背景

sentinl的监控&告警是通过watch实现的。

一、Watch Execution

执行开始的时候, watcher为watch创建watch执行上下文. 执行上下文提供脚本和模板, 可以访问watch元数据、payload、wathcID、执行时间和触发器.

执行过程,watcher具体执行:

  1. 将输入数据作为监视上下文中的payload加载. 这使得数据可以用于执行过程中的所有后续步骤. 此步骤由watch输入控制.
  2. 评估watch状况以确定是否继续处理watch. 如果条件满足,则处理进入下一步;如果不满足,则停止执行watch.
  3. 将转变应用与见识payload(如果需要)
  4. 执行已经满足条件且watch未受限制的监控.

二、Watch Acknowledge and Throttling

watcher支持基于时间和基于确认的限制, 可以防止对同一个事件重复执行操作.默认情况下, Watcher使用基于时间的限制. 还可以在每个操作或者在监控级别配置限制周期。

三、Scripts and Templates

定义watch的时候可以使用scripts和templates. scripts和template可以引用watch执行过程的context元素,包括 watch payload. 执行上下文定义的变量, script和template(parameter placeholders参数占位符)可以直接引用.

watcher使用Elastic search的脚本基础体系,同时支持 inline脚本(inline Templates and Scripts)和stored(stored Templates and Scripts)

Watch Execution Context

以下代码显示了Watch Execution Context的基本结构:

{

  "ctx" : {

    "metadata" : { ... },

    "payload" : { ... },

    "watch_id" : "<id>",

    "execution_time" : "20150220T00:00:10Z",

    "trigger" : {

      "triggered_time" : "20150220T00:00:10Z",

      "scheduled_time" : "20150220T00:00:00Z"

    },

    "vars" : { ... }

}
  • metadata : watch定义的静态metadata
  • payload: 当前watch payload
  • id
  • Execution_time: watch执行开始时间
  • trigger: 有关事件触发器的信息
    • triggered_time:实际触发时间
    • scheduled_time:计划触发时间
  • vars: 可在执行期间由不同构造设置和访问的动态变量.这些变量的范围限定为单个执行(即它们不是持久的,不能在同一个watch的不同执行之间使用)

Using Scripts

可以使用脚本定义 conditions和transforms. 默认脚本语言是painless.

Elasticsearch5.0开始内置新的脚本语言painless.

脚本可以引用监视执行上下文中的任何值或通过脚本参数显式传递的值.

Using Templates

可以使用模板为watch定义动态内容. 执行的时候, 模板从监视执行上下文中提取数据. 例如, 可以使用模板为电子邮件填充主题字段, 其中数据存储在payload中. 模板还可以访问通过模板参数显示传递的值.

可以使用 Mustache脚本语言指定模板.

Inline Templates and Scripts

要定义内联模板或者脚本, 只需要直接在字段值中指定即可.

对于脚本,只需要将内联脚本定义为脚本字段的值即可.

Stored Templates and Scripts

如果存储模板和脚本, 则可以通过id引用它们.

要使用已经存储的模板和脚本, 定义的时候需要通过id字段显示指定id. 例如,下文直接引用id=email_notification_subject 的模板.

{

  ...

  "actions" : {

    "email_notification" : {

      "email" : {

        "subject" : {

          "id" : "email_notification_subject",

          "params" : {

            "color" : "red"

          }

        }

      }

    }

  }

}

四、访问搜索结果

conditions、transforms、actions可以通过ctx访问搜索结果,例如:

  • 访问所有匹配结果: ctx.payload.hits
  • 引用命中总数:ctx.payload.hits.total
  • 要访问特定匹配, 请使用其从零开始的数组索引.
  • 要从特定命中获取字段值, 请使用 ctx.payload.hits.hits..fields.

五、转换Transform

转换处理并更改ctx中的有效内容,以便为监控操作做好准备. 如果在transform处理后 payload为空,则不执行任何操作.

搜索转换(Search transform)

在集群上执行搜索,并使用返回的搜索响应替换watch执行上下文中的当前有效内容.

脚本转换(Script transform)

对当前有效payload执行脚本(Javascript)并将其替换为新生成的有效payload.

支持:

  • 转换格式类型
  • 生成全新的有效payload
  • 插入数据

创建新的有效payload属性:

"transform": {

  "script": {

    "script": "payload.outliers = payload.aggregations.response_time_outlier.values['95.0']"

  }

}

过滤聚合桶:

"transform": {

  "script": {

    "script": "payload.newlist=[]; payload.payload.aggregations['2'].buckets.filter(function( obj ) { return obj.key; }).forEach(function(bucket){ console.log(bucket.key); if (doc_count.length > 1){ payload.newlist.push({name: bucket.key }); }});"

  }

}

链转换(Chain transform)

在链中执行已经配置转换的有序列表, 其中一个转换的输出用作链中下一个转换的输入.

