linux下ELK搭建好之后配置sentinl插件,进行邮件告警
ELK的环境搭建好之后,如何利用收集到的数据进行数据告警呢?在破解ELK之后,它本身提供一个监视器功能,配置偏向编写脚本。有一个更加方便的插件sentiel。
一、下载并安装sentinl插件
https://github.com/sirensolutions/sentinl/releases/ 上下载对应版本
在对应目录下执行 kibana/bin/ kibana-plugin install file:///users/xxx/xxx/sentinl.6.4.2.zip(最好先下载在上传至服务器,避免网络中断的情况)
执行完之后,可以在kibana界面左侧看到 steninl功能菜单
二、配置邮件发送
在 kibana.yml中最下方配置
sentinl: settings: email: active: true user: abc@qq.com 【注:这里配置的邮箱账号在配置发送邮件方的时候需要用,如果与它不一致会发不出去】 password: xxxxx 【注:在qq邮箱处设置三方登录密码】 host: smtp.exmail.qq.com ssl: true port: 465 【注:linux系统如果是阿里云的会禁用默认的25端口,这里需要设置465】 timeout: 10000 report: active: false
- 点击Sentinl – watchers – new – watcher wizard【界面友好可】 或者watcher advanced【直接编写程序,更灵活方便适用】
这是我用watcher advanced 配置的一个简单的 每5分钟检查最近五分钟产生的异常信息的配置。
{
"actions": { "email_html_alarm_2bb619c8-0d33-4b42-bbaa-38dbf5ca040f": { "name": "5分钟内日志记录", "throttle_period": "1m", "email_html": { "stateless": false, "subject": "{ {watcher.title}}-最近的Exception信息", "priority": "high", "html": "哈喽,请认领自己的bug,抓紧处理哦!!!<br>{ {#payload.hits.hits}} \n<li style='color:red'><b>source:</b> { {_source.source}} </li><br><li><b>message</b>: { {_source.message}}</li><br><br>{ {/payload.hits.hits}} \n", "to": "xxx@qq.com", "from": "abc@qq.com" } } }, "input": { "search": { "request": { "index": [ "filebeat-6.4.2-*" ], "body": { "query": { "bool": { "must": [ { "range": { "@timestamp": { "gte": "now-5m/m", "lte": "now/m", "format": "epoch_millis" } } } ], "filter": [ { "multi_match": { "type": "best_fields", "query": "exception", "lenient": true } } ] } }, "size": 5, "aggs": { "dateAgg": { "date_histogram": { "field": "@timestamp", "time_zone": "Europe/Amsterdam", "interval": "1m", "min_doc_count": 1 } } } } } } }, "condition": { "script": { "script": "payload.aggregations.dateAgg.buckets.some(b => b.doc_count >= 0)" } }, "trigger": { "schedule": { "later": "every 5 minutes" } }, "disable": false, "report": false, "title": "测试环境service2+uic日志错误提醒", "save_payload": false, "spy": false, "impersonate": false } } }
3.配置好之后可以在 Watchers中看到
第一个按钮可以进行测试,即时发送
第二个按钮可以设置开启定时按照Interval中的时间进行定时搜索发送
注如果要用上面的配置,需要修改对应的索引名称,搜索条件等。确保自己的索引有效且能正常搜索数据。
以下是收到的邮件
转载于//www.cnblogs.com/lvcisco/p/11441044.html
还没有评论,来说两句吧...