0 Вопрос: Оповещение об упругом поиске для No log in Kibana

вопрос создан в Wed, May 8, 2019 12:00 AM

Подайте предупреждение, если в течение 5 минут нет входа в кибану.

Я попробовал плоское оповещение. Он выдает предупреждение, но не сообщает, какой IP-адрес прекратил отправку журналов. Предположим, есть 4 IP-адреса, отправляющих журналы в Kibana, и если я создаю плоское оповещение с query_key в качестве ipaddress, оно срабатывает правильно. Но детали оповещения в slack не говорят, для какого IP логи перестали приходить в Кибану. Мне нужно пойти в Кибану и вручную выполнить запрос для каждого IP-адреса, чтобы определить правильный IP-адрес. Итак, я ищу альтернативу для плоского оповещения.

nextrulename: RLCMNoKibanaLogs
index: logstash-*
type: flatline
query_key: ["@module_tag", "ipaddr"]
threshold: 1
timeframe:
  minutes: 5
realert:
  minutes: 0
use_count_query: true
doc_type: fluentd
filter:
- query:
    query_string:
      query: '@module_tag:rlcm'
alert: my_alerts.AlertManager
labels:
  alertsrc: ElasticSearch
  kafka: 'true'
  slack: 'true'
  severity: info  
annotations:
  description: No logs reaching kibana for RLCM component.
  summary: No logs available in Kibana from RLCM for the last 5 minutes.

Это предупреждение срабатывает правильно, но не показывает, для каких журналов IP остановлен. Итак, я ищу альтернативу оповещениям с плоским журналом, чтобы не обрабатывать журналы в ситуации в Кибане. Любая помощь будет отличной.

    
0
0 ответов                              0                         
источник размещен Вот