elastalert过滤日志级别并发送电子邮件

ohtdti5x  于 2021-06-14  发布在  ElasticSearch
关注(0)|答案(1)|浏览(481)

我在elastalert有一些问题,真的让我卡住了。我正处于一个问题当中,真的需要你的帮助。我的问题如下:
有什么方法可以根据日志级别或严重性进行过滤吗?
对于ElasticSearch中的每个条目,是否有任何方法可以发送电子邮件(因为我将在logstash中使用grok过滤器来只推送错误日志)。
我试过一个接一个地跟着,但都没用。

filter:
- term:

# essage: "*INFO*"

# query: "info"

# host.name: "*IPADDRESS.us-east-2.compute.internal*"

以上这些都不起作用。

c0vxltue

c0vxltue1#

你的问题有点广泛,所以,我只能给你一些建议,但你可能想运行这样的东西:


# From rules/example_frequency.yaml

name: Immediate attention is necessary.
type: frequency
index: logstash-ming-ossec-syslog-new-*
num_events: 1
timeframe:
    minutes: 10

# - query:

# query_string:

# query: 'res:failed AND op:login  AND (NOT acct:root) AND (NOT acct:(unknown))'

# filter:

# - query:

# query_string:

# query: "system.log.severity: SEVERE

# or whatever makes sense with your data

filter:
- query:
    query_string:
      query: "alarm AND error AND (critical OR severe)"
      default_field: syslog_message

alert:
- "email"

email:
- "ming@log4analytics.com"
- "fgh@outlook.com"
smtp_host: "smtp.mailgun.org"
smtp_port: 25
smtp:ssl: true
from_addr: "ming@log4analytics.com"
smtp_auth_file: '/opt/elastalert/smtp_auth_file.yaml'

灵感来自https://github.com/yelp/elastalert/blob/master/example_rules/example_frequency.yaml

相关问题