简介
Elastalert是用python2写的一个报警框架(目前支持python2.6和2.7,不支持3.x),github地址为 https://github.com/Yelp/elastalert。他提供不同场景的规则配置,若觉得规则、告警不满足需求时,可以用python编写插件Adding a New Rule Type、Adding a New Alerter。
环境
系统:centos6.8
python:2.7.12(请参看升级centos6 默认python版本到2.7.12)
elasticsearch:5.5
kibana:5.5
Elastalert内置的告警方式:
- Email JIRA
- OpsGenie
- Commands
- HipChat MS
- Teams Slack
- Telegram
- AWS SNS
- VictorOps
- PagerDuty
- Exotel
- Twilio
- Gitter
安装
pip安装elastalert
安装pip包管理工具(参考)
$ pip install elastalert
- 1
或者 git clone (推荐)
$ git clone https://github.com/Yelp/elastalert.git
- 1
安装模块
$ pip install "setuptools>=11.3"
$ python setup.py install
- 1
- 2
根据不同的Elasticsearch版本安装elasticsearch-py。
Elasticsearch 5.x/2.x
$ pip install "elasticsearch>=5.0.0" ##5.x
$ pip install "elasticsearch<3.0.0" ##2.x
- 1
- 2
将源码放置在你指定的目录下:
$ cd /usr/local/elastalert/
$ cp config.yaml.example config.yaml
$ mkdir es_rules
[xxx@crmnginx elastalert]$ egrep -v ‘^#|^$‘ config.yaml
rules_folder: es_rules
run_every:
minutes: 5
buffer_time:
minutes: 5
es_host: 10.xx.xx.xxx
es_port: xxxx
use_ssl: false
verify_certs: false
es_username: elastic
es_password: changeme
writeback_index: elastalert_status
alert_time_limit:
days: 2
$ ll
[root@crmnginx elastalert]# ll
total 124
drwxr-xr-x. 4 root root 4096 Nov 12 09:39 build
-rw-r--r--. 1 root root 9737 Nov 12 09:39 changelog.md
-rw-r--r--. 1 root root 2001 Nov 12 14:39 config.yaml
-rw-r--r--. 1 root root 2029 Nov 12 09:39 config.yaml.example
drwxr-xr-x. 2 root root 4096 Nov 12 09:39 dist
-rw-r--r--. 1 root root 261 Nov 12 09:39 docker-compose.yml
-rw-r--r--. 1 root root 264 Nov 12 09:39 Dockerfile-test
drwxr-xr-x. 3 root root 4096 Nov 12 09:39 docs
drwxr-xr-x. 2 root root 4096 Nov 12 11:15 elastalert
drwxr-xr-x. 2 root root 4096 Nov 12 09:39 elastalert.egg-info
drwxr-xr-x. 2 root root 4096 Nov 12 14:14 elastalert_modules
drwxr-xr-x. 2 root root 4096 Nov 12 14:51 es_rules
drwxr-xr-x. 2 root root 4096 Nov 12 09:39 example_rules
-rw-r--r--. 1 root root 11359 Nov 12 09:39 LICENSE
-rw-r--r--. 1 root root 480 Nov 12 09:39 Makefile
-rw-r--r--. 1 root root 15945 Nov 12 09:39 README.md
-rw-r--r--. 1 root root 87 Nov 12 09:39 requirements-dev.txt
-rw-r--r--. 1 root root 372 Nov 12 09:39 requirements.txt
-rw-r--r--. 1 root root 100 Nov 12 09:39 setup.cfg
-rw-r--r--. 1 root root 1650 Nov 12 09:39 setup.py
-rw-r--r--. 1 root root 117 Nov 12 11:14 smtp_auth_file.yaml
-rw-r--r--. 1 root root 780 Nov 12 09:39 supervisord.conf.example
drwxr-xr-x. 2 root root 4096 Nov 12 09:39 tests
-rw-r--r--. 1 root root 606 Nov 12 09:39 tox.ini
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
配置解析
此处的配置文件是指config.yaml文件。
- rules_folder:ElastAlert将加载规则配置文件的地方,它将尝试加载文件夹中的每个.yaml文件(这里是加载es_rules目录下)。
- run_every:ElastAlert查询Elasticsearch的频率。
- buffer_time:是查询窗口的大小,从每个查询运行的时间向后延伸。对于其中use_count_query或use_terms_query设置为true的规则,此值将被忽略。
- es_host:是Elasticsearch集群的地址,ElastAlert将存储有关其状态、查询运行、警报和错误的数据。每个规则也可以设置不同的elasticsearch主机进行查询。
- es_port:Elasticsearch对应的端口。
