001" 复造代码 正在启用以前，需要干一个index的初初化，间接施行： 假设启了鉴权的，也能够干个尝试，可否能够连通elasticsearch​​​​​​​ $elastalert-create-indexNew index name (Default elastalert_status)Name of existing index to copy (Default None)New index elastalert_status createdDone! 复造代码 rule设置文献准备佳的，也能够干个尝试，检测设置文献可否一般 颠末以下号令能够完毕： #那个号令也能够颠末 -h 而后辅佐#那条号令不过检测设置文献可否一般#假设要确认是告警可否能触收的话，需要减 --alertelastalert-test-rule ./examples/rules/exemple_discord_any.yaml --config=./examples/config.yaml 复造代码 其实在最开端尔尝试的时候，不竭报0hit，实际上是索引设置的有面成就，能够自己来多尝试几回。 即是那个成就，不外那个答复，也不过倡议 当您减了--alert来尝试的时候，假设有匹配到的，那末就能够触收告警了，类似如许 企微机械人上理论的结果是如许的： 固然了，告警里面的一点儿字段的话，能够自己来界说，那个不过一个第一版，全部路走通了。 前面的话，可以即是具体的一点儿日记枢纽字，增加告警规复的战略等，前面有时间的话，再去革新下。

回复 使用道具 举报 提升卡 置顶卡 沉默卡 喧嚣卡 变色卡 千斤顶 照妖镜