ELKF日志学习(十四)Kibana基于Sentinl实现钉钉告警

最新推荐文章于 2024-05-16 04:34:50 发布
原创 最新推荐文章于 2024-05-16 04:34:50 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk #kibana

博客介绍了ELK相关配置,建议先学习其使用和语法。给出代码仓库,配置流程分输入、条件、行为、其它四部分。输入指定日志等筛选条件,条件根据统计结果筛选,行为部分有诸多注意点,所有操作依赖官方文档。

前言

最好先学习一下 sentinl 的使用,以及 Elasticsearch 的语法。
在这里插入图片描述

代码仓库

talk-lucky/elkf-study

配置流程

如果不熟悉的话,建议先使用 Wizard 来配置一些东西,再转换成 Advanced

一般分四部分,分别是:输入条件行为其它

输入

这个一般是指定 index,配置一些筛选条件,比如(这是 Advanced 的示例):

{
    "search":{
        "request":{
            "index":[
                "crm-*"
            ],
            "body":{
                "size":0,
                "query":{
                    "bool":{
                        "must":[
                            {
                                "match":{
                                    "source":"/opt/logs/crm/crm.log"
                                }
                            },
                            {
                                "match_phrase":{
                                    "message":"Query Failed"
                                }
                            }
                        ],
                        "filter":[
                            {
                                "range":{
                                    "@timestamp":{
                                        "gte":"now-15m/m",
                                        "lte":"now/m",
                                        "format":"epoch_millis"
                                    }
                                }
                            }
                        ]
                    }
                }
            }
        }
    }
}

这里指定了 index crm-*,日志来源 /opt/logs/crm/crm.log,错误信息 Query Failed,匹配范围 -15m

条件

这里的条件是根据 输入 统计之后的结果进行的筛选,比如:

{
    "script":{
        "script":"payload.hits.total > 0"
    }
}

这里的意思是只要匹配到大于 0 的数量,就告警。

行为

行为是非常有意思的,这个建议还是先 WizardAdvanced

比如(钉钉告警 部分):

{
    "Webhook_crm_query":{
        "name":"Webhook",
        "throttle_period":"1s",
        "webhook":{
            "priority":"high",
            "stateless":false,
            "method":"POST",
            "host":"oapi.dingtalk.com",
            "port":"443",
            "path":"/robot/send?access_token={你的TOKEN}",
            "body":"{ \"msgtype\": \"text\", \"text\": { \"content\": \"{你的标识} 有MySQL执行错误\" } }",
            "params":{
                "watcher":"{{watcher.title}}",
                "payload_count":"{{payload.hits.total}}"
            },
            "headers":{
                "Content-Type":"application/json"
            },
            "auth":"",
            "message":"",
            "use_https":true
        }
    }
}

这里的东西比较多,需要注意的点有几个(加粗的要着重看):

  • throttle_period 是限流的,这里的配置是 1s 内执行触发一次
  • hostportpathmethodheadersbody 这些都是和请求相关的
  • {你的TOKEN} 一定要对
  • {你的标识} 一定要和机器人的定义一致

其它

  • title 标题
  • trigger 指定多长时间执行一次

Demo

{
    "actions":{
        "Webhook_crm_query":{
            "name":"Webhook",
            "throttle_period":"1s",
            "webhook":{
                "priority":"high",
                "stateless":false,
                "method":"POST",
                "host":"oapi.dingtalk.com",
                "port":"443",
                "path":"/robot/send?access_token={你的TOKEN}",
                "body":"{ \"msgtype\": \"text\", \"text\": { \"content\": \"{你的标识} 有MySQL执行错误\" } }",
                "params":{
                    "watcher":"{{watcher.title}}",
                    "payload_count":"{{payload.hits.total}}"
                },
                "headers":{
                    "Content-Type":"application/json"
                },
                "auth":"",
                "message":"",
                "use_https":true
            }
        }
    },
    "input":{
        "search":{
            "request":{
                "index":[
                    "crm-*"
                ],
                "body":{
                    "size":0,
                    "query":{
                        "bool":{
                            "must":[
                                {
                                    "match":{
                                        "source":"/opt/logs/crm/crm.log"
                                    }
                                },
                                {
                                    "match_phrase":{
                                        "message":"Query Failed"
                                    }
                                }
                            ],
                            "filter":[
                                {
                                    "range":{
                                        "@timestamp":{
                                            "gte":"now-15m/m",
                                            "lte":"now/m",
                                            "format":"epoch_millis"
                                        }
                                    }
                                }
                            ]
                        }
                    }
                }
            }
        }
    },
    "condition":{
        "script":{
            "script":"payload.hits.total > 0"
        }
    },
    "trigger":{
        "schedule":{
            "later":"every 2 minutes"
        }
    },
    "disable":false,
    "report":false,
    "title":"crm-mysql-error",
    "save_payload":true,
    "spy":false,
    "impersonate":false
}