- use_ssl: (可选的)是否使用TLS;连接到es_host;设置为True或False。
- verify_certs: (可选的)是否验证TLS证书; 设置为True或False,默认是True。
- client_cert: (可选的)PEM证书的路径。
- client_key: (可选的) 作为客户端密钥使用的私钥文件的路径。
- ca_certs: (可选的) 用于验证SSL连接的CA证书的路径。
- es_username: (可选的) 用于连接Elasticsearch的basic-auth用户名。
- es_password: (可选的) 用于连接Elasticsearch的密码。
- es_url_prefix: (可选的) Elasticsearch端点的URL前缀。
- es_send_get_body_as: (可选的) 查询Elasticsearch方法- GET,POST或- source,默认是GET。
- writeback_index:是ElastAlert将存储数据的索引名称。
- alert_time_limit: 是失败警报的重试窗口。
创建Elasticsearch索引
elastalert-create-index这个命令会在elasticsearch创建索引,便于ElastAlert将有关其查询及其警报的信息和元数据保存回Elasticsearch。这不是必须的步骤,但是强烈建议创建。因为对于审计,测试很有用,并且重启elastalert不影响计数和发送alert。默认情况下,创建的索引叫 elastalert_status。
$ elastalert-create-index --host 10.xxx.xx.xxx --port xxxx --username xxx --password xxx --no-ssl --no-verify-certs
- 1
创建成功之后,我们可以在Elasticsearch中看到所创建的索引elastalert_status:
$ curl -u xxx ‘localhost:9200/_cat/indices?v‘ |grep elastalert_status
green open elastalert_status eWjVRAzjTX2vmhvAK931Ng 5 1 110 0 513.8kb 266kb
- 1
- 2
elastalert_status
ElastAlert 根据elastalert_status去确定首次启动的时候在什么时间范围内去查询,以避免重复查询。对于每个规则,它将从最近的结束时间开始查询。包括:
- @timestamp:文件上传到Elasticsearch的时间。这是在运行查询并且已经处理结果之后。
- rule_name:相应规则的名称。
- starttime:查询的开始时间戳。
- endtime:查询结束时间戳。
- hits:查询结果的数量。
- matches:处理命中后规则返回的匹配数。请注意,这并不一定意味着警报被触发。
- time_taken:此查询运行所需的秒数。
配置SMTP邮件报警
在/usr/local/elastalert/目录下创建文件smtp_auth_file.yaml,内容如下:
[root@crmnginx elastalert]$ cat smtp_auth_file.yaml
#邮箱用户名
user: no-xx@chtxx.com
##不是邮箱密码,是设置的SMTP密码
password: YdYfxxx
- 1
- 2
- 3
- 4
- 5
配置规则
在es_rules目录下修改配置文件,如下:
$ cd /opt/elastalert/es_rules
[xxx@crmnginx elastalert]$ egrep -v ‘^#|^$‘ es_rules/frequency.yaml
es_host: 10.xxx.xx.xxx
es_port: 9200
use_ssl: false
verify_certs: false
es_username: xxx
es_password: xxx
name: es_rule
writeback_index: elastalert_status
type: frequency
index: logstash-nginx-*
num_events: 5
timeframe:
minutes: 5
filter:
- query:
query_string:
query: "status:>=400"
query_string:
query: "status: >=500"
#SMTP configration
smtp_host: smtp.263.net
smtp_port: 25
#SMTP auth
smtp_auth_file: /usr/local/elastalert/smtp_auth_file.yaml
email_reply_to: no-xxx@chxxx.com
from_addr: no-xxx@chxxx.com
# (Required)
# The alert is use when a match is found
alert:
- "email"
# (required, email specific)
# a list of email addresses to send alerts to
email:
- "xxx@chxxx.com"
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
上述规则表示:在elastalert执行的五分钟内,出现五条有status:>=400 或者 status: >=500的日志,则触发告警,并且告警通知将以email的形式从no-xxx@chxxx.com邮箱发送给xxx@chxxx.com
规则配置解析:
-
es_host、es_port:应该指向我们要查询的Elasticsearch集群。
-
name:是这个规则的唯一名称。如果两个规则共享相同的名称,ElastAlert将不会启动。
-
type:每个规则都有不同的类型,可能会采用不同的参数。该frequency类型表示“在timeframe时间内匹配成功次数超过num_events发出警报”。有关其他类型的信息,请参阅规则类型。
-
index:要查询的索引的名称。配置,从某类索引里读取数据,目前已经支持Ymd格式,需要先设置use_strftime_index:true,然后匹配索引,配置形如:index: logstash-es-test%Y.%m.%d,表示匹配logstash-es-test名称开头,以年月日作为索引后缀的index。
-
num_events:此参数特定于frequency类型,是触发警报时的阈值。
-
timeframe:timeframe是num_events必须发生的时间段。
-
filter:是用于过滤结果的Elasticsearch过滤器列表。有关
