ELK--报错到一定频率 报警发邮件

input {
   file {
    type => "java-err"
    path => "/fsmeeting/tomcat-service/logs/catalina.out"
    tags => "java-err"
    codec => multiline {
       pattern => "^%{TIMESTAMP_ISO8601}"
       negate => true
       what => "previous"
    }
   }
}

filter {
   if [type] == "java-err" {
    grok {
       match => { "message" => "%{TIMESTAMP_ISO8601:date} \[(?<thread_name>.+?)\]-\[(?<log_level>\w+)\]\s*(?<content>.*)"}
    }
    mutate {
       remove_field => "content"
    }
    if [log_level] == "ERROR" {
           throttle {
                after_count => 2
                key => "%{content}"
                add_tag => "throttled"
           }
    }
    if [log_level] != "ERROR" {
          drop {}
    }
   }
}

output {
   elasticsearch {
    host => "192.168.5.231"
    protocol => "http"
    index => "java-err-%{+YYYY.MM.dd}"
   }
   if "throttled" not in [tags] and [type] == "java-err" and [log_level] == "ERROR" 
   email {
        body => "%{message}"
        from => "xxxxxxx"
        contenttype => "text/plain; charset=UTF-8"
        options => [
                "smtpIporHost", "smtp.sina.com",
                "userName", "xxxxxxx",
                "password", "*********",
                "authenticationType", "login"
        ]
        subject => "服务器%{host} %{type}日志异常"
        to => "xxxxxxxx"
   }
   }
}
时间: 2024-07-30 10:23:21

ELK--报错到一定频率 报警发邮件的相关文章

zabbix报警发邮件的频率和trigger检测频率一样

刚才的zabbix报警发邮件的频率和trigger检测频率一样的问题解决了,因为我在Multiple PROBLEM events generation 这个选项打了勾 多次同样trigger就多次报警,所以一直在step1  谢谢各位,谢谢@上海丶kent 为了这个问题,弄了半天. 添加trigger的时候 Multiple PROBLEM events generation这个选项不要勾选,不然每个同样的trigger都会触发一个actions,这样事件就不会升级,永远执行step1. 而且

ELK报错及解决方案

ELK报错及解决方案 1.jdk版本问题 报错如下: future versions of Elasticsearch will require Java 11; your Java version from [/usr/local/jdk9/jdk-9.0.4] does not meet this requirement Java HotSpot(TM) 64-Bit Server VM warning: Option UseConcMarkSweepGC was deprecated in

elk报错

1.elasticsearch启动失败如下: [[email protected] home]# /home/elasticsearch-6.3.0/bin/elasticsearch [2019-02-11T07:15:14,874][WARN ][o.e.b.ElasticsearchUncaughtExceptionHandler] [] uncaught exception in thread [main] org.elasticsearch.bootstrap.StartupExcep

基于ELK 7.50搭建elastalert 监控报警和权限控制

ELK+监控报警全步骤 需求: 公司要求对出在windows服务器上的日志进行日志分析并根据关键字进行报警,并配置kibana权限控制.下面为详细步骤 环境: centos 7.6 elk版本7.50 (因为7.50版本自带xpack功能,可以满足kibana角色权限控制) 1. windows字符集改成utf8 #创建目录(有就不用创建) C:\WINDOWS\SHELLNEW #创建一个文本文档(txt) 复制到该目录: #命名为:UTF8.txt #文件 -> 另存为- #选择编码格式为:

dubbo 报错问题记录:may be version or group mismatch

凌晨时候钉钉告警群里一直大量报错: 接口异常报警:项目:mp-rest,域名:inside-mp.01zhuanche.com,IP:10.30.3.60,接口地址:/api/v3/driverLogin/driverType,请求方式:POST,错误信息:com.alibaba.dubbo.rpc.RpcException: Failed to invoke the method findByPhone in the service com.zhuanche.driver.service.Dr

ELK之kibana的web报错[request] Data too large, data for [&lt;agg [2]&gt;] would be larger than limit of

ELK架构:elasticsearch+kibana+filebeat 版本信息: elasticsearch 5.2.1 kibana 5.2.1 filebeat 6.0.0 (预览版) 今天在进行ELK测试的时候,在kibana上面discover无论那个index,发现均会报错: [request] Data too large, data for [<agg [2]>] would be larger than limit of 并且在elasticsearch的日志可以看到: or

elk中elasticsearch安装启动报错

elasticsearch安装之后.启动报错.elasticsearch版本为5.4.1 下载安装: wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.4.1.tar.gz tar zxf elasticsearch-5.4.1.tar.gz mv elasticsearch-5.4.1 /usr/local/elasticsearch cd /usr/local/elasticsearch/ ./

php 发邮件报错unable to get local issuer certificate

发邮件的时候报错,邮件无法发送:SSL certificate: unable to get local issuer certificate 在Windows下,curl找不到CA证书去验证对方的证书! 方法一:(极度不推荐,不安全) curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); 方法二: It's easy to fix (php 5.3.7 or higher) - Download a list file with an up-to-d

nuget包管理nuget服务器发布包时出现请求报错 406 (Not Acceptable)

在window服务器上部署nuget服务器时,发布包时出现请求报错 406 (Not Acceptable) 验证用户名.密码正确的情况下,还是出现上面错误.后面跟踪服务器日志,发现window\temp文件超过65535,删除过期临时文件后即可 原文地址:https://www.cnblogs.com/94cool/p/10749129.html