ELK日志监控平台告警升级(邮件+钉钉)

最新推荐文章于 2025-07-01 14:22:16 发布
最新推荐文章于 2025-07-01 14:22:16 发布 · 1w 阅读 · 17
文章标签:

#elk

本文介绍了一次邮件告警系统故障排查过程,包括如何调整配置以解决告警通知无法送达的问题,并集成了钉钉机器人进行监控报警。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


前言

近期,邮件告警通知无法送达,导致部分错误信息开发人员没有及时收到,触发了手动电话通知机制(客户,你懂得)。这个锅我背,之前好好的,突然前段时间就不好使了(脚本什么的并没有动过)。快周末了,重新调整了一下告警通知,顺便加入钉钉机器人监控报警。

服务配置

服务器:192.168.1.180
访问地址:http://logs.52itstyle.com

相关软件

ELK(ElasticSearch、Logstash、Kibana)、Nginx、sendmail、钉钉

告警通知

邮件 + 钉钉通知

logstash 脚本:

input {
        redis {
                host => "192.168.1.180"
                port => 6379
                data_type => "list"
                key => "logstash-tomcat-error"
                type => "redis-input"
                password => "123456"
                db => 0
        }
}
output {
        elasticsearch {
               hosts => ["192.168.1.180:9200"]
        }
        exec {
            command  =>  "/home/logs/script/alarm.sh  %{type} %{message} %{path}"
        }
}
  • message:详细错误日志信息
  • type:项目名称标识
  • path:日志文件路径

告警脚本 alarm.sh:

#!/bin/sh
curl 'https://oapi.dingtalk.com/robot/send?access_token=*************' \
   -H 'Content-Type: application/json' \
   -d '
  {"msgtype": "text",
    "text": {
        "content":"'$1':错误预警,请登录日志平        "content":"'$1':错误预警,请登录日志平监控查看 http://logs.52itstyle.com"
监控查看 http://logs.52itstyle.com"
     }
  }'echo  $3 $1:$2 | mail -s  凌晨一点的bug,就知道养生  345849402@qq.com 10000@qq.com;
钉钉告警

