http://blog.51cto.com/kexiaoke/1977481
什么是?
ElastAlert是一个简单的框架,用于从弹性搜索中的数据中提取异常,尖峰或其他感兴趣的模式。在Yelp,我们使用Elasticsearch,Logstash和Kibana来管理我们越来越多的数据和日志。 Kibana非常适合可视化和查询数据,但是我们很快就意识到,它需要一个配套工具来提醒我们的数据不一致。 在这个需求之外,ElastAlert被创建。如果您的数据正在几乎实时写入Elasticsearch,并希望在数据匹配某些模式时收到警报,那么ElastAlert是您一个很好的工具。
安装elastalert
克隆代码仓库到本地
git clone https://github.com/Yelp/elastalert.git
进入到本地代码目录,因为依赖setuptools所以先安装setuptools
pip install "setuptools>=11.3"
然后安装几个依赖 yum -y install glib gcc python-devel libffi-devel openssl-devel
然后开始安装 elastalert
python setup.py install
最后根据ES版本开始安装elasticsearch
pip install "elasticsearch>=5.0.0"
安装之后会自带三个命令
-
elastalert-create-index:ElastAlert会把执行记录存放到一个ES 索引中,该命令就是用来 创建这个索引的,默认情况下,索引名叫elastalert_status。其中有4个 _type,都有 自己的@timestamp字段,所以同样也可以用kibana,来查看这个索引的日志记录情况。
-
elastalert-rule-from-kibana:从Kibana3已保存的仪表盘中读取Filtering设置,帮助生成config.yaml里的配置。不过注意,它只会读取filtering,不包括queries。
-
elastalert-test-rule:测试自定义配置中的rule设置。
Elastalert支持的告警类型:
-
Email
-
JIRA
-
OpsGenie
-
Commands
-
HipChat
-
MS Teams
-
Slack
-
Telegram
-
AWS SNS
-
VictorOps
-
PagerDuty
-
Exotel
-
Twilio
-
Gitter
配置elastalert [config.yaml]
接下来,打开config.yaml.example。在其中,您会找到几个配置选项。可以在不更改任何这些设置的情况下运行ElastAlert。
rules_folder 是ElastAlert将加载规则配置文件的地方。 它将尝试加载文件夹中的每个.yaml文件。 没有任何有效的规则,ElastAlert将不会启动。 ElastAlert还会加载新的规则,停止运行缺少的规则,并在该文件夹中的文件更改时重新启动修改的规则。 对于本教程,我们将使用example_rules文件夹。
run_every ElastAlert将如何查询Elasticsearch。
buffer_time 是查询窗口的大小,从每个查询运行的时间向后延伸。 对于将use_count_query或use_terms_query设置为true的规则,此值将被忽略。
es_host 是弹性搜索集群的地址,ElastAlert将存储有关其状态,查询运行,警报和错误的数据。 每个规则也可以使用不同的弹性搜索主机进行查询。
es_port 是对应于es_host的端口。
use_ssl: Optional; whether or not to connect to es_host using TLS; set to True or False.
verify_certs: Optional; whether or not to verify TLS certificates; set to True or False. The default is True
client_cert: Optional; path to a PEM certificate to use as the client certificate
client_key: Optional; path to a private key file to use as the client key
ca_certs: Optional; path to a CA cert bundle to use to verify SSL connections
es_username: Optional; basic-auth username for connecting to es_host.
es_password: Optional; basic-auth password for connecting to es_host.
es_url_prefix: Optional; URL prefix for the Elasticsearch endpoint.
es_send_get_body_as: Optional; Method for querying Elasticsearch - GET, POST or source. The default is GET
writeback_index is the name of the index in which ElastAlert will store data. We will create this index later.
alert_time_limit is the retry window for failed alerts.
Save the file as config.yaml
创建elastalert_status索引
首先,我们需要为ElastAlert创建一个索引,通过运行elastalert-create-index并按照以下说明进行写入:
elastalert-create-index New index name (Default elastalert_status) Name of existing index to copy (Default None) New index elastalert_status created Done!
到此,elastalert已经安装完成,具体配置规则,测试规则,运行elastalert将会再写一篇文章。
接第一篇,之前已经创建好规则了,这篇主要讲如何把安装的elastalert用起来。
http://kexiaoke.blog.51cto.com/5530023/1977481
创建规则
每个规则定义要执行的查询,触发匹配的参数,以及每个匹配的触发警报列表。 我们将使用example_rules / example_frequency.yaml作为模板:
es_host和es_port应该指向我们要查询的Elasticsearch集群。
name是此规则的唯一名称。如果两个规则共享相同的名称,ElastAlert将不会启动。
类型:每个规则具有不同的类型,可能会采用不同的参数。频率类型表示“在时间范围内超过num_event发生时的警报”。有关其他类型的信息,请参阅规则类型。
index:要查询的索引的名称。如果您使用Logstash,默认情况下索引将匹配“logstash- *”。
num_events:此参数特定于频率类型,是触发警报时的阈值。
时间段是必须发生num_event的时间段。
过滤器是用于过滤结果的Elasticsearch过滤器列表。这里我们有一个单字段过滤器用于some_field匹配some_value的文档。有关详细信息,请参阅编写过滤规则。如果不需要过滤器,则应将其指定为空列表:filter:[]
警报是每个匹配上运行的警报的列表。有关警报类型的更多信息,请参阅警报。电子邮件警报需要SMTP服务器才能发送邮件。默认情况下,它将尝试使用localhost。这可以通过smtp_host选项更改。
电子邮件是要发送警报的地址列表。
还有许多其他可选配置选项,请参阅常见配置选项。
所有文档必须具有时间戳字段。 ElastAlert将默认使用@timestamp,但可以使用timestamp_field选项更改。默认情况下,ElastAlert使用ISO8601时间戳,但是通过设置timestamp_type支持unix times-tamps。
就这样,这个规则是指“在4小时内有50个以上的some_field == some_value的文件时,发送电子邮件至405942850@qq.com。
测试规则
运行ElastAlert
以上命令代表启动后每隔1分钟(这个值是在config.yaml的
run_every:
minutes: 1
指定的)查询一下最近4个小时内有没有50个以上的some_field == some_value的状态,如果有,则发出报警。千万注意是自启动以来!!!
