Elasticsearch 基于ElastAlert发送邮件报警

ElastAlert

   ElastAlert 是 Yelp 公司开源的一套用 Python2.6 写的报警框架。属于后来 Elastic.co 公司出品的 Watcher 同类产品。官网地址见:http://elastalert.readthedocs.org/

   当我们把ELK搭建好后,也顺利的收集到日志了,但是日志里发生了什么事,我们并不能第一时间知道日志里到底发生了什么,运维需要第一时间知道日志发生了什么事,所以就有了ElastAlert的邮件报警,如下是详细操作

环境

Centos 7.0

elasticsearch 5.2.2

logstash 5.2.2

kibana 5.2.2

依赖

参见 http://elastalert.readthedocs.io/en/latest/running_elastalert.html#requirements

  • Elasticsearch
  • ISO8601 or Unix timestamped data
  • Python 2.6 or 2.7
  • pip, see requirements.txt

1,下载最新elastalert并安装模块

# yum install python-setuptools

# git clone https://github.com/Yelp/elastalert.git

# cd elastalert

# pip install -U setuptools

# python setup.py install

# pip install -r requirements.txt

2,设置配置文件和规则Rule

[[email protected] ~]# cd /usr/local/elastalert/

[[email protected] elastalert]# cp config.yaml.example config.yaml

[[email protected] elastalert]# vim config.yaml

# This is the folder that contains the rule yaml files

# Any .yaml file will be loaded as a rule

rules_folder: es_rules

# How often ElastAlert will query Elasticsearch

# The unit can be anything from weeks to seconds

run_every:

minutes: 1

# ElastAlert will buffer results from the most recent

# period of time, in case some log sources are not in real time

buffer_time:

minutes: 15

# The Elasticsearch hostname for metadata writeback

# Note that every rule can have its own Elasticsearch host

es_host: 192.168.0.33

# The Elasticsearch port

es_port: 9200

# The AWS region to use. Set this when using AWS-managed elasticsearch

#aws_region: us-east-1

# The AWS profile to use. Use this if you are using an aws-cli profile.

# See http://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html

# for details

#profile: test

# Optional URL prefix for Elasticsearch

#es_url_prefix: elasticsearch

# Connect with TLS to Elasticsearch

#use_ssl: True

# Verify TLS certificates

#verify_certs: True

# GET request with body is the default option for Elasticsearch.

# If it fails for some reason, you can pass ‘GET‘, ‘POST‘ or ‘source‘.

# See http://elasticsearch-py.readthedocs.io/en/master/connection.html?highlight=send_get_body_as#transport

# for details

#es_send_get_body_as: GET

# Option basic-auth username and password for Elasticsearch

#es_username: someusername

#es_password: somepassword

# The index on es_host which is used for metadata storage

# This can be a unmapped index, but it is recommended that you run

# elastalert-create-index to set a mapping

writeback_index: elastalert_status

# If an alert fails for some reason, ElastAlert will retry

# sending the alert until this time period has elapsed

alert_time_limit:

days: 2

3,发送邮件的邮箱设置

[[email protected] elastalert]# vim example_rules/smtp_auth_file.yaml

user: [email protected]

password: xxx

4,配置规则

[[email protected] elastalert]# vim example_rules/example_frequency.yaml

# Alert when the rate of events exceeds a threshold

# (Optional)

# Elasticsearch host

# es_host: elasticsearch.example.com

# (Optional)

# Elasticsearch port

# es_port: 14900

# (OptionaL) Connect with SSL to Elasticsearch

#use_ssl: True

# (Optional) basic-auth username and password for Elasticsearch

#es_username: someusername

#es_password: somepassword

# (Required)

# Rule name, must be unique

name: Example rule

# (Required)

# Type of alert.

# the frequency rule type alerts when num_events events occur with timeframe time

type: frequency

# (Required)

# Index to search, wildcard supported

index: logstash-*

# (Required, frequency specific)

# Alert when this many documents matching the query occur within a timeframe

#限定时间内,发生事件次数

num_events: 1

# (Required, frequency specific)

# num_events must occur within this amount of time to trigger an alert

#限定时间刻度

timeframe:

# hours: 4

#1分钟

minutes: 1

# (Required)

# A list of Elasticsearch filters used for find events

# These filters are joined with AND and nested in a filtered query

# For more info: http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/query-dsl.html

filter:

#这条是发现日志中有ERROR的字段,就发邮件报警,这段很重要,如果写错了就会报错

- query:

match:

message:

query: "ERROR"

#SMTP协议的邮件服务器相关配置

smtp_host: smtp.exmail.qq.com

smtp_prot: 25

#用户认证文件,需要user和password两个属性

smtp_auth_file: /usr/local/elastalert/example_rules/smtp_auth_file.yaml

#回复给那个邮箱

email_reply_to: [email protected]

#从哪个邮箱发送

from_addr: [email protected]

# (Required)

# The alert is use when a match is found

alert:

- "email"

# (required, email specific)

# a list of email addresses to send alerts to

email:

#接收报警邮件的邮箱

- "[email protected]"

5,测试规则

[[email protected] elastalert]#nohup python -m elastalert.elastalert --verbose --rule example_rules/example_frequency.yaml

6,检测邮件情况

邮件已收到 ,当日志中发现有ERROR都会发邮件报警!

