码迷,mamicode.com
首页 > 其他好文 > 详细

安装配置elastalert(一)

时间:2017-10-30 21:00:28      阅读:319      评论:0      收藏:0      [点我收藏+]

标签:elk   elastalert   elasticsearch   

    什么是elastalert?

    ElastAlert是一个简单的框架,用于从弹性搜索中的数据中提取异常,尖峰或其他感兴趣的模式。在Yelp,我们使用Elasticsearch,Logstash和Kibana来管理我们越来越多的数据和日志。 Kibana非常适合可视化和查询数据,但是我们很快就意识到,它需要一个配套工具来提醒我们的数据不一致。 在这个需求之外,ElastAlert被创建。如果您的数据正在几乎实时写入Elasticsearch,并希望在数据匹配某些模式时收到警报,那么ElastAlert是您的工具。


    安装elastalert

    克隆代码仓库到本地

git clone https://github.com/Yelp/elastalert.git

    进入到本地代码目录,因为依赖setuptools所以先安装setuptools 

pip install "setuptools>=11.3"

    然后安装几个依赖 yum -y install glib gcc python-devel  libffi-devel openssl-devel

    然后开始安装  elastalert

 python setup.py install

    最后根据ES版本开始安装elasticsearch

pip install "elasticsearch>=5.0.0"

    

    配置elastalert

    接下来,打开config.yaml.example。在其中,您会找到几个配置选项。可以在不更改任何这些设置的情况下运行ElastAlert。


rules_folder 是ElastAlert将加载规则配置文件的地方。 它将尝试加载文件夹中的每个.yaml文件。 没有任何有效的规则,ElastAlert将不会启动。 ElastAlert还会加载新的规则,停止运行缺少的规则,并在该文件夹中的文件更改时重新启动修改的规则。 对于本教程,我们将使用example_rules文件夹。

run_every ElastAlert将如何查询Elasticsearch。

buffer_time 是查询窗口的大小,从每个查询运行的时间向后延伸。 对于将use_count_query或use_terms_query设置为true的规则,此值将被忽略。

es_host 是弹性搜索集群的地址,ElastAlert将存储有关其状态,查询运行,警报和错误的数据。 每个规则也可以使用不同的弹性搜索主机进行查询。

es_port 是对应于es_host的端口。

use_ssl: Optional; whether or not to connect to es_host using TLS; set to True or False.

verify_certs: Optional; whether or not to verify TLS certificates; set to True or False. The default is True

client_cert: Optional; path to a PEM certificate to use as the client certificate

client_key: Optional; path to a private key file to use as the client key

ca_certs: Optional; path to a CA cert bundle to use to verify SSL connections

es_username: Optional; basic-auth username for connecting to es_host.

es_password: Optional; basic-auth password for connecting to es_host.

es_url_prefix: Optional; URL prefix for the Elasticsearch endpoint.

es_send_get_body_as: Optional; Method for querying Elasticsearch - GETPOST or source. The default is GET

writeback_index is the name of the index in which ElastAlert will store data. We will create this index later.

alert_time_limit is the retry window for failed alerts.

Save the file as config.yaml

    创建elastalert_status索引

    首先,我们需要为ElastAlert创建一个索引,通过运行elastalert-create-index并按照以下说明进行写入:

elastalert-create-index
New index name (Default elastalert_status)
Name of existing index to copy (Default None)
New index elastalert_status created
Done!



本文出自 “小科” 博客,请务必保留此出处http://kexiaoke.blog.51cto.com/5530023/1977481

安装配置elastalert(一)

标签:elk   elastalert   elasticsearch   

原文地址:http://kexiaoke.blog.51cto.com/5530023/1977481

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!