मैं logstash
, elasticsearch
और kibana
उपयोग कर रहा हूँ मेरी लॉग का विश्लेषण करने के लिए। मैं logstash में email
उत्पादन के माध्यम से लॉग में ईमेल के माध्यम से चेतावनी हूँ जब किसी विशेष स्ट्रिंग आता है:थ्रेसहोल्ड पार करने के बाद ईमेल अलर्ट, लॉगस्टैश?
email {
match => [ "Session Detected", "logline,*Session closed*" ]
...........................
}
यह ठीक काम करता है।
उदाहरण हैं user
क्षेत्र है, मैं सचेत करने के लिए जब अद्वितीय उपयोगकर्ताओं की संख्या की तुलना में अधिक जाना चाहते हैं:
अब, मैं एक क्षेत्र की गिनती (जब एक सीमा पार कर जाता है) पर सचेत करना चाहते हैं 5.
इस logstash में email
उत्पादन के माध्यम से किया जा सकता है ??
कृपया मदद करते हैं।
संपादित करें: रूप @Alcanzar मैं इस किया था कहा था:
कॉन्फ़िग फ़ाइल:
if [server] == "Server2" and [logtype] == "ABClog" {
grok{
match => ["message", "%{TIMESTAMP_ISO8601:timestamp} %{HOSTNAME:server-name} abc\[%{INT:id}\]:
\(%{USERNAME:user}\) CMD \(%{GREEDYDATA:command}\)"]
}
metrics {
meter => ["%{user}"]
add_tag => "metric"
}
}
तो ऊपर के अनुसार, server2
और abclog
के लिए मैं पार्स करने के लिए एक grok पैटर्न मेरी फ़ाइल और user
फ़ील्ड पर grok द्वारा पार्स किया गया मैं चाहता हूं कि मीट्रिक लागू हो।
मुझे लगता है कि इसके बाद के संस्करण कॉन्फ़िग फ़ाइल में है, लेकिन मैं अजीब व्यवहार जब मैं -vv
साथ logstash सांत्वना जाँच प्राप्त किया था।
तो अगर वहाँ फ़ाइल में 9 लॉग लाइनें हैं यह 9 पार्स पहले, उसके बाद यह मीट्रिक भाग शुरू होता है लेकिन वहाँ message
क्षेत्र लॉग फ़ाइल में logline नहीं है बल्कि यह मेरे पीसी के उपयोगकर्ता नाम है , इस प्रकार यह _grokparsefailure
देता है। कुछ ऐसा:
output received {
:event=>{"@version"=>"1", "@timestamp"=>"2014-06-17T10:21:06.980Z", "message"=>"my-pc-name",
"root.count"=>2, "root.rate_1m"=>0.0, "root.rate_5m"=>0.0, "root.rate_15m"=>0.0,
"abc.count"=>2, "abc.rate_1m"=>0.0, "abc.rate_5m"=>0.0, "abc.rate_15m"=>0.0, "tags"=>["metric",
"_grokparsefailure"]}, :level=>:debug, :file=>"(eval)", :line=>"137"
}
किसी भी मदद की सराहना की जाती है।
यदि आप एक उचित समाधान नहीं मिला, आप कृपया यह otheres के साथ साझा कर सकते हैं –
@TzookBarNoy:: मैं मैट्रिक्स के माध्यम से एक उचित समाधान नहीं मिल सका
ELK के शीर्ष परLogz.io अलर्ट नीचे ब्लॉग में की पेशकश कर रहे तो मैंने riemann चेतावनी उपकरण (http://riemann.io/) की कोशिश की और इसका उपयोग किया। –