Phenquestions
Ако морате да управљате огромним количинама података, једног дана ћете се наћи у жељи за алатом који ће вам једноставно указати на аномалије или недоследности у подацима и упозорити вас у реалном времену.
Шта је ЕластАлерт?
ЕластАлерт је дизајниран да управо то учини. То је једноставан оквир који упозорава када открије аномалије, скокове или друге обрасце правила из података додатих у Еластицсеарцх.
На пример, можда постављате упозорење „учесталост“, које ће вас обавестити када буде Кс броја догађаја у И времену.
Или ћете можда желети да вас одмах упозоре када се догоди „шиљак“ догађај, то јест када се стопа којом се неки догађај изненада повећава или смањује.
Остали типови правила који су укључени су:
- 'равна линија' - када је мање од Кс догађаја у И времену
- „црна листа / бела листа“ - када се одређено поље подудара са „црном листом“ или „белом листом“
- „било који“ - када се догоди догађај који се подудара са датим филтером
- „промена“ - када поље има две различите вредности у одређеном временском периоду
Подржани типови упозорења
Тренутно ЕластАлерт има уграђену подршку за следеће типове упозорења.
- Команда
- Емаил
- ЈИРА
- ОпсГение
- СНС
- ХипЦхат
- Слацк
- Телеграм
- ГооглеЦхат
- Отклањање грешака
- Стомп
- кошница
Инсталирајте ЕластАлерт са Еластицсеарцх на Убунту
У овом чланку ћемо вам показати како да инсталирате ЕластАлерт на убунту 18.04.
Захтеви
- Еластицсеарцх
- Подаци са временском ознаком ИСО8601 или Уник
- Питхон 2.7
- пип, погледајте захтеве.ткт - (хттпс: // гитхуб.цом / Иелп / еласталерт / блоб / мастер / рекуирементс.ткт)
- Пакети за убунту - питхон-пип питхон-дев либффи-дев либссл-дев
Инсталирање предуслова
Инсталирајте Питхон 2.7:
судо апт-гет инсталирај питхон-минимал
Проверите верзију Питхона:
судо питхон --верзија
Тада ћете добити излаз за питхон 2.7.
Инсталирајте потребне пакете:
судо апт-гет инсталација питхон-пип питхон-дев либффи-дев либссл-дев
Постоји неколико различитих начина за инсталирање ЕластАлерт-а, а овде ћемо извршити инсталацију клонирањем гит спремишта.
Зато морамо да инсталирамо „гит“ пре него што наставимо. Обично је Убунту 18.04 је већ инсталирао гит.
Проверите да ли је инсталирана или доступна верзија гита:
политика судо апт-цацхе гит
Ово ће дати детаље о инсталираној и потенцијалној верзији гит-а.
Ако не видите инсталирану верзију гит-а, покрените следећу наредбу.
судо апт-гет инсталирај гит
Клонираћемо репозиторијум ЕластАлерт у директоријум „/ опт“, па променимо директоријум.
судо цд / опт
Сада клонирајте гит спремиште.
судо гит клон хттпс: // гитхуб.цом / Иелп / еласталерт.гит
Сада инсталирајте модуле.
судо пип инсталл "сетуптоолс> = 11.3 "
подешавање судо питхона.пи инсталл
Можете добити овакву грешку.
Затим покрените наредбу испод да бисте инсталирали „ПиОпенССЛ“
судо пип инсталирати ПиОпенССЛ
Овде ћемо се интегрисати са Еластиц претраживањем 6.Икс. Дакле, Еластицсеарцх 5.Овде ће бити инсталиран 0+.
судо пип инсталл "еластицсеарцх> = 5.0.0 "
Конфигуришите ЕластАлерт
Клонирали смо ЕластАлерт репо у директоријум „/ опт“, па промените директоријум пре него што наставите.
судо цд / опт / еласталерт /
Сада добијамо копију цонфиг.иамл.пример датотеке као конфигурације.иамл
судо цп цонфиг.иамл.пример цонфиг.иамл
Модифи цонфиг.иамл датотека.
вим цонфиг.иамл
Раскоментаришите следеће редове и измените их.
Име хоста или ИП адреса ЕластицСеарцх
ес_хост: елк-сервер
ЕластицСервер порт
ес_порт: 9200
Опозовите основну потврду идентитета:
ес_усернаме: ес_пассворд:
Сачувајте и затворите датотеку.
Направите индекс ЕластАлерт.
судо еласталерт-цреате-индек
Стварање правила
Сада уредите датотеку под називом „екампле_фрекуенци.иамл “унутар директоријума„ / опт / еласталерт / екампле_рулес / “
судо вим екампле_рулес / екампле_фрекуенци.иамл
Раскоментаришите и измените индекс на следећи начин:
индекс: филебеат- *
Сада дефинишите филтер за упозорење. Овде филтрирамо кључне речи са низом „изузетак“.
филтер: - стринг_запита: упит: "порука: * изузетак *"
Конфигуришите Алтер са Слацк-ом. Овде треба да креирате Слацк канал и долазну веб-куку. Затим додајте детаље о конфигурацији на следећи начин.
упозорење: - "слацк" слацк: слацк_вебхоок_урл: "хттпс: // куке.млитавост.цом / сервицес / Т3ИСФН0ГЛ / БФУ1ХПЛКД / БПМ2јОлИОзКкбЕОХАепу6д26 "слацк_усернаме_оверриде:" Фосслинук-Еластиц-Бот "слацк_цханнел_оверриде:" #фосслинукалерт "слацк_емоји_оверримсг:" слацк_емоји_оверридег: "слацк_емоји_оверридег:"
Можете следити кораке у наставку да бисте креирали Слацк канал.
Конфигурисање Слацк канала за ЕластАлерт
Ако немате слободан рачун, можете га добити једноставним пријављивањем. Идите на „опуштено.цом “и унесите своју адресу е-поште и кликните на„ ПОЧНИТЕ “.
Затим кликните на „направи нови радни простор“ и потврдите своју адресу е-поште. Сада се можете пријавити и прегледати контролну таблу.
Идите на Прегледавање апликација -> Прилагођене интеграције -> Долазне веб куке -> Нова конфигурација
Затим кликните на „Направи нови канал“ да бисте креирали канал за слање упозорења.
Затим кликните на дугме „Направи канал“ и бићете преусмерени на страницу за интеграцију Вебхоок-а.
Кликните на дугме „Додај долазну интеграцију ВебХоокс“. Ово ће створити подешавања интеграције.
Тест Правило
Промените директоријум у ЕластАлерт.
судо цд / опт / еласталерт /
Покрените наредбу испод да бисте тестирали конфигурисано правило.
судо еласталерт-тест-руле екампле_рулес / екампле_фрекуенци.иамл
Покрените ЕластАлерт
Покренућемо ЕластАлерт као позадинску услугу. Ову наредбу треба покренути у директоријуму “/ опт / еласталерт /”.
судо питхон -м еласталерт.еласталерт --вербосе --руле екампле_фрекуенци.иамл &
Сада ће ЕластАлерт почети да проверава упите на Еластицсеарцх-у (на ЕЛК серверу). Ако постоји меч, испалит ће упозорење за Слацка.
Активирано упозорење.
Упозорење ће ићи на Слацк Цханнел.
То је то, успешно смо инсталирали и конфигурисали ЕластАлерт помоћу еластичне претраге, а такође смо поставили упозорења за Слацк. Надамо се да ће вам овај исцрпан водич помоћи да инсталирате ЕластАлерт и подесите нека правила за лако покретање упозорења. Питања и повратне информације су добродошли у одељку за коментаре.
