🌤️ 加载中...
#
企业/项目 安全建设 2018-11-29

ELK Sentinl预警插件设置

By Jove 1 Views 5 MIN READ 0 Comments

Input 通用输入模板:

[codesyntax lang="html4strict"]

{
  "search": {
    "request": {
      "index": [
        "日志-*"
      ],
      "body": {
        "query": {
          "bool": {
            "must": [
              {
                "query_string": {
                  "query": "error",            //查询关键字
                  "use_dis_max": true
                }
              },
              {
                "range": {
                  "@timestamp": {
                    "gte": "now-1m",           //查询1分钟范围内
                    "lte": "now",
                    "format": "epoch_millis"
                  }
                }
              }
            ],
            "must_not": []
          }
        }
      }
    }
  }
}

[/codesyntax]

 

 

 

Condition:设置触发条件

[codesyntax lang="html4strict"]

{
  "script": {
    "script": "payload.hits.total > 200"          //1分钟内错误200次后预警
  }
}

[/codesyntax]

 

 

Action ---->Body:即邮件的内容

[codesyntax lang="html4strict"]

来自线上APP2的错误日志预警信息:

一分钟内错误总数:{{payload.hits.total}}

服务器:{{payload.hits.hits.0._source.host}}

日志时间:{{payload.hits.hits.0._source.@timestamp}}

相关错误信息:{{payload.hits.hits.0._source.message}}

[/codesyntax]

 

本文由 Jove 原创

采用 CC BY-NC-SA 4.0 协议进行许可

转载请注明出处:https://www.jozxing.cc/index.php/archives/1495/

TAGS: 无标签

相关推荐

  • 暂无相关推荐,看看别的吧。

0 评论