最后

所有的操作都依赖原官方文档,这个是需要好好看的。

Kibana 自定义索引连接器告警
lmj3732018的博客
01-05 1万+
jar包下载后用上面修改的yml配置文件覆盖jar包中的application.yml的内容然后启动服务。到这一步,告警数据就可以正常发送到es中了,接下来需要从es中取出数据并发送邮件。这里采用java服务自定义从es中取数据并发送邮件的功能。
Kibana 可视化与告警实战
最新发布
全糖少冰我吃不了苦
09-14 106
Kibana 提供可视化与告警功能,是 ELK 平台的重要组成结合 Index Pattern 和聚合,可实现丰富的数据分析告警功能帮助快速发现异常,提高运维效率下一篇将介绍 日志安全与访问控制实战,保障 ELK 平台安全可靠。
Kibana使用Watcher监控服务日志并发送飞书报警(Markdown)
跟心爱的人一起浪迹天涯
11-09 3166
Kibana Watcher 是 Elasticsearch 的监控和告警工具,它允许你设置和管理告警规则以监控 Elasticsearch 数据和集群的状态。它提供了一种强大的方式来实时监控 Elasticsearch 数据、集群性能、日志和事件,以及其他关键指标。Create threshold alert: 一般用于简单的指标监控, 及Index数量统计。Create advanced watch: 高级预警, 用于创建更复杂和灵活的监控规则。
ELK系列-如何自动化配置报警邮件通知
leepan1990的博客
03-26 4586
文章目录前言一、使用管理工具Kibana: Elasticsearch watcher1.1.编辑/etc/elasticsearch/elasticsearch.yml,在最后添加邮件发送者的相关设置。1.2.在Kibana创建一个定制watch。(或者直接使用curl命令添加到watch)二、在Elasticsearch中设置cron job查询2.1.创建一个脚本alert.py,检查最近10分钟内是否遇到503错误。是则发送告警邮件,并在邮件正文中包含部分503错误信息2.2.设置cron job三
kibana+sentinl 6.2.4实现钉钉邮件告警
caiqianxian4135的博客
07-12 1819
一.ELK安装1.软件架构:filebeat----elasticsearch----kibana+sentinel---(邮件和钉钉)2.软件下载地址:https://www.elastic.co/cn/downloads/past-releases# (本教程使用的为6.2.4)3.elasticsearch安装[root@VM_0_7_centos ~]# egrep -v "^$|^...
Kibana6.X利用自带的webhook实现钉钉机器人发送报警信息
u014460433的博客
05-14 3713
踩坑 本人用的6.7版本ElasticSearch和Kibana,想实现监控钉钉机器人报警的功能,网上基本全部文章都是采用安装sentinl,无奈的是sentinl目前支持到6.6.1, 高版本的ELK安装都是报版本不兼容的错误。 经过多番尝试后决定自己研究,自己研究一下kibana的watch机制。 尝试 首先看一下watch的例子。 发现"logging"组件,去kibana官网查看"logging"组件,意外发现了"webhook"组件,而"sentinl"也是用"..
Kibana插件sentinl实现邮件报警
qq_40907977的博客
02-26 4118
介绍 对日志的异常内容进行邮件报警,是因为在上周公司的线上业务多次出现锁表,开发在优化sql的同时,我也在想是不是可以对日志的异常内容进行检测并实现邮件预警。 使用插件sentinlsentinl原名KaaE,sentinl这个插件完全可以满足我们的实际需求,接下来我们开始进行安装这个插件。 首先得知道我们的kibana的版本,因为我们安装的插件需要与我们的kibana版本一致。历史版本位置:h...
ELKF日志学习(十一)Logstash实现钉钉告警(莫当真)
IMJCW的博客
01-08 710
前言 本来不想写这篇文章的,奈何有人崇尚这个,顺带介绍一下,扩展一下思路。 代码仓库 talk-lucky/elkf-study 弊端 比如:当 499(HTTP 状态码) 在半小时内出现了 50 次,需要实现告警。 这种情况就不能自定义了,只能说,出现 499 就告警,这个很傻。 麻烦一点的解决方案 就是统计后,写入某一个日志文件,然后再根据来源来分辨是否发送告警。 好像有点傻… 毕竟,都已经统计了,直接告警就行,还要写日志,再通过 Logstash 发送告警,有点冗余。 至于怎么统计,好像有个 KSQL
基于ELK的异常日志钉钉告警方案整理
龙门之桐的技术博客
08-21 2221
-
