【Elastalert】告警模式之spike配置详解实例

2016-11-27 635

打开微信扫一扫，关注微信公众号【数据与算法联盟】
转载请注明出处： http://blog.csdn.net/gamer_gyt
博主微博： http://weibo.com/234654758
Github： https://github.com/thinkgamer

写在前边的话

Elastalert是由python2.6写的一个告警框架，针对ELK日志分析系统来讲具有很大的作用，在 Elastalert-基于Elasticsearch层面的监控告警框架中，我们了解了Elastalert框架和配置使用了frequence的告警规则，这篇文章我们来看下Spike告警规则，相对来讲，spike rule不是很好理解，希望读者们能够细心阅读，有什么不懂的问题，可以留言讨论

该文永久地址：http://blog.csdn.net/Gamer_gyt/article/details/53381279

环境说明

ubuntu：16.04
Elastalert ：0.14
Elasticsearch 2.4.1
Logstash 2.4.0
Kibana 4.6.1

其中的发邮件配置部分参考： Elastalert-基于Elasticsearch层面的监控告警框架

配置文件解读

# 可选的，elasticsearch 所在主机的ip地址
# es_host: elasticsearch.example.com

# 可选的，elasticsearch的服务端口
# 这里的elasticsearch之所以说是可选是因为在config.ymal中已经配置过了
# es_port: 14900

# 可选，是否使用SSL加密传送数据，这是因为elasticsearch如果被search-guard或者x-pack/shield保护的话，要启用
#use_ssl: True

# 可选，对应访问elasticsearch的账号和密码
#es_username: someusername
#es_password: somepassword

# 必选的，rule的唯一名字
name: Event spike

# 必选的，rule的类型
type: spike

# 必选的，监控的索引
index: logstash-*

# 二选一，cur：当前窗口，ref：参照窗口 后边会着重讲述
threshold_cur: 5
#threshold_ref: 5

# 必选的，窗口参照时间
timeframe:
  hours: 2

# 必选的，衡论是否进行报警的一个警戒线
spike_height: 3

# 必选的，spike_type有三种类型，up，down，both
spike_type: "up"

# 必须的，进行匹配过滤的条件
# 更多过滤条件设置参考: http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/query-dsl.html
filter:
- query:
    query_string:
      query: "field: value"
- type:
    value: "some_doc_type"

# 必须的，报警方式
alert:
- "email"

# 必选的，邮件的接受地址
email:
- "elastalert@example.com"

重要参数解释

spike_type:
- up：意味着只会匹配超过当事件发生的次数超过spike_height
- down：意味着只会匹配超过当事件发生的次数低于spike_height
- both：都会进行匹配
spike_height：最后一个时间帧中的事件数与上一个命中时触发警报的时间帧的比率
threshold_ref：要触发的警报在参考窗口中必须存在的事件的最小数量。例如，如果spike_height：3和threshold_ref：10，则“引用”窗口必须包含至少10个事件，“当前”窗口至少为触发警报的三倍。
threshold_cur：当前窗口中必须存在的触发警报的最小事件数。例如，如果spike_height：3和threshold_cur：60，则当前窗口具有多于60个事件并且参考窗口少于三分之一时，将发生警报。
（当前窗口和参照窗口，而这个窗口就是一个时间段（timeframe））

spike的报警规则

1、如果设置了threshold_ref或者threshold_cur，那么比较对应的ref或cur是否大于threshold_ref或者threshold_cur，如果大于，接着看2，否则不警报；

2、是否满足公式 ref * spike_height < cur ，如果是则警报，否则不警报。

例如：
spike_type：up
12:00-14:00发生事件的次数为5，14:00-16:00发生事件的次数为20
设置threshold_cur：6，spike_height：3
由于4<6所以不进行报警

如果我们设置的threshold_cur：4
由于5>4，那么我们看是否满足公式 ref * spike_height < cur ，5*3 > 6不报警

但是如果我们设置的spike_height：1，那么5*1<6，就会进行报警
（这里不是太好理解，大家多读几遍）

实例

前提是ELK和Elastalert都配置OK

logstash的配置文件rsyslog_test.conf

input {
  tcp{
    port => 5000
    type => syslog
  }
  udp{
    port => 5000
    type => syslog
  }
}
output {
  stdout {
    codec=> rubydebug
  }
  elasticsearch {
    hosts => ["127.0.0.1:9200"]
    }
}

elastalert 的example_spike.ymal

es_host: 127.0.0.1

es_port: 9200

name: spike rule

type: spike

index: logstash-*

threshold_ref: 3 timeframe: minutes: 1 spike_height: 1 spike_type: "up" filter: - query: query_string: query: "host: 127.0.0.1" - term: _type: "syslog" use_count_query: true doc_type: syslog #SMTP协议的邮件服务器相关配置（我这里是163 mial） smtp_host: smtp.163.com smtp_port: 25 #用户认证文件，需要user和password两个属性 smtp_auth_file: smtp_auth_file.yaml email_reply_to: thinkgamer@163.com from_addr: thinkgamer@163.com alert: - "email" email: - "1923361654@qq.com"