详细信息,请参阅编写过滤规则。 -
email:是要发送警报的地址列表。
-
alert:配置,设置触发报警时执行哪些报警手段。不同的type还有自己独特的配置选项。目前ElastAlert 有以下几种自带ruletype:
- any:只要有匹配就报警;
- blacklist:compare_key字段的内容匹配上 blacklist数组里任意内容;
- whitelist:compare_key字段的内容一个都没能匹配上whitelist数组里内容;
- change:在相同query_key条件下,compare_key字段的内容,在 timeframe范围内 发送变化;
- frequency:在相同 query_key条件下,timeframe 范围内有num_events个被过滤出 来的异常;
- spike:在相同query_key条件下,前后两个timeframe范围内数据量相差比例超过spike_height。其中可以通过spike_type设置具体涨跌方向是- up,down,both 。还可以通过threshold_ref设置要求上一个周期数据量的下限,threshold_cur设置要求当前周期数据量的下限,如果数据量不到下限,也不触发;
- flatline:timeframe 范围内,数据量小于threshold 阈值;
- new_term:fields字段新出现之前terms_window_size(默认30天)范围内最多的terms_size (默认50)个结果以外的数据;
- cardinality:在相同 query_key条件下,timeframe范围内cardinality_field的值超过 max_cardinality 或者低于min_cardinality
demo测试
命令如下:
$ python -m elastalert.elastalert --config ./config.yaml #运行命令,加载所有rules
$ python -m elastalert.elastalert --config ./config.yaml --rule ./es_rules/frequency.yaml ## 或者单独执行 rules_folder 里的某个 rule
- 1
- 2
给Elasticsearch添加测试数据:
$ curl -X POST "http://127.0.0.1:9200/logstash-nginx-xx/test" -d ‘{
"@timestamp": "2018-11-12T10:54:41.000Z",
"status": "500"
}‘
- 1
- 2
- 3
- 4
产看邮件报警
配置微信报警
微信报警项目地址:https://github.com/anjia0532/elastalert-wechat-plugin
配置地址:https://anjia0532.github.io/2017/02/16/elastalert-wechat-plugin/
配置文件
$ cd ~/
$ git clone https://github.com/Yelp/elastalert.git
$ cd elastalert
$ wget https://raw.githubusercontent.com/anjia0532/elastalert-wechat-plugin/master/elastalert_modules/wechat_qiye_alert.py
$ touch ~/elastalert/elastalert_modules/__init__.py
$ cp config.yaml.example config.yaml
$ vi es_rules/wechat_frequency.yaml
- 1
- 2
- 3
- 4
- 5
- 6
- 7
[root@crmnginx elastalert]# egrep -v ‘^#|^$‘ es_rules/wechat_frequency.yaml
es_host: 10.xxx.xx.xxx
es_port: xxxx
use_ssl: false
verify_certs: false
es_username: xx
es_password: xxxx
name: es_rule
writeback_index: elastalert_status
type: frequency
index: logstash-nginx-*
num_events: 1
timeframe:
minutes: 1
filter:
- query:
query_string:
query: "status:>=400"
query_string:
query: "status: >=500"
alert:
- "elastalert_modules.wechat_qiye_alert.WeChatAlerter"
#后台登陆后【设置】->【权限管理】->【普通管理组】->【创建并设置通讯录和应用权限】->【CorpID,Secret】
#设置微信企业号的appid
corp_id: ‘xx‘
#设置微信企业号的Secret
secret: ‘xxx‘
#后台登陆后【应用中心】->【选择应用】->【应用id】
#设置微信企业号应用id
agent_id: ‘x‘
#部门id
party_id: ‘x‘
#用户微信号
user_id: xx
# 标签id
tag_id: xx
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
微信接收报警截图
配置微信报警模版
在rule文件加上一下内容:
alert:
- "elastalert_modules.wechat_qiye_alert.WeChatAlerter"
alert_text_type: alert_text_only
alert_text: |
========start=========
告警程序: elasticsearch_alert
告警主题: 接口 {} 响应时间大于2秒!
触发时间: {}
request: {}
responsetime: {}
domain: 此域名 {} 下接口告警
status: {}
upstreamaddr: {}
num_hits: {}
num_method: {}
clientip: {}
参考来源: {}
========end==========
alert_text_args:
- request
- "@timestamp"
- request
- responsetime
- domain
- status
- upstreamaddr
- num_hits
- num_method
- client
- path
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30