时间: 2024-10-11 10:07:12

Elasticsearch 基于ElastAlert发送邮件报警的相关文章

基于elasticsearch和elastalert的备份状态检查

一,业务背景 数据的备份(恢复)对于企业来说,是挽救生命的最后一根稻草:也是运维日常工作的一个重要组成部分.目前流行的方式是采用脚本对数据进行备份,并同步到远端进行异地备份.一旦需要备份的数据多了后,会面临以下问题: 1.备份是否成功,需要在每个脚本里进行判断并发送邮件,一旦涉及邮箱账号密码调整需要每个脚本调整,容易遗漏: 对于日常审计要求,如何快速提供备份操作结果是个麻烦事情(登录到机器一个个的统计记录,容易吐):之前看<devops最佳实践>一书中一个案例提及,他们公司所有服务器操作记录都

zabbix下如何通过sendmail发送邮件报警

我的zabbix相关环境:          OS: centos 5.4  x86_64       zabbix:   1.8.3     sendmail:  8.13.8-2.el5    在配置zabbix的Email报警之前,需要将sendmail使用的域名进行相应的修改,系统默认为localhost.localdomain,其实不改也行,不过有些pop3服务器会过滤掉来自localhost.localdomain的邮件,导致邮件不能正常查收,所以,最好是改一下 hostname,确

Nagios监控之利用sendmail使用第三方SMTP服务发送邮件报警

使用Centos系统自带的sendmail服务作为客户端,使用第三方SMTP服务发送邮件报警. 此功能是在nagios服务正常安装运行的基础上实现的;因此要先安装好基本的nagios运行环境,这个可以参考本人相关的博文. 1.软件检测及安装 #rpm -q sendmail 不存在怎安装 #yum -y install sendmail 2.停止sendmail服务 这里不需要sendmail作为邮件服务端来运行,所以关闭sendmail服务. #service sendmail stop 3.

使用 phpMailer 基于(SMTP) 发送邮件

PHPMailer是一个用于发送电子邮件的PHP函数包.它提供的功能包括:在发送邮时指定多个收件人,抄送地址,暗送地址和回复地址.支持多种邮件编码包括:8bit,base64,binary和quoted-printable.支持SMTP验证.支持带附件的邮件和Html格式的邮件. 实现代码 : <?php include 'class.smtp.php'; include 'class.phpmailer.php'; $mail = new PHPMailer; $mail->isSMTP()

Zabbix利用msmtp+mutt发送邮件报警

Zabbix利用msmtp+mutt发送邮件报警Zabbix支持多种报警的方式,其中成本最低.最方便的就是邮件报警的方式了.但是因为它不支持邮件的用户认证,这种方式现在也非常少见,同时安全性也差,如果在本机建邮件服务器的话也容易被误入垃圾邮件. 现在我们使用163的邮箱或者自己公司内部的邮箱,利用msmtp+mutt完成邮件的报警.(当然也可以利用移动139的邮箱或者联通沃邮箱,可以达到短信通知) 1.msmtp的安装 wget http://jaist.dl.sourceforge.net/p

通过SSIS监控远程服务器Windows服务并发送邮件报警!

原文:通过SSIS监控远程服务器Windows服务并发送邮件报警! 利用SSIS不仅可以做BI项目的ETL,而且还可以做一些系统监控和维护工作,由于之前供应商写的Windows服务是读取ESB的消息进行处理,且通过OA流程与访客系统进行了集成,无论是ESB出现状况,还是Windows服务出现状况,都会对访问系统造成严重影响,导致内部员工无法进行接待外部人员,因此整体对ESB进行优化,在本人博客的前一篇已介绍了<通过SSIS监控远程服务器磁盘空间并发送邮件报警!>.本文实现的方法思路与此相同,仅

爬虫数据存储——安装docker和ElasticSearch(基于Centos7)

爬虫数据存储--安装docker和ElasticSearch(基于Centos7) 先决条件 操作系统要求 要安装Docker Engine-Community,您需要一个CentOS 7的维护版本.不支持或未测试存档版本. 该centos-extras库必须启用.默认情况下,此存储库是启用的,但是如果已禁用它,则需要 重新启用它. overlay2建议使用存储驱动程序. 卸载旧版本 较旧的Docker版本称为docker或docker-engine.如果已安装这些程序,请卸载它们以及相关的依赖

基于ELK 7.50搭建elastalert 监控报警和权限控制

ELK+监控报警全步骤 需求: 公司要求对出在windows服务器上的日志进行日志分析并根据关键字进行报警,并配置kibana权限控制.下面为详细步骤 环境: centos 7.6 elk版本7.50 (因为7.50版本自带xpack功能,可以满足kibana角色权限控制) 1. windows字符集改成utf8 #创建目录(有就不用创建) C:\WINDOWS\SHELLNEW #创建一个文本文档(txt) 复制到该目录: #命名为:UTF8.txt #文件 -> 另存为- #选择编码格式为:

Zabbix使用SMTP发送邮件报警及定制邮件报警内容

1.设置邮件报警的思路 (1)设置触发器(Trigger)-->触发后需要执行的动作(Action) 触发器使用逻辑表达式来评估通过 item 获取到得数据是处于哪种状态.在触发器表达式中我们可以定义哪些值范围是合理,哪些是不合理的,如果出现不合理的值,触发器会把状态改为PROBLEM.以监控linux-node2的http端口服务为例: 而后,触发器触发会执行响应的动作.这里可以进行配置Action的相关信息,包含报警信息内容,条件,操作.如图当触发器的值变成PROBLEM会执行相应的Oper