钉钉监控

钉钉监控

注意事项
  • linux shell多条命令使用;分隔
  • linux shell中curl发送post请求json,数据里变量要用''括起来

  • 钉钉机器人,对于message信息处理不友好,空格以后的文本会被截取,暂且使用邮件通知

文章来源:原文链接

四、ELK之Watcher邮件告警
万物皆可学
05-01 2939
ELK之Watcher告警设置
基于ELK的异常日志钉钉告警方案整理
龙门之桐的技术博客
08-21 2194
-
ELK logstash邮件报警
weixin_34168880的博客
06-12 621
这个方法有一个问题就是我这边不能给我们公司的邮箱发邮件。还有就是我们有两个邮箱一个是腾讯企业邮箱,还有一个就是我们的集团邮箱 使用下面的这个方法是不能给我们的集团邮箱发邮件的。第二个问题就是这个方法给我们的腾讯企业邮箱发邮件的话,腾讯的企业邮箱会有一定的规则 当你一定时间发送太多邮件的话,这里就会拒收,服务器拒绝了。所以得用另外一种方法 input {    beats {      type =...
ELK 日志分析系统
kgc302的博客
07-01 1214
在数字化转型加速的今天,企业IT系统每天产生海量日志数据,涵盖应用运行状态、用户行为、安全事件等关键信息。然而,传统日志管理方式因分散存储、检索效率低、缺乏深度分析能力,已难以满足高效运维与业务洞察的需求。ELK(Elasticsearch + Logstash + Kibana)作为业界主流的开源日志分析解决方案,通过 Elasticsearch 的分布式搜索与分析能力、Logstash 的数据管道处理、Kibana 的可视化交互,构建了从日志采集、清洗、存储到实时分析的完整闭环。
ELK 日志采集监控报警系统搭建
刘李404not_found的博客
09-10 4089
文章目录一、系统选型1.1 Filebeat1.2 Logstash1.3 ElasticSearch1.4 Kibana二、软件版本三、服务器规划四、安装步骤4.1 ElasticSearch4.2 Logstash4.3 Filebeat4.4 Kibana五、接入测试5.1 Logstash配置5.2 Filebeat配置5.3 kibana配置六、日志报警 一、系统选型 Elastic 公司有一套免费开源的日志采集系统(ELK),所以我选择拿来即用。 日志流: 日志文件→FileBeat→Logst
ELK+zabbix+ding talk对日志实时监控报警
qq_55343342的博客
10-26 1743
Kibana:Kibana是一个数据分析和可视化平台,通常与Elasticsearch配合使用,用于对其中的数据进行搜索、分析,且以统计图标的形式展示。Elasticsearch:Elasticsearch是一个高度可扩展的全文搜索和分析引擎,能够对大容量的数据进行接近实时的存储、搜索和分析操作。、logstash与Kibana开源软件的集合,对外作为一个日志管理系统的开源方案。它可以进行日志搜索、分析与可视化展示。Logstash:Logstash是一个开源的用于收集、分析和存储日志的工具。
rsyslog+elk 网络设备日志收集及钉钉报警
机智的埃努
09-21 2443
目录 一.概要 二.实施 1.数据源 2.rsyslog 3.elasticsearch 4.logstash 5.kibana 三.日志展示 1.打开kibana页面 四·钉钉报警 1.elastalert 2.dingtalk 3.rule 4.报警脚本 5.报警测试 一.概要 二.实施 1.数据源 1.网络设备日志,可用模拟器如华为的ensp进行模......
5分钟集成日志监控告警——Sentry+钉钉
m0_62714732的博客
10-27 875
作为广大Java程序员中的一员,我们在做日常业务开发时候,多多少少都会在代码里加一些日志信息,便于后续测试、线上问题排查跟踪。另外,代码在运行期间多多少少都会报一些始料未及的错误异常,常见的有空指针异常、ClassNotFoundException、IllegalArgumentsException、数组下标越界等等。我们如何知道你所负责的业务当前有没有错误呢?它的健康状态是怎样的?如果明确知道有错误了,如何能看到错误日志迅速的定位问题呢? 今天就和大家来分享一下如何使用sentry来收集错误日志信息
开源日志分析平台ELK实战应用:日志及时响应告警操作手册
m0_57021623的博客
06-04 1002
为了在钉钉上接收基于特定关键词的日志告警,你可以利用 ELK 堆栈来收集和分析日志,然后使用 Kibana 的告警功能与钉钉的 Webhook 接口整合。下面是一个详细的步骤指导,包括如何设置 Logstash 以收集日志,如何配置 Elasticsearch 和 Kibana 来创建告警规则,以及如何设置钉钉机器人来接收告警
elk收集oracle日志告警,基于ELK实现日志告警
weixin_29416037的博客
04-09 981
我是一块砖,哪里需要哪里搬!随着项目数量越来越多,总是遇到服务出现问题后都是由客户先发现问题,再一层一层的反馈到开发人员,这样不仅用户体验不好,还会出现服务挂了很长时间后才被发现,日志已经被自动清除,无法进行bug查找。基于这种情况,我们组搭建起了elk,但是仅仅有elk还是不够的,如何在故障产生后,及时的通知到相关人员这也是非常重要的。本着开发量尽量少、功能尽量强大、对内存要求尽量低的原则,分析...
Elasticsearch告警组件Elastalert钉钉报警插件
08-24
