efk-elastalert-alerta集中日志自动告警

最新推荐文章于 2025-04-27 15:10:34 发布
最新推荐文章于 2025-04-27 15:10:34 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wenwenxiong/article/details/106048313
版权

组成

1、efk: 日志收集框架

2、estalert: 是基于 Elasticsearch 的报警工具

3、elastalert-kibana-plugin : kibana中elastalert插件,可以实现在kibana界面上编辑elastalert的告警规则配置。

4、alerta: 告警集中收集平台,elastalert告警规则可以配置alerta为接收平台。之前npgstack中alerta作为监控指标信息告警接收平台,日志信息告警配置为同一个alerta作为告警接收平台,实现一个界面管理和观察多种维度的告警信息。

部署

上一篇文章使用docker-compose来部署efk日志收集框架,这样通过改造kibana容器镜像,把elastalert-kibana-plugin插件安装上。在yml文件增加服务elastalert。

改造kibana容器镜像,Dockerfile文件内容如下:

FROM kibana/kibana-oss:7.5.0
COPY ./elastalert-kibana-plugin-1.1.0-7.5.0.zip /tmp/
RUN ["kibana-plugin", "install", "file:///tmp/elastalert-kibana-plugin-1.1.0-7.5.0.zip"]

执行命令构建镜像

docker build -f Dockerfile -t kibana/kibana-oss:7.5.0-ea .

docker-compose.yml增加服务elastalert。

---
version: '2'
services:
  elastalert:
    image: bitsensor/elastalert:3.0.0-beta.1
    ports:
      - 3030:3030
      - 3333:3333
    volumes:
      - ./elastalert/config/elastalert.yaml:/opt/elastalert/config.yaml
      - ./elastalert/config/elastalert-test.yaml:/opt/elastalert/config-test.yaml
      - ./elastalert/config/config.json:/opt/elastalert-server/config/config.json
      - ./elastalert/rules:/opt/elastalert/rules
      - ./elastalert/rule_templates:/opt/elastalert/rule_templates
    network_mode: "bridge"
    links:
    - "elasticsearch"

  elasticsearch:
    image: elasticsearch/elasticsearch-oss:7.6.2
    environment:
      - 'node.name=HEYJUDE'
      - 'discovery.type=single-node'
      - 'bootstrap.memory_lock=true'
      - 'ES_JAVA_OPTS=-Xms256m -Xmx256m'
    ports:
      - 9200:9200
      - 9300:9300
    volumes:
      - ./elasticsearch:/usr/share/elasticsearch/data
    network_mode: "bridge"
  
  kibana:
    image: kibana/kibana-oss:7.5.0-ea
    ports:
      - 5601:5601
    volumes:
      - ./kibana/config/kibana.yml:/usr/share/kibana/config/kibana.yml
    network_mode: "bridge"
    links:
    - "elasticsearch"
    - "elastalert"
  
  fluentd:
    image: fluent/fluentd:v1.4.2-2.0-es
    ports:
      - 24224:24224
      - 24224:24224/udp
    volumes:
      - ./fluentd/etc:/fluentd/etc
    network_mode: "bridge"
    links:
    - "elasticsearch"
  
networks:
  default:
    external:
      name: bridge

kibana服务增加配置项如下:

# cat kibana/config/kibana.yml 
#
# ** THIS IS AN AUTO-GENERATED FILE **
#

# Default Kibana configuration for docker target
server.name: kibana
server.host: "0"
elasticsearch.hosts: [ "http://elasticsearch:9200" ]
elastalert-kibana-plugin.serverHost: elastalert
elastalert-kibana-plugin.serverPort: 3030

alerta使用的是npgstack中的服务alerta。

elastalert测试告警规则

配置测试告警规则如下:

es_host: elasticsearch
es_port: 9200
name: test
type: frequency
index: fluent*
num_events: 5
timeframe:
    hours: 6
filter:
- term:
    log: "error"
alert:
  - alerta
alerta_api_url: "http://192.168.122.61:8889/api/alert"
alerta_api_key: "BU0SYnGHu9_1qEiWM12rXP7yMAZkFldWcupRIU7x"
alerta_text: "error in log"
alerta_value: "error"
alerta_event: "error_log"

