logstash日志根据关键词报警
Posted guoyabin
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了logstash日志根据关键词报警相关的知识,希望对你有一定的参考价值。
logstash是可以根据日志级别,日志类型进行报警通知的。
这次精简教程,排除filebeat自带的#include_lines: [‘^ERR‘, ‘^WARN‘]写法,直接使用logstash报警。
步骤一、安装logstash
方法1 去官网下载rpm包,官网地址:https://www.elastic.co/cn/downloads/logstash
方法2 yum install logstash -y
方法3 使用国内一些软件源下载rpm包,速度更快一点。有可能安装包报错。比如:https://www.newbe.pro/Mirrors/Mirrors-Logstash/
步骤二、安装exec插件,用于报警
执行如下命令安装插件
/usr/share/logstash/bin/logstash-plugin install logstash-output-exec
步骤三、编写配置文件
cd /etc/logstash/conf.d
vim logstash.conf
input {
file {
path => "/home/wwwroot/hxt_reconciliation/storage/logs/laravel-%{yyyy-MM-dd}.log"
}
}
output {
if ‘ERROR‘ in [message] or ‘local.WARNING‘ in [message] {
exec {
command => "/bin/bash /etc/logstash/conf.d/dingding.sh %{message}"
}
}
}
input选择文件,output发送钉钉通知。钉钉通知脚本自己随便一个吧,贴一个我随便写的
#!/bin/bash
message="我的ip地址_logstash:
$*"
curl "https://oapi.dingtalk.com/robot/send?access_token=钉钉的webhook地址" -H "Content-Type: application/json" -d ‘{"msgtype": "text",
"text": {
"content": "‘"${message}"‘"
}
}‘
步骤四、启动
service logstash start #或者,以下命令更多用于调试output输出到控制台时候使用 /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/logstash.conf
看一下效果
以上是关于logstash日志根据关键词报警的主要内容,如果未能解决你的问题,请参考以下文章
Logstash整合zabbix 过滤Nginx 错误日志并进行报警