Elasticsearch告警组件Elastalert是用于实时监控和警报的一个强大工具,它能够从Elasticsearch数据中检测到异常模式及时发出通知。Elastalert与Elasticsearch的结合使用,使得用户可以轻松地从海量日志数据中发现...
ELK安装及采集日志邮件报警(ElasticSearch,Logstash,Kibana)
暴躁程序员的博客
09-16 1032
ELK环境准备 配置:2核心2G内存 规划如下: ip地址: 192.168.59.130: jdk kibana elasticsearch 192.168.59.131: jdk logstash 1.关闭防火墙 systemctl stop firewalld setenforce 0 2.时间同步 yum -y install ntpdate ntpdate pool.ntp.org ELK相关包链接:https://pan.baidu.com/s/112s9cetAG0PuCjENr0hT4
CentOS7零基础部署ELK(7.2.0)集群步骤监控日志告警
08-30
本人完全从Linux零基础一步步摸索总结出来的部署步骤。 ELK大致工作流程:Filebeat → Redis → Logstash → Elasticsearch → Kibana,Elastalert定时查询Elasticsearch保存的数据,当数据符合设定的规则时触发告警,发送 短信、微信、邮件通知。 ELK相关软件的版本都是7.2.0,Redis是5.0.4版本,Elastalert是0.1.39(需安装Python2),CentOS7.3。
elk分析oracle预警,elk 邮件预警 - internetafei的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_39584405的博客
04-09 184
{"trigger": {"schedule": {"cron": "0/15 1 * * * ?"}},"input": {"search": {"request": {"search_type": "query_then_fetch","indices": ["heartbeat*"],"rest_total_hits_as_int": true,"body": {"size": 0,"que...
ELK钉钉&邮件告警通知
qq_40907977的博客
07-17 2213
介绍SENTINL SENTINL使用警报和报告功能扩展了Siren Investigate和Kibana,以使用标准查询,可编程验证器和多种可配置操作来监视,通知和报告数据系列的变化-将其视为免费的独立“观察者”,它还安排了“报告”功能(PNG / PDF快照)。 SENTINL还旨在简化Siren Investigate / Kibana中6.x通过其本机应用程序界面或使用Kibana中的本机观察程序工具创建和管理警报和报告的过程6.x+。 SENTINL应用安装 地址 :https://github.
ELK7.2 +ElastAlert邮件告警
zhangshng的博客
02-28 4106
搭建目的: 用ELK stack来做日志收集分析,Kibana强大而方便,跟踪分析统计样样俱全,然而,但是,却有一个问题。ELK自能通过手动查询日志,而不能发出邮件通知。而ElastAlert可以实现此功能。elastalert依照一定频率查询es,将查询结果对比告警阈值,超过阈值即进行告警告警方式包括但不局限于邮箱、jira等。虽然官方没有提供微信等告警方式,但是也有第三方版本可以使用。 ...
ELK】elastalert 日志告警
mnasd的博客
02-20 5890
1、环境 系统:centos7 elk 版本:7.6.2 1.1 ElastAlert 工做原理 周期性的查询Elastsearch而且将数据传递给规则类型,规则类型定义了须要查询哪些数据。php 当一个规则匹配触发,就会给到一个或者多个的告警,这些告警具体会根据规则的配置来选择告警途径,就是告警行为,好比邮件钉钉、tg、slack、企业微信等html ElastAlert 手册python 2、安装配置 elastalert Tips:Elastalert 0.2.0 以后使用 Pyth
ELK之elastalert告警
派大星的不眠博客
05-05 5479
Elastalert是Yelp公司基于python开发的ELK日志告警插件,Elastalert通过查询Elasticsearch中的记录与定于的告警规则进行对比,判断是否满足告警条件。发生匹配时,将为该告警触发一个或多个告警动作。告警规则由Elastalert的rules定义,每个规则定义一个查询。1.1 ElastAlert 工作原理周期性的查询Elastsearch且将数据传递给规则类型,规则类型定义了需要查询哪些数据。
ELK系列-如何自动化配置报警邮件通知
leepan1990的博客
03-26 4484
文章目录前言一、使用管理工具Kibana: Elasticsearch watcher1.1.编辑/etc/elasticsearch/elasticsearch.yml,在最后添加邮件发送者的相关设置。1.2.在Kibana创建一个定制watch。(或者直接使用curl命令添加到watch)二、在Elasticsearch中设置cron job查询2.1.创建一个脚本alert.py,检查最近10分钟内是否遇到503错误。是则发送告警邮件邮件正文中包含部分503错误信息2.2.设置cron job三
ELK加watcher去catch CLAP的KQL实现错误日志邮件发送提醒
