基於Docker的日誌分析平臺（五）監控與報警

X-Pack 簡介

在 ElasticStack 出5.0以前，對於 ELK 的監控有着五花八門的解決方案，官方的插件也是各類變化，不只名字亂並且還要一個個安裝。固然，官方也考慮到了你們的疾苦，因而推出了 X-Pack 這個套件專門用來作監測。總共包含：安全，警報，監控，監控，報告，圖表這五個功能，這裏簡單介紹下安全監控與報警。

若是是單獨安裝 ELK 的話是須要額外再安裝X-Pack的

安全

在沒有安裝 X-Pack 的時候登陸 Kibana 是不須要輸入帳號密碼的。登陸以後就能夠看到側邊欄有一個新的 Management 菜單，點進去後有一個關於 Elasticsearch 的欄目，能夠進行角色和權限的設定。

監控

監控在側邊欄的 Monitoring 面板，能夠看到關於 ELasticsearch 和 Kibana 具體的信息和運行狀態：

點擊進去還能夠經過很霸氣的折線圖來查看：

總共有4個標籤頁，其中 Indices 能夠查看當前的索引狀況：

報警

在 Elasticsearch 中須要咱們本身設定一系列的條件，當條件知足的時候會觸發相應的動做，並且還要設定監測的頻率。咱們這裏設定一個每 10 分鐘循環監測發現日誌中出現 5 次數 ERROR 的狀況則觸發相應的動做。須要設定如下四個：

• Trigger: 設定循環執行的時間間隔
• Input: 設定監測的索引以及觸發數據
• Condition: 若是出現 ERROR 的次數超過 5 次，則認爲觸發了條件
• Actions: 執行具體的操做

PUT _xpack/watcher/watch/log_errors
{
  "metadata" : { 
    "color" : "red"
  },
  "trigger" : { 
    "schedule" : {
      "interval" : "10m"
    }
  },
  "input" : { 
    "search" : {
      "request" : {
        "indices" : "access-log",
        "body" : {
          "size" : 0,
          "query" : { "match" : { "level" : "ERROR" } }
        }
      }
    }
  },
  "condition" : { 
    "compare" : { "ctx.payload.hits.total" : { "gt" : 5 }}
  },
  "actions" : { 
    "email_administrator" : {
      "email" : {
        "to" : "admin@site.com",
        "subject" : "Encountered {{ctx.payload.hits.total}} errors",
        "body" : "Find five errors in the system",
        "priority" : "high"
      }
    }
  }
}

到這裏日誌平臺就基本搭建完成了，接下來有機會會講講從單機到集羣的部署方式以及須要注意的地方。

歡迎關個人我的公衆號：左手代碼