八、ELK安装Sentinl插件以及钉钉机器人告警
万物皆可学
05-18 1358
Sentinl插件下载 sentinl下载地址:点此跳转下载 注意sentinl版本要和elk版本一致,否则像下面一样安装不了 [root@localhost share]# /usr/share/kibana/bin/kibana-plugin install file:///usr/share/sentinl-v7.6.1.zip Attempting to transfer from file:///usr/share/sentinl-v6.8.4.zip Transferring 31316835
Kibana8.5破解白金版,配置webhook推送日志告警钉钉
supermanAjxs的博客
05-10 2641
ELK日志告警
kibana插件
11-13
kibana插件 作为大数据搜索的前台显示插件。
Linux-KibanaSentinl日志报警
孟孟的博客
03-30 2428
一、下载Sentinl插件 下载链接:https://github.com/sirensolutions/sentinl/releases/download/tag-6.6.0-0/sentinl-v6.6.0.zip PS:Sentinl版本和Kibana版本要一致 二、安装Sentinl插件 cd /usr/local/kibana/bin ./kibana-plugin ...
Kibana:Alerting - 警报介绍
热门推荐
Elastic 中国社区官方博客
07-06 1万+
在我之前的很多文章中,我都介绍了 Alerting。你可以在 “Elastic:菜鸟上手指南” 中的 “通知及警报” 一节找到。在今天的文章中,我将使用最新的 7.13 版本来展示如何使用 rules 来检测复制条件下的 alerts。 警报(alerting)允许你定义规则以检测不同 Kibana 应用程序中的复杂条件并在满足这些条件触发操作。 警报与可观察性、安全性、地图和机器学习集成,可以从管理 UI 集中管理,并提供一组内置连接器和规则(称为堆栈规则)供你使用。 重要提示:要确保你可以访
ES8生产实践——ELK监控与告警(Kibana)
qq_33816243的博客
08-17 7877
ELK的监控主要分为两方面,一方面是Filebeat、Logstash、Elasticsearch、Kibana自身的服务性能指标的采用与监控,另一方面是采集业务日志存入ES后,进行日志分析与告警监控。
docker-compose安装ELK7.12.0并启用x-pack及kibana设置日志报警
lihongbao80的专栏
12-03 2248
k8s的filebeat配置文件地址/home/k8s_filebeat ip(uat-192.168.180.37,prd-192.168.192.10) 现部署地址192.168.181.52:/home/stack_elk 前提: 1、数据来源于redis中的数据(filebeat推送到redis中) 2、centos7、Docker version 18.03.1-ce 目录结构: stack_elk/ ├── certs ├── create-certs.yml ├── data01 ├──
Kibana 启用告警功能
imonkeyi的博客
12-17 5675
要求: Elasticsearch 集群启用了最低级别的安全设置,也就是设置了用户名和密码 在 Kibana 的配置文件中,添加 xpack.encryptedSavedObjects.encryptionKey 设置,它的值为至少 32 为的字符,比如 xpack.encryptedSavedObjects.encryptionKey: 'fhjskloppd678ehkdfdlliverpoolfcr' ...
较详细的filebeat+es+kibana+sentinl日志采集+mail、钉钉报警
MJ的博客
10-31 4712
1.总体架构图 2.日志截图,filebeat需要采集json日志行。中文变量是为了可读性。JSON.toJsonstring(obj,true)进行pretty打印JSON 3.filebeat配置,多使用 ./filebeat -e -c filebeat.yml -d '*' 查看采集状况,filebeat自带一些常用模块如mysql慢查询,错误日志。进入fileb...
Kibana插件sentinl实现邮件报警_sentinl插件邮件告警
2401_84563987的博客
05-16 1431
echo “this is test” |mailx -v -s “Test” “收件邮箱”password: 密码。user: 发件邮箱。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值