邮件配置部分参考： Elastalert-基于Elasticsearch层面的监控告警框架

系统的/etc/rsyslog.conf，最后加入

*.* @@localhost:5000
*.* @localhost:5000

启动elasticsearch和logstash的rsyslog_test.conf
启动elastalert的example_spike.ymal

python -m elastalert.elastalert –verbose –rule example_rules/example_spike.yaml

适当的控制系统的登录日志，最终spike窗口显示如下：

master@ubuntu:/opt/elk/elastalert$ python -m elastalert.elastalert --verbose --rule rules/spike.yaml INFO:elastalert:Starting up
INFO:elastalert:Queried rule spike rule from 2016-11-28 01:26 PST to 2016-11-28 01:27 PST: 0 hits
INFO:elastalert:Ran spike rule from 2016-11-28 01:26 PST to 2016-11-28 01:27 PST: 0 query hits, 0 matches, 0 alerts sent
INFO:elastalert:Sleeping for 59 seconds
INFO:elastalert:Queried rule spike rule from 2016-11-28 01:27 PST to 2016-11-28 01:28 PST: 22 hits
INFO:elastalert:Ran spike rule from 2016-11-28 01:27 PST to 2016-11-28 01:28 PST: 22 query hits, 0 matches, 0 alerts sent
INFO:elastalert:Sleeping for 59 seconds
INFO:elastalert:Queried rule spike rule from 2016-11-28 01:28 PST to 2016-11-28 01:29 PST: 98 hits
INFO:elastalert:Ran spike rule from 2016-11-28 01:28 PST to 2016-11-28 01:29 PST: 98 query hits, 0 matches, 0 alerts sent
INFO:elastalert:Sleeping for 59 seconds
INFO:elastalert:Queried rule spike rule from 2016-11-28 01:29 PST to 2016-11-28 01:30 PST: 110 hits
INFO:elastalert:Sent email to ['1923361654@qq.com']
INFO:elastalert:Ran spike rule from 2016-11-28 01:29 PST to 2016-11-28 01:30 PST: 110 query hits, 1 matches, 1 alerts sent
INFO:elastalert:Sleeping for 59 seconds

这个时候邮箱收到邮件内容：

OVER !

微信关注我们

原文链接：https://yq.aliyun.com/articles/413019

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

关于hadoop

hadoop 是什么？ 1. 适合海量数据的分布式存储与计算平台。海量：是指 1T 以上数据。分布式: 任务分配到多态虚拟机上进行计算。 2. 多个任务是怎么被分配到多个虚拟机当中的？分配是需要网络通讯的。而且是需要启动资源或者消耗一些硬件上的配置。单 JVM 关注的如何『处理』，而不是交给其他人进行处理这个『管理』的过程。所以最开始有两个关键的字『适合』, 只有当数据量超过 1T 的大数据处理才能凸显 hadoop 的优势; 当然，用 hadoop 处理几十G、几百G 这种小数据也是可以的，只是体现不了 hadoop的优势罢了，从硬件的角度，从效率的角度都是不太值得的。 3.Hadoop Ecosystem Map Hadoop生态系统图博客讲解: http://www.cnblogs.com/zlslch/p/5080439.html 像其他框架一样，hadoop 也是分层的，序号③ ⑤ 就是 hadoop 中重要的组成， HDFS 负责数据存储。MapReduce 是海量数据的分布式计算框架。 Structured Data(hiho, sqoop...

2016-11-28

520

本文用到的阿里云数加－大数据计算服务MaxCompute产品地址：https://www.aliyun.com/product/odps MaxCompute 的数据上传接口（Tunnel）定义了数据 block 的概念：一个 block 对应一个 http request，多个 block 的上传可以并发而且是原子的，一次同步请求要么成功要么失败，不会污染其他的 block。这种设计对于服务端来讲十分简洁，但是也把记录状态做 failover 的工作交给了客户端。用户在使用 Tunnel SDK 编程时，需要对 block 这一层的语义进行认知，并且驱动数据上传的整个过程[1]，并且自己进行容错，毕竟『网络错误是正常而不是异常』。由于用户文档中并没有强调这一点的重要性，导致很多用户踩了坑，一种常见的出错场景是，当客户端写数据的速度

2016-11-28

750

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。