最新发布
08-15
<think>我们使用Watcher来实现基于KQL的错误日志邮件提醒。Watcher是Elasticsearch的告警功能,可以定期执行查询,当满足条件时触发动作(如发送邮件)。 根据用户需求,我们需要: 1. 使用KQL(Kibana Query Language)来过滤ERROR级别的日志。参考引用[1]中的例子:`log_level:error and message:*timeout*`,我们可以构建类似的查询。 2. 配置Watcher,定期执行这个KQL查询,当有新的错误日志时发送邮件。 步骤: 一、确定KQL查询条件 假设我们的日志中包含字段`log_level`(记录日志级别)和`message`(日志消息)。我们想要监控所有ERROR级别的日志且可能根据项目需要添加额外的过滤条件(例如,特定的错误消息关键词)。这里我们以简单的ERROR级别为例: ``` log_level: "ERROR" ``` 二、创建Watcher 在Kibana中,进入“Stack Management” > “Watcher” > “Create advanced watch”。 1. 定义触发器(Trigger): 设置执行间隔,例如每分钟执行一次: ```json "trigger": { "schedule": { "interval": "1m" } } ``` 2. 定义输入(Input): 使用搜索输入,执行KQL查询。注意,我们需要查询最近一段时间内的日志(例如最近1分钟),以避免重复告警。 ```json "input": { "search": { "request": { "search_type": "query_then_fetch", "indices": ["your-log-index-*"], // 替换为你的日志索引模式 "body": { "size": 0, // 因为我们只需要计数,不需要具体文档 "query": { "bool": { "must": [ { "term": { "log_level.keyword": "ERROR" } }, // 使用term精确匹配,注意字段类型,如果是text类型可能需要用.keyword { "range": { "@timestamp": { "gte": "now-1m", // 查询最近1分钟 "lte": "now" } } } ] } } } } } } ``` 注意:上面的查询中,我们使用了`term`查询来匹配`log_level`字段。如果字段是文本类型且做了分词,那么可能需要使用`.keyword`子字段(假设你映射了keyword类型)。如果日志级别字段是字符串且是精确值,使用`.keyword`更合适。另外,我们只查询最近1分钟内的日志,避免重复告警。 3. 定义条件(Condition): 如果查询到的错误日志数量大于0,则触发动作。 ```json "condition": { "compare": { "ctx.payload.hits.total": { "gt": 0 } } } ``` 4. 定义动作(Actions): 发送邮件。需要先在Kibana中配置SMTP设置(在kibana.yml中配置,然后重启Kibana)。 ```json "actions": { "send_email": { "email": { "profile": "standard", "to": ["recipient@example.com"], // 收件人邮箱 "subject": "ELK告警:发现ERROR日志", "body": { "text": "在最近1分钟内,发现 {{ctx.payload.hits.total}} 条ERROR日志。请及时处理。\n\n详细信息可查看Kibana: http://your-kibana-url/app/discover" } } } } ``` 三、完整的Watcher JSON配置示例 将上述部分组合起来,得到完整的Watcher配置: ```json { "trigger": { "schedule": { "interval": "1m" } }, "input": { "search": { "request": { "search_type": "query_then_fetch", "indices": ["your-log-index-*"], "body": { "size": 0, "query": { "bool": { "must": [ { "term": { "log_level.keyword": "ERROR" } }, { "range": { "@timestamp": { "gte": "now-1m", "lte": "now" } } } ] } } } } } }, "condition": { "compare": { "ctx.payload.hits.total": { "gt": 0 } } }, "actions": { "send_email": { "email": { "profile": "standard", "to": ["recipient@example.com"], "subject": "ELK告警:发现ERROR日志", "body": { "text": "在最近1分钟内,发现 {{ctx.payload.hits.total}} 条ERROR日志。请及时处理。\n\n详细信息可查看Kibana: http://your-kibana-url/app/discover" } } } } } ``` 四、注意事项 1. **索引名称**:请将`your-log-index-*`替换为实际的索引模式,例如`error-*`(如果按照之前的多项目配置,可能是`error-projectA-*`等)。 