"transform": {

  "chain": [

    {

      "search": {

        "request": {

          "index": [

            "credit_card"

          ],

          "body": {

            "size": 300,

            "query": {

              "bool": {

                "must": [

                  {

                    "match": {

                      "Class": 1

                    }

                  }

                ]

              }

            }

          }

        }

      }

    },

    {

      script: {

        script: "payload.hits.total > 100"

      }

    }

  ]

}

六、触发事件(Actions)

actions用于将Watcher获取的任何结果传递给集群中的用户,API或新文档。 可以为每个操作定义多个操作和组。

actions使用{{mustache}} logic-less模板语法,执行的时候会使用响应payload中提供的具体值迭代数组、扩展模板中的标记。

当Watcher返回超过其条件的数据时,执行“Actions”。

支持的“Actions”类型如下:

Email

通过电子邮件/ SMTP发送查询结果和消息(需要kibana中配置邮件发送)

"email" : {

       "to" : "root@localhost",

       "from" : "sentinl@localhost",

       "subject" : "Alarm Title",

       "priority" : "high",

       "body" : "Series Alarm {{ payload._id}}: {{payload.hits.total}}",

       "stateless" : false

       }

Email HTML

使用HTML正文通过电子邮件/ SMTP发送查询结果和消息(需要kibana中配置邮件发送)

"email_html" : {

       "to" : "root@localhost",

       "from" : "sentinl@localhost",

       "subject" : "Alarm Title",

       "priority" : "high",

       "body" : "Series Alarm {{ payload._id}}: {{payload.hits.total}}",

       "html" : "<p>Series Alarm {{ payload._id}}: {{payload.hits.total}}</p>",

       "stateless" : false

       }

webHook

向远程Web API发送post消息

"webhook" : {

       "method" : "POST",

       "host" : "remote.server",

       "port" : 9200,

       "path": ":/{{payload.watcher_id}}",

       "body" : "{{payload.watcher_id}}:{{payload.hits.total}}",

           "create_alert" : true

      }

向远程web API发送get请求:

 "webhook" : {

     "method" : "GET",

     "host" : "remote.server",

     "port" : 9200,

     "path" : "/trigger",

     "params" : {

       "watcher": "{{watcher.title}}",

       "query_count": "{{payload.hits.total}}"

     }

    }

webHook via Proxy

通过代理向远程API发送消息 - 电报示例:

"webhook": {

         "method": "POST",

         "host": "remote.proxy",

         "port": "3128",

         "path": "https://api.telegram.org/bot{botId}/sendMessage",

         "body": "chat_id={chatId}&text=Count+total+hits:%20{{payload.hits.total}}",

         "headers": {

           "Content-Type": "application/x-www-form-urlencoded"

         },

         "create_alert" : true

       }

Slack

发送消息到 slack

"slack" : {

       "channel": "#channel",

       "message" : "Series Alarm {{ payload._id}}: {{payload.hits.total}}",

       "stateless" : false

      }

Report (BETA)

使用PhantomJS获取网站快照并通过电子邮件/ SMTP发送。

需要kibana配置中的操作设置需要Pageres / PhantomJS:

npm install -g pageres

发送报告:

"report" : {

    "to" : "root@localhost",

    "from" : "kaae@localhost",

    "subject" : "Report Title",

    "priority" : "high",

    "body" : "Series Report {{ payload._id}}: {{payload.hits.total}}",

    "snapshot" : {

        "res" : "1280,900",

        "url" : "http://127.0.0.1/app/kibana#/dashboard/Alerts",

        "path" : "/tmp/",

        "params" : {

            "username" : "username",

            "password" : "password",

            "delay" : 5000,

            "crop" : false

        }

    },

    "stateless" : false

        }

Console

输出查询结果和消息到控制台,方便调试

"console" : {

   "priority" : "DEBUG",

   "message" : "Average {{payload.aggregations.avg.value}}"

   }

Storing Payload

ELK默认情况不会存储原始payload,防止重复。但是可以通过如下配置保存和修改原始payload

"save_payload":true

具体例子如下:

 "email" : {

          "to" : "root@localhost",

          "from" : "sentinl@localhost",

          "subject" : "Alarm Title",

          "priority" : "high",

          "body" : "Series Alarm {{ payload._id}}: {{payload.hits.total}}",

          "stateless" : false,

          "save_payload" : true

    }

参考:

https://sentinl.readthedocs.io/en/latest/Watcher-Anatomy/

https://sentinl.readthedocs.io/en/latest/Watcher-Actions/

ELK的sentinl告警配置详解的更多相关文章

  1. 玩转ELK之三件套安装配置详解

    ELK是啥子??? ELK 是elastic公司提供的一套完整的日志收集以及展示的解决方案,是三个产品的首字母缩写,分别是ElasticSearch.Logstash 和 Kibana. 特点: 收集 ...