在elasticalert/ruletypes.py中定义的各种RuleType类构成了ElastAlert背后的主要逻辑。 在每个规则的内存中保存一个实例,通过使用给定的过滤器查询Elasticsearch返回的所有数据,并基于该数据生成匹配。
要选择规则类型,请将type选项设置为规则配置文件中规则类型的名称:
type: <rule type>
Any
any:任何规则将匹配一切。 查询返回的每个命中将生成一个警报。
Change --- 改变
有关使用此规则类型的示例配置文件,请查看example_rules / example_change.yaml。
change:此规则将监视某个字段,并在该字段更改时进行匹配。 该领域必须改变具有相同query_key的最后一个事件。
该规则需要三个附加选项:
compare_key:要监视更改的字段的名称。 由于这是字符串列表,我们可以有多个键。 如果任何一个字段发生变化,将触发警报。
ignore_null:如果为true,则没有compare_key字段的事件不会被计数为已更改。 目前这个检查compare_key中的所有字段
query_key:此规则应用于每个query_key的基础上。 该字段必须出现在所有检查的事件中。
还有一个可选字段:
timeframe:更改之间的最长时间。 在这段时间之后,ElastAlert会忘记旧的价值compare_key字段。
Frequency --- 频率
对于使用此规则类型的示例配置文件,请查看example_rules / example_frequency.yaml。
frequency:当给定时间段内至少有一定数量的事件时,此规则匹配。 这可能
按每查询键计算。
此规则需要两个附加选项:
num_events:将触发警报的事件数量。 时间范围:num_events必须发生的时间。
timeframe:num_events必须发生的时间。
Spike
spike:在给定时间段内事件的体积比前一段时间大或小,这一规则匹配。它使用两个滑动窗口来比较事件的当前和参考频率。我们将这两个窗口称为“引用”和“当前”。
这个规则需要三个附加选项:
spike_height:事件的数量在过去的时间比之前的时间表,当将触发警报。
spike_type:“up”,“down”或“both”。“Up”指的是规则只会在事件的次数被spike_height乘以更高时匹配。“Down”指的是比当前数字高的spike_height。“都”将匹配。
timeframe:该规则将平均在这个时间段内发生的事件的比率。例如,小时:1表示“当前”窗口将从现在到一个小时之前,而“参考”窗口将从一个小时前到两个小时前。该规则将不处于活动状态,直到从第一个事件发生的时间至少为两个时间段。这是为了防止在确定基准率之前触发警报。这可以使用alert_on_new_data覆盖。
Flatline --- 扁平线
flatline:当事件的总数低于给定阈值一段时间时,此规则匹配。 此规则需要两个附加选项:
threshold:不触发警报的最小事件数量。
timeframe:必须包含小于阈值事件的时间段。
Cardinality --- 基数
cardinality:当某个时间范围内特定字段的唯一值总数高于或低于阈值时,此规则匹配。
这条规则要求:
timeframe:计算唯一值数量的时间段。
cardinality_field:用于计算基数的字段。
此规则需要以下两个选项之一:
max_cardinality:如果数据的基数大于这个数字,将会触发警报。 每个提高基数的新事件都会触发警报。
min_cardinality:如果数据的基数低于这个数字,将会触发警报。 在发送任何警报之前,必须从第一个事件开始已经过去了时间范围。 当一场比赛发生时,时间框架将被重置,并且必须在额外的警报之前再度过去。
可选的:
query_key:按此字段计算的组基数。 对于query_key字段的每个唯一值,基数将被分开计数。
Percentage Match ---百分比匹配
percentage_match:当计算窗口内的匹配桶中的文档百分比大于或小于阈值时,此规则匹配。 计算窗口默认为buffer_time。
这条规则要求:
match_bucket_filter:ES过滤DSL。 这为匹配桶定义了一个过滤器,它应该匹配主查询过滤器返回的文档的一个子集。
doc_type:指定要搜索的文档的_type。
此规则还需要以下两个选项中的至少一个:
min_percentage:如果匹配文件的百分比小于这个数字,就会触发警报。
max_percentage:如果匹配文档的百分比大于这个数字,将会触发警报。