安装配置elastalert

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安装配置elastalert相关的知识,希望对你有一定的参考价值。

    什么是elastalert?

    ElastAlert是一个简单的框架,用于从弹性搜索中的数据中提取异常,尖峰或其他感兴趣的模式。在Yelp,我们使用Elasticsearch,Logstash和Kibana来管理我们越来越多的数据和日志。 Kibana非常适合可视化和查询数据,但是我们很快就意识到,它需要一个配套工具来提醒我们的数据不一致。 在这个需求之外,ElastAlert被创建。如果您的数据正在几乎实时写入Elasticsearch,并希望在数据匹配某些模式时收到警报,那么ElastAlert是您的工具。


    安装elastalert

    克隆代码仓库到本地

git clone https://github.com/Yelp/elastalert.git

    进入到本地代码目录,因为依赖setuptools所以先安装setuptools 

pip install "setuptools>=11.3"

    然后安装几个依赖 yum -y install glib gcc python-devel  libffi-devel openssl-devel

    然后开始安装  elastalert

 python setup.py install

    最后根据ES版本开始安装elasticsearch

pip install "elasticsearch>=5.0.0"

    

    配置elastalert

    接下来,打开config.yaml.example。在其中,您会找到几个配置选项。可以在不更改任何这些设置的情况下运行ElastAlert。


rules_folder 是ElastAlert将加载规则配置文件的地方。 它将尝试加载文件夹中的每个.yaml文件。 没有任何有效的规则,ElastAlert将不会启动。 ElastAlert还会加载新的规则,停止运行缺少的规则,并在该文件夹中的文件更改时重新启动修改的规则。 对于本教程,我们将使用example_rules文件夹。

run_every ElastAlert将如何查询Elasticsearch。

buffer_time 是查询窗口的大小,从每个查询运行的时间向后延伸。 对于将use_count_query或use_terms_query设置为true的规则,此值将被忽略。

es_host 是弹性搜索集群的地址,ElastAlert将存储有关其状态,查询运行,警报和错误的数据。 每个规则也可以使用不同的弹性搜索主机进行查询。

es_port 是对应于es_host的端口。

use_ssl: Optional; whether or not to connect to es_host using TLS; set to True or False.

verify_certs: Optional; whether or not to verify TLS certificates; set to True or False. The default is True

client_cert: Optional; path to a PEM certificate to use as the client certificate

client_key: Optional; path to a private key file to use as the client key

ca_certs: Optional; path to a CA cert bundle to use to verify SSL connections

es_username: Optional; basic-auth username for connecting to es_host.

es_password: Optional; basic-auth password for connecting to es_host.

es_url_prefix: Optional; URL prefix for the Elasticsearch endpoint.

es_send_get_body_as: Optional; Method for querying Elasticsearch - GETPOST or source. The default is GET

writeback_index is the name of the index in which ElastAlert will store data. We will create this index later.

alert_time_limit is the retry window for failed alerts.

Save the file as config.yaml

    创建elastalert_status索引

    首先,我们需要为ElastAlert创建一个索引,通过运行elastalert-create-index并按照以下说明进行写入:

elastalert-create-index
New index name (Default elastalert_status)
Name of existing index to copy (Default None)
New index elastalert_status created
Done!



本文出自 “小科” 博客,请务必保留此出处http://kexiaoke.blog.51cto.com/5530023/1977481

以上是关于安装配置elastalert的主要内容,如果未能解决你的问题,请参考以下文章

elastalert docker安装

监控告警之elastalert部署及配置全解

elk 6.0配置elastalert

配置elastalert

elastalert基本配置说明

centos7.6下的python3.6.9虚拟环境安装elastalert