  2. zabbix系列(三)zabbix3.0.4微信告警配置详解

    一.准备工作 申请微信公众号,并且是可以有发送消息的接口.添加有个脚本去调用微信的api. 之后可以参考下zabbix 的搭建,然后了解下脚本报警,之后再考虑报警方式的多样化. 个人微信一个 个人邮箱 ...

  3. 日志分析工具ELK配置详解

    日志分析工具ELK配置详解 一.ELK介绍 1.1 elasticsearch 1.1.1 elasticsearch介绍 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分 ...

  4. JSHint配置详解

    Also available on Github JSHint配置详解 增强参数(Enforcing Options) 本类参数设为true,JSHint会产生更多告警. bitwise 禁用位运算符 ...

  5. openfalcon架构及相关服务配置详解

    一:openfalcon组件 1.falcon-agent 数据采集组件 agent内置了一个http接口,会自动采集预先定义的各种采集项,每隔60秒,push到transfer. 2.transfe ...

  6. Mysql系列五:数据库分库分表中间件mycat的安装和mycat配置详解

    一.mycat的安装 环境准备:准备一台虚拟机192.168.152.128 1. 下载mycat cd /softwarewget http:-linux.tar.gz 2. 解压mycat tar ...

  7. openfalcon架构及相关服务配置详解(转)

    一:openfalcon组件 1.falcon-agent 数据采集组件 agent内置了一个http接口,会自动采集预先定义的各种采集项,每隔60秒,push到transfer. 2.transfe ...

  8. ELK技术栈之-Logstash详解

    ELK技术栈之-Logstash详解   前言 在第九章节中,我们已经安装好Logstash组件了,并且启动实例测试它的数据输入和输出,但是用的是最简单的控制台标准输入和标准输出,那这节我们就来深入的 ...

  9. Log4j配置详解(转)

    一.Log4j简介 Log4j有三个主要的组件:Loggers(记录器),Appenders (输出源)和Layouts(布局).这里可简单理解为日志类别,日志要输出的地方和日志以何种形式输出.综合使 ...

随机推荐

  1. Supervisor使用教程

    在项目中,经常有脚本需要常驻运行的需求.以PHP脚本为例,最简单的方式是: $ nohup php cli.php & 这样能保证当前终端被关闭或者按CRTL+C后,脚本仍在后台运行.但是没法 ...

  2. 自动化测试 | UI Automator 进阶指南

    UI Automator 相关介绍: 跨应用的用户界面自动化测试 包含在 AndroidX Test(https://developer.android.com/training/testing) 中 ...

  3. 解决 VS2017 打断点无效

    打断点无效 断点显示白色,鼠标移上去,提示:The breakpoint will not currently be hit. No Symbols have been loaded for this ...

  4. java 判断是否大于指定版本号

    判断 a.b.c 格式的版本大小: public boolean is_version_great_than(String version) { boolean result = false; if ...

  5. .Net和C#介绍

    一.前言 本文主要针对刚入门以及还需要对基础进行恶补一下的兄弟进行基础介绍,并尽可能的做到客观,如有错误也虚心接受高手门的纠正. 二..Net平台简介 .net即DotNet,首先我先给出微软的定义: ...

  6. Golang中的自动伸缩和自防御设计

    Raygun服务由许多活动组件构成,每个组件用于特定的任务.其中一个模块是用Golang编写的,负责对iOS崩溃报告进行处理.简而言之,它接受本机iOS崩溃报告,查找相关的dSYM文件,并生成开发者可 ...

  7. PHP接口的思考

    其中就有一个SPL(标准PHP库)的尝试,SPL中实现一些接口,其中最主要的就是Iterator迭代器接口,通过实现这个接口,就能使对象能够用于foreach结构,从而在使用形式上比较统一.比如SPL ...

  8. Perl处理数据(一):s替换、split和join

    s替换 m//模式用来匹配文本,也就是说用来找数据.而s///用来查找并替换文本,所以可以用来处理文本文件.在有了正则的基础之后,s///用起来会简单很多. 用法格式为: $str =~ s/reg/ ...

  9. [转]win10中安装JDK8以及环境配置

    本文转自:https://blog.csdn.net/yangsummer2426/article/details/80499775 1.      首先下载jdk,网址如下: http://www. ...

  10. 第一册:lesson nineteen。

    原文:tired and thirsty. A:What's the matter,children? B:We are tired and thirsty. A:Sit down,here. Are ...