2. **字段名称**:确保`log_level`字段在你的日志中存在,且类型正确。如果字段名称不同,请修改为实际的字段名(如`level`、`severity`等)。 3. **时间范围**:`now-1m`和`interval`保持一致,都是1分钟。如果调整了间隔,时间范围也要相应调整。 4. **邮件配置**:确保Kibana已经配置了SMTP服务器,否则邮件无法发送。配置示例(kibana.yml): ```yaml xpack.actions.email: transport: host: 'smtp.example.com' port: 587 secure: true auth: user: 'your-email@example.com' pass: 'your-password' ``` 5. **测试**:创建Watcher后,可以手动运行测试,或者生成一条ERROR日志来验证。 五、多项目扩展 如果多个项目共用ELK,我们可以在Watcher中按项目分组,为每个项目发送独立的告警。但是,Watcher本身不支持在一个Watch中为每个项目分别发送邮件(除非使用多个Watcher)。建议: - 为每个项目创建独立的Watcher(每个Watcher过滤特定项目的索引和日志)。 - 或者,在Watcher的查询条件中加入项目标识,然后通过脚本遍历不同项目,但这种方法复杂,不推荐。 更简单的方式是为每个项目单独创建一个Watcher,例如: - 项目A:索引为`error-projectA-*`,Watcher的查询条件中指定索引,设置收件人为项目A的团队。 - 项目B:索引为`error-projectB-*`,类似配置。 这样每个项目的告警都是独立的。 六、验证 1. 模拟产生ERROR日志2. 等待1分钟,检查邮件是否收到。 七、常见问题 1. 收不到邮件:检查Kibana的SMTP配置、网络连接、邮箱是否被拦截等。 2. 告警不触发:检查索引名称、字段名称是否正确,时间范围是否覆盖了日志时间,以及查询条件是否能匹配到日志。 3. 重复告警:考虑在邮件中加入日志条目的ID或者时间戳,避免重复发送相同错误的告警(Watcher本身没有状态记录,所以每次满足条件都会触发)。 如果需要更复杂的告警(例如,相同错误10分钟内不重复告警),可能需要使用ElastAlert等第三方工具。 以上是基于Watcher实现ERROR日志邮件告警的完整方案。</think>### 使用ELK和Watcher实现基于KQL的错误日志邮件提醒 以下是配置ELK和Watcher实现基于KQL查询的错误日志邮件提醒的完整步骤: --- #### 一、配置前提 1. **Elasticsearch版本**:7.x+(需启用X-Pack) 2. **日志字段要求**: - 包含日志级别字段(如`log_level`) - 包含项目标识字段(如`project`) - 包含时间戳字段`@timestamp` --- #### 二、创建Watcher配置 在Kibana中创建高级监视器(`Management > Watcher > Create advanced watch`): ```json { "trigger": { "schedule": { "interval": "5m" // 每5分钟执行一次 } }, "input": { "search": { "request": { "search_type": "query_then_fetch", "indices": ["error-logs-*"], // 错误日志索引模式 "body": { "size": 0, "query": { "bool": { "must": [ { "kql": "log_level:ERROR" // 使用KQL过滤ERROR日志 }, { "range": { "@timestamp": { "gte": "now-5m", // 时间范围与执行间隔一致 "lte": "now" } } } ] } }, "aggs": { "projects": { "terms": { "field": "project.keyword", // 按项目分组 "size": 10 } } } } } } }, "condition": { "compare": { "ctx.payload.aggregations.projects.buckets": { "not_empty": {} // 有错误日志时触发 } } }, "actions": { "send_email": { "email": { "profile": "standard", "to": ["team@example.com"], "subject": "ELK告警: {{ctx.payload.aggregations.projects.buckets.0.key}}项目发现ERROR日志", "body": { "text": """ 项目名称: {{ctx.payload.aggregations.projects.buckets.0.key}} 错误数量: {{ctx.payload.aggregations.projects.buckets.0.doc_count}} 时间范围: {{ctx.trigger.scheduled_time}} - {{ctx.execution_time}} 最近错误示例: {{#ctx.payload.aggregations.projects.buckets}} - {{key}}: {{doc_count}}条错误 {{/ctx.payload.aggregations.projects.buckets}} 查看日志: http://kibana.example.com/app/discover?index=error-logs-*&q=log_level:ERROR """ } } } } } ``` > **关键配置说明**: > 1. `kql: "log_level:ERROR"`:使用KQL语法过滤ERROR级别日志[^1] > 2. `terms.field: "project.keyword"`:按项目分组统计 > 3. `interval: "5m"` 与 `range: now-5m`:时间窗口匹配 > 4. 