elasticsearch - start - Alerta/Notificación usando Kibana3?
kibana start (5)
Hay una opción de email en logstash en la que al detectar un determinado patrón en el registro uno puede enviar un correo electrónico. Consulte los documentos para leer más: http://logstash.net/docs/1.4.1/outputs/email
Estoy usando logstash-1.4.1 , logstash-1.4.1 elasticsearch-1.1.1 y kibana-3.1.0 para analizar mis registros. Puedo ver y consultar mis registros.
Existe una necesidad en la que se necesita una alerta / notificación cuando ocurre un registro / evento en particular. Por ejemplo: cuando se produce un registro fallido de inicio de sesión una y otra vez, se requiere una alerta / notificación (ventana emergente, correo postal, etc.).
Actualmente, puedo consultar mi log como, por ejemplo, Falló el inicio de sesión, pero lo quiero siempre que aparece un mensaje de notificación / ventana emergente que aparece en mi consulta manual.
¿Se puede hacer esto usando los tres anteriores? ¿Cómo se puede lograr esto?
Hay un extenso hilo que discute esto como una adición a Kibana (aunque se están enfocando naturalmente en Kibana 4 por ahora).
Estado actual: No, todavía no está ni planeado hasta ahora. Pero hay algunas opciones que se mencionan:
https://github.com/Yelp/elastalert
y
Puedes monitorear elasticsearch usando ''Watcher'' (uno de sus productos).
Aquí está el enlace con la información del producto: https://www.elastic.co/products/watcher
Y en la página siguiente puede consultar la guía del producto: https://www.elastic.co/guide/en/watcher/current/index.html
Puede usar Watcher para monitorear su Elasticsearch. Te alerta por correo.
Para más detalles, consulte este enlace:
https://www.elastic.co/products/watcher
Puede seguir estos pasos para configurar Watcher:
Paso 1. Instalar el plugin para Watcher (para 1.7).
bin/plugin --install elasticsearch/watcher/latest
bin/plugin --install elasticsearch/license/latest
Paso 2. Reinicia Elasticsearch
ES_HOME/bin/elasticsearch
Paso 3. Para verificar que Watcher esté configurado.
curl -XGET ''http://localhost:9200/_watcher/stats?pretty''
Paso 4. CÓDIGO para ver los datos del registro de errores.
PUT /_watcher/watch/log_error_watch
{
"trigger": {
"schedule": {
"interval": "10m"
}
},
"input": {
"search": {
"request": {
"indices": [
"logs"
],
"body": {
"query": {
"match": {
"message": "error"
}
}
}
}
}
},
"condition": {
"compare": {
"ctx.payload.hits.total": {
"gt": 0
}
}
},
"actions": {
"send_email": {
"email": {
"to": "<username>@<domainname>",
"subject": "Cluster logs",
"body": "Cluster Error Logs ",
"attach_data": true
}
}
}
}
Paso 5: para configurar el correo electrónico, coloque las líneas a continuación en elasticsearch.yml:
watcher.actions.email.service.account:
work:
profile: gmail
email_defaults:
from: <email>
smtp:
auth: true
starttls.enable: true
host: smtp.gmail.com
port: 587
user: <username>
password: <password>
Paso 6. PARA ELIMINAR Watcher
curl -XDELETE''http://localhost:9200/_watcher/watch/log_error_watch''
A continuación se detalla cómo realizar alertas y monitoreos de correo electrónico con ES y Kibana actualizados. Estoy usando elasticsearch-5.5.0 , kibana-5.5.0 usando XPack y Watcher.
Paso 1. Instalar XPack para Elasticsearch y Kibana
bin/elasticsearch-plugin install x-pack
bin/kibana-plugin install x-pack
Paso 2. Reinicia ES y Kibana
./bin/elasticsearch
./bin/kibana
Paso 3. Configura una cuenta de correo electrónico en elasticsearch.yml
xpack.notification.email.account:
outlook_account:
profile: outlook
email_defaults:
from: <sender-email>
smtp:
auth: true
starttls.enable: true
host: smtp-mail.outlook.com
port: 587
user: <username>
password: <password>
** Probé esto con sparkpost, y funcionó totalmente bien. Acabo de cambiar el perfil a sparkpostmail y el host a smtp.sparkpostmail.com. Puede seguir la guía para otras configuraciones de correo electrónico: https://www.elastic.co/guide/en/x-pack/5.6/actions-email.html#configuring-email-actions
Paso 4: configure las acciones de correo electrónico en Kibana Dev Tools (también puede hacerlo como un comando curl)
PUT _xpack/watcher/watch/error_report
{
"trigger": {
"schedule": {
"interval": "1h" <OR TIME INTERVAL TO MONITOR AND ALERT>
}
},
"input": {
"search": {
"request": {
"indices": [
"logs"
],
"body": {
"query": {
"match": {
"message": "error"
}
}
}
}
}
},
"actions": {
"send_email": {
"email": {
"to": "<YOUR EMAIL>",
"subject": "Cluster logs",
"body": "Cluster Error Logs ",
"attach_data": true
}
}
}
}
¡O! Si desea configurar Kibana para enviar un panel de control o visualización por correo electrónico, configure la siguiente acción de correo electrónico:
PUT _xpack/watcher/watch/error_report
{
"trigger" : {
"schedule": {
"interval": "<TIME_INTERVAL>"
}
},
"actions" : {
"send_email" : {
"email": {
"to": "<YOUR EMAIL>",
"subject": "Error Monitoring Dashboard",
"attachments" : {
"error_dashboard.pdf" : {
"reporting" : {
"url": "http://<YOUR_HOST>:5601/api/reporting/generate/dashboard/<DASHBOARD_ID>?_g=(time:(from:now-7d%2Fd,mode:quick,to:now))", // This is where you configure settings like time interval
"retries":6,
"interval":"15s",
"auth":{
"basic":{
"username":"<USERNAME>",
"password":"<PASSWORD>"
}
}
}
}
}
}
}
}
}
Paso 5 (opcional). Elimina el observador cuando termines de usar las herramientas de desarrollo de Kibana.
DELETE _xpack/watcher/watch/log_error_watch
Esta es solo una actualización concisa de la respuesta anterior para las actualizaciones de kibana y xpack, ¡así que todo está en un solo lugar! Gracias