ELK上的通知系统

Question

我有一个ELK堆栈。我需要有一个通知系统，它会查询弹性搜索特定查询并触发电子邮件通知，如果找到一个。可以有人建议任何这样的开源通知工具吗？

Answer 1

我会想看看elastalert：

https://github.com/Yelp/elastalert

它涵盖了（在apache许可下）用例：

＆＃34;匹配Y时间内有X事件的地方＆＃34; （频率类型）

• ＆＃34;在事件发生率增加或减少时匹配＆＃34; （穗型）

• ＆＃34;在Y时间内少于X个事件时匹配＆＃34; （flatline type）

• ＆＃34;当某个字段与黑名单/白名单匹配时匹配＆＃34; （黑名单 和白名单类型）
• ＆＃34;匹配任何与给定过滤器匹配的事件＆＃34; （任何 （））
• ＆＃34;匹配字段在某段时间内有两个不同的值＆＃34; （改变类型）
• ＆＃34;匹配时，一个前所未见的术语出现在 字段＆＃34; （new_term类型）
• ＆＃34;匹配时a的唯一值数 字段高于或低于阈值（基数类型）

Answer 2

elastic为此提供了商业系统，watcher。

如果您想对各个事件发出警报，可以使用logstash的电子邮件{}输出。

假设您的日志不是您监控的第一件事，我建议您将此类检查集成到现有的监控系统中。您可以为运行所需查询的这些（如nagios，甚至商业系统）编写脚本。

关于这一点和一些设计思路here的理性更多。