ELK上的通知系统

Question

我有一个ELK堆栈.我需要有一个通知系统,它会查询弹性搜索特定查询并触发电子邮件通知,如果找到一个.可以有人建议任何这样的开源通知工具吗？

Answer 1

我会想看看elastalert:

https://github.com/Yelp/elastalert

它涵盖了(根据apache许可证)以下用例:

"匹配Y时间内有X事件的地方"(频率类型)

• "事件发生率增加或减少时匹配"(尖峰类型)

• "在Y时间内少于X个事件时匹配"(flatline type)

• "当某个字段与黑名单/白名单匹配时匹配"(黑名单和白名单类型)
• "匹配任何匹配给定过滤器的事件"(任何类型)
• "当某个字段在某段时间内有两个不同的值时匹配"(更改类型)
• "当一个前所未见的术语出现在一个字段中时匹配"(new_term类型)
• "当字段的唯一值数量高于或低于阈值时(基数类型)匹配

Answer 2

elastic为此提供了他们的商业系统，watcher。

如果您想针对个别事件发出警报，可以使用 Logstash 的电子邮件输出。{}

假设您的日志不是您要监视的第一件事，我建议将这种类型的检查集成到您现有的监视系统中。您可以为这些系统（例如 nagios，甚至商业系统）编写一个脚本来运行您想要的查询。

这里有更多关于其合理性和一些设计思想的内容。