ElastAlert教程3章:elastalert简介
日志告警是一个非常重要的技术,对日志进行监控,当发现日志出现特定内容时,进行报警,这是一种独立的,没有侵入性的技术。
日志告警的优点在于,告警规则可以独立于应用程序,应用程序只需要使用log4j这样的日志框架打印日志,日志告警引擎负责收集分析这些日志,当匹配规则时,发送报警,架构的耦合性是非常低的。
本教程,我们讲解目前非常好的日志告警 开源软件ElastAlert。
elastalert的流程
elastalert产生告警的流程是:
graph LR
日志打印程序 --> 本地文件
本地文件 --> filebeat
filebeat --> elastsearch
elastsearch --> elastalert
elastalert --> 告警
- 日志打印到本地文件中
- 通过filebeat收集本地文件中的日志
- filebeat将日志发送到elastsearch中
- elastsearch到日志告警
elastalert需要学习的知识点
要灵活使用elastalert,就需要使用如下的一些技术:
- docker: 用docker安装elk会比较容易
- elastsearch的简单使用
- filebeat:日志收集器的简单使用
举个例子网技术交流总群(581912254)