告警规则表明,如果6小时内es中索引为fluent*的log字段出现error信息达到5次,则触发一个告警到alerta中。

告警类型:frequency

alerta显示界面配置:alerta_text,alerta_value,alerta_event。

其他的配置项容易理解。

在这里插入图片描述
在这里插入图片描述

在alerta界面看到的告警信息。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

devOps系列(八)efk+prometheus+grafana日志监控和告警
fly7632785的专栏
02-21 2113
es数据源-》grafana (监控数据表 触发告警条件 发送告警-》 alertmanager (配置路由到指定webhook) -》 prometheus-alert (根据不同模板组装数据)-》企业微信。
EFK+告警
CuiXiaoY的博客
11-30 385
今天的目标: 1:EFK平台的搭建 2:利用EFK平台收集nginx日志 3:EFK平台添加告警功能 环境:centos7 mini 配置:2核心2G内存 192.168.1.7 jdk,zk,kafka,filebeat,es 192.168.1.8 jdk,zk,kafka,filebeat,logstash 192.168.1.9 jdk,zk,kafka,filebeat,kibana 1 初始化环境 时间同步: yum -y install ntpdate ntpdate pool.ntp.org
(实战)搭建EFK+elastalert2进行钉钉告警推送
不积跬步无以至千里
10-25 2844
ElastAlert 2 是一个用于实时监控和警报 Elasticsearch 数据的开源工具,旨在帮助您检测和响应于 Elasticsearch 中的日志、指标或事件数据中发生的关键事件。ElastAlert 2ElastAlert 的改进版本,它通过 Python 编写,支持 Elasticsearch 5.0+ 和 Kibana 6.0+。灵活的规则引擎: ElastAlert 2 允许您定义自定义规则,以捕获感兴趣的事件或模式。
elastalert:实时监控与告警的强大工具
最新发布
gitblog_00239的博客
04-27 321
elastalert:实时监控与告警的强大工具 elastalert ElastAlert that exposes REST API's for manipulating rules and alerts 项目地址: https...
(简单易学)EFK+告警
ss12528的博客
10-08 1044
今天的目标: 1:EFK平台的搭建 2:利用EFK平台收集nginx日志 3:EFK平台添加告警功能 环境:centos7 mini 配置:2核心2G内存 192.168.1.7 jdk,zk,kafka,filebeat,es 192.168.1.8 jdk,zk,kafka,filebeat,logstash 192.168.1.9 jdk,zk,kafka,filebeat,kibana 1 初始化环境 时间同步: yum -y install ntpdate ntpdate pool.ntp.org
基于Elastic Service中Watcher在日志EFK系统中告警应用
zhonghua881016的博客
09-06 1149
日志告警,是基于EFK日志系统中的es(es版本是7.10.1) [watcher](https://www.elastic.co/guide/en/elasticsearch/reference/7.10/xpack-alerting.html)。wathcer 是es中支持的一种定时任务调度引擎,可以对现有的索引内容进行监控,告警支持告警记录、发送通知、通知第三方(webhook)
alerta 集中告警信息 -zabbix
weixin_33834628的博客
07-05 291
Docker安装Alerta https://hub.docker.com/D/alerta/alerta-web/ How to use this image To use this image run either amongoorpostgrescontainer first: $ docker run --name al...
elk或efk日志报警elastalert-docker安装-仅邮件
06-29
elk或efk日志报警elastalert-docker安装-仅邮件
elk或efk日志报警elastalert-docker安装
08-28
elk或efk日志报警elastalert-docker安装
日志EFK-监控报警elastalert (docker 部署)容器化
qq_40178286的博客
05-24 1323
日志EFK-监控报警elastalert (docker 部署)容器化
elk或efk日志报警elastalert-docker安装-邮件或钉钉
06-29
ELK 或 EFK 日志报警 Elastalert-Docker 安装 - 邮件或钉钉 ELK(Elasticsearch、Logstash、Kibana)或 EFK(Elasticsearch、Fluentd、Kibana)日志报警系统是目前非常流行的日志管理解决方案之一。Elastalert 是一...
Elasticsearch告警组件Elastalert钉钉报警插件
08-24
Elastalert离线安装时可以用到
efk/elk日志收集系统搭建和报警项目实战-7.13版本-课件
