發生 1000 次後的 logstash 警報

February 4, 2016

我試圖讓 Logstash 僅在 10 分鐘內收到超過 1000 個項目後才提醒我。我需要 Hipchat 和 PagerDuty 中的警報。

我的配置看起來很合理，但沒有按預期工作。

filter {
   if my_filtering_conditional_that_is_100%_correct {
       throttle {
           before_count =&gt; 1000
           period =&gt; 600
           add_tag =&gt; ["PD"]
           key =&gt; "string"
       }
       clone {
           add_tag =&gt; ["Count"]
       }
   }
   if "Count" in [tags] {
       throttle {
           before_count =&gt; 1000
           period =&gt; 600
           add_tag =&gt; ["HC"]
           key =&gt; "string"
       }
   }
}

output {
   if "PD" in [tags] {
        pagerduty {
           event_type =&gt; trigger
           incident_key =&gt; "logstash/Logstash"
           service_key =&gt; Pagerduty_API_key
           workers =&gt; 1
           description =&gt; "Alert message"
       }
   }
   if "HC" in [tags] {
       hipchat {
           color =&gt; "random"
           from =&gt; "Logstash"
           format =&gt; "Alert message"
           room_id =&gt; "Room"
           token =&gt; "token"
       }
   }
}

使用指標過濾器可能會取得更好的成功。

filter {
 my_filtering_conditional_that_is_100%_correct {
   metrics {
     meter =&gt; [ "events" ]
     flush_interval =&gt; 600
     clear_interval =&gt; 600
     add_tag =&gt; "events"
   }
 }
}

output {
 if "events" in [tags] {
   if [events][count] &gt; 1000 {
     # do things
   }
 }
}

我認為您最好的選擇是使用http://riemann.io/。它處理事件“流”，這種邏輯在那裡表示起來並不難。
當某種類型的事件超過 5 個時，以下連結上的範例會創建警報：
(streams
 (where (&lt;= 0 metric 5)
   (with :state "ok" index)
   (else
     (with :state "warning" index))))
http://riemann.io/howto.html#set-thresholds
問候，

引用自：https://serverfault.com/questions/691755

發生 1000 次後的 logstash 警報

相關問答

logstash 無法解析系統日誌輸入

嘗試發送到 slack webhook 時，Logstash 輸出-http 外掛錯誤 500

獲取logstash版本

為什麼 filebeat 中的 exclude_lines 會排除所有日誌？

Logstash 輸出到 Azure blobstorage

使用 journald 而不是 rsyslog 的 Logstash