邮件模板使用Mustache语法动态填充项目信息 --- #### 三、Logstash预处理配置 确保日志包含必要字段(在logstash.conf中添加): ```ruby filter { # 提取日志级别 grok { match => { "message" => "\[%{LOGLEVEL:log_level}\]" } } # 添加项目标识 if [log][file][path] =~ "/var/log/projectA" { mutate { add_field => { "project" => "projectA" } } } # 只保留ERROR日志 if [log_level] != "ERROR" { drop {} } } output { elasticsearch { hosts => ["es-server:9200"] index => "error-logs-%{+YYYY.MM.dd}" // 统一错误日志索引 } } ``` --- #### 四、SMTP配置(kibana.yml) 启用邮件发送功能: ```yaml xpack.actions.email: transport: host: 'smtp.example.com' port: 587 secure: true auth: user: 'alerts@example.com' pass: 'your-password' ``` --- #### 五、多项目优化方案 1. **动态项目告警**: ```json "actions": { "per_project_alert": { "foreach": "ctx.payload.aggregations.projects.buckets", "email": { "to": "{{ctx.payload.aggregations.projects.buckets.0.key}}_team@example.com", "subject": "项目{{ctx.payload.aggregations.projects.buckets.0.key}} ERROR告警" } } } ``` 2. **错误阈值设置**: ```json "condition": { "script": { "source": """ return ctx.payload.aggregations.projects.buckets .find(b -> b.doc_count > 5) != null """ } } ``` --- #### 六、验证与测试 1. **测试KQL查询**: ```json GET error-logs-*/_search { "query": { "kql": "log_level:ERROR and project:projectA" } } ``` 2. **手动触发Watcher**: ```bash POST _watcher/watch/error_log_alert/_execute ``` 3. **检查邮件队列**: ```json GET _watcher/stats?metric=queued_watches ``` --- ### 常见问题解决 1. **Watcher未触发** ⇒ 检查调度时间:`GET _watcher/watch/error_log_alert` ⇒ 验证权限:确保用户有`watcher_admin`角色[^4] 2. **KQL查询无效** ⇒ 使用`_validate/query`端点验证: ```json POST error-logs-*/_validate/query?explain { "query": { "kql": "log_level:ERROR" } } ``` 3. **邮件发送失败** ⇒ 测试SMTP连接: ```json POST _watcher/_execute { "action_modes": ..., "record_execution": true } ``` --- ### 相关问题 1. 如何为不同项目设置不同的错误阈值? 2. Watcher如何实现错误日志的滚动聚合(如1小时内相同错误只告警一次)? 3. 如何将ELK告警集成到Slack或钉钉?[^3] 4. 在Kibana中如何监控Watcher的执行状态? 5. 如何优化Watcher性能避免影响Elasticsearch集群?[^4] [^1]: KQL语法支持字段过滤和通配符匹配[^1] [^2]: Watcher配置需注意时间窗口与执行间隔的匹配[^2] [^3]: ELK告警可通过Webhook集成第三方系统[^3] [^4]: 生产环境需配置TLS加密和访问控制[^4]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值