09-11
在本文档中,将详细介绍如何搭建efk/elk日志收集系统,并通过实战演练的方式展示如何实现日志监控和报警功能。本内容主要适用于运维人员以及对日志系统感兴趣的开发者,让读者能够掌握在7.13版本的环境下,如何搭建...
ElastAlert通过飞书机器人发送报警通知
浅抒流年的博客
08-08 2275
采用elastalert监控elasticsearch索引,匹配成功的日志消息通过飞书机器人推送到开发群
Elastalert 基于EFK环境的邮件报警
itxib的博客
06-09 306
1.安装elastalert 安装的python必须是2.7以上的版本 安装的路径 /usr/local/src 安装依赖 1 yum -yinstallwget openssl openssl-develgccgcc-c++  下载pytho的安装包 下载在/usr/local/src 1 wget https://www.python.org/ftp/python/3.6.2/Python-3.6.2.tgz ...
ES告警ElastAlert
完颜振江
04-24 3941
ES告警ElastAlert
Alerta: 监控告警系统,适用于各种环境
gitblog_00030的博客
03-18 820
Alerta: 监控告警系统,适用于各种环境 去发现同类优质开源项目:https://gitcode.com/ 是一个开源的、可扩展的监控告警系统,它可以处理来自不同源的事件,并将它们转换为统一的报警通知,帮助您实时了解系统的运行状态。 Alerta能用来做什么? Alerta可以与不同的监控工具集成,例如Nagios、Prometheus等,接收这些工具产生的报警事件,并将其转发给指定的目标(如...
elasticsearch分析nginx日志并配置告警
liaos666的博客
03-11 2392
背景 项目统一入口为nginx,为了直观的统计流量以及响应时间,故打算对nginx日志进行分析 思路 采用es ingest node预处理功能,利用pipeline对nginx进行字段拆解,设置模板对字段进行映射,理由kibana或者grafana对映射的字段进行分析 实践 es端 1、部署es,kibana(此处不介绍) 2、打开kibana并设置pipeline pipeline的调试过程 确定nginx的日志格式 log_format main '$remote_addr - $remote_u
Frostmourne - Elasticsearch源日志告警配置
网工格物的博客
03-12 1313
配置Frostmourne 接入Elasticsearch源进行日志匹配告警,并静默规则,告警消息发送到企业微信,告警信息使用Markdown。部署安装教程查看:moreG# 添加ES 数据源数据管理 > 数据源 > 新增类型选择 ES名称任意填写服务地址需要写ES地址+端口号,支持写多个ES地址方便集群接入,以逗号隔离。如 192.168.0.1:9200,192.168.0.2:9200版本选择你的ES对应版本。HTTPS、认证用户、密码。根据自己清空填写。
docker-compose部署efk 日志系统
03-12
<think>好的,我现在需要帮助用户找到使用docker-compose部署EFK日志系统的教程。用户提到了几个引用,我需要先仔细看看这些引用内容,看看是否有直接相关的步骤或配置。 首先,引用[1]提到在Dockerfile目录下运行docker build命令构建Fluentd镜像,然后运行docker-compose。引用[2]描述了线上应用通过logback发送日志到Fluentd的24224端口,并提到版本信息,比如Fluentd 1.3.2,Elasticsearch 6.5.4等。引用[3]说明EFK是一套解决方案,需要docker-compose,并提到了各个组件的作用。引用[4]则提供了Docker版本和CentOS系统信息,以及配置镜像加速的步骤。 用户的需求是寻找使用docker-compose部署EFK的教程。综合这些引用,我需要整理出一个清晰的步骤指南。首先,可能需要准备Docker环境,包括安装Docker和docker-compose,配置镜像加速(如引用4中的阿里镜像)。然后,编写docker-compose.yml文件,包含Elasticsearch、Fluentd和Kibana的服务配置。可能需要构建自定义的Fluentd镜像,如引用1中的docker build命令,因为Fluentd可能需要特定的插件,比如fluent-plugin-elasticsearch。引用2提到版本兼容性,所以需要注意各组件的版本匹配,例如Elasticsearch和Kibana都使用6.5.4版本,Fluentd的插件版本为4.1.1。此外,配置文件的路径和端口映射也是关键点,比如Fluentd监听24224端口,Kibana的5601端口需要暴露。 接下来,用户可能需要启动服务,验证日志收集是否正常,以及通过Kibana界面查看日志。另外,可能还需要配置应用程序的日志输出到Fluentd,如引用2中提到的SpringBoot应用使用logback发送日志24224端口。在整理步骤时,需要确保每一步都正确无误,并且考虑到可能的常见问题,比如端口冲突、权限问题或版本不兼容。 最后,生成相关问题,可能涉及性能优化、配置细节或故障排除。比如如何调整Elasticsearch的资源配置,如何扩展Fluentd以处理更多日志,或者如何排查日志未显示的问题。</think>### 分步指南:使用docker-compose部署EFK日志系统 以下是基于引用内容整理的部署步骤,确保版本兼容性与配置完整性: --- #### **1. 环境准备** - **安装Docker与docker-compose** 确保Docker版本≥18.06.1,docker-compose≥1.25.0[^4]。 ```bash # 安装Docker curl -fsSL https://get.docker.com | bash -s docker # 安装docker-compose sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose ``` - **配置镜像加速(可选但推荐)** 修改`/etc/docker/daemon.json`,添加阿里云镜像加速[^4]: ```json { "registry-mirrors": ["https://registry.docker-cn.com/"] } ``` 重启服务: ```bash sudo systemctl daemon-reload sudo systemctl restart docker ``` --- #### **2. 编写docker-compose.yml** 创建`docker-compose.yml`文件,内容如下(兼容版本参考[^2][^3]): ```yaml version: '3' services: elasticsearch: image: elasticsearch:6.5.4 container_name: elasticsearch environment: - "discovery.type=single-node" volumes: - es_data:/usr/share/elasticsearch/data ports: - "9200:9200" - "9300:9300" networks: - efk-net kibana: image: kibana:6.5.4 container_name: kibana ports: - "5601:5601" environment: - ELASTICSEARCH_HOSTS=http://elasticsearch:9200 depends_on: - elasticsearch networks: - efk-net fluentd: build: ./fluentd # 指向自定义Fluentd镜像的Dockerfile目录 container_name: fluentd ports: - "24224:24224" - "24224:24224/udp" volumes: - ./fluentd/conf:/fluentd/etc depends_on: - elasticsearch networks: - efk-net volumes: es_data: networks: efk-net: driver: bridge ``` --- #### **3. 配置Fluentd** - **创建Fluentd配置文件** 在`fluentd/conf/fluent.conf`中添加以下内容(适配Elasticsearch插件): ```xml <source> @type forward port 24224 bind 0.0.0.0 </source> <match *.**> @type elasticsearch host elasticsearch port 9200 index_name fluentd-%Y%m%d <buffer> @type file path /fluentd/log/buffer flush_interval 5s </buffer> </match> ``` - **构建自定义Fluentd镜像** 在`fluentd/Dockerfile`中指定插件版本: ```dockerfile FROM fluent/fluentd:v1.3.2-debian RUN gem install fluent-plugin-elasticsearch -v 4.1.1 COPY conf/ /fluentd/etc/ ``` 构建镜像: ```bash docker build -t fluentd_es:v1 ./fluentd ``` --- #### **4. 启动EFK服务** ```bash docker-compose up -d ``` --- #### **5. 验证部署** 1. **检查服务状态** - Elasticsearch: `http://服务器IP:9200` 应返回版本信息。 - Kibana: `http://服务器IP:5601` 可访问Web界面。 2. **发送测试日志** 通过`nc`命令模拟日志发送: ```bash echo '{"message":"test log"}' | nc localhost 24224 ``` 3. **在Kibana中查看日志** - 创建索引模式`fluentd-*`。 - 在`Discover`页查看日志数据。 --- #### **常见问题** - **版本兼容性**:Elasticsearch、Kibana、Fluentd插件需版本匹配(如6.x系列)。 - **存储权限**:若Elasticsearch启动失败,检查`es_data`目录权限(需`chmod 777 es_data`)。 - **网络配置**:确保所有服务在同一个Docker网络`efk-net`中。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值