ELK详解（二十一）——elastalert介绍与安装

今天继续给大家介绍Linux运维相关知识，本文主要内容是elastalert的介绍与安装

一、elastalert简介

Elastalert是一个简单的框架，用于从Elasticsearch中的数据中发现异常或者其他模式的特征，然后可以进行报警。他将Elasticsearch与规则类型和警报这两个组件联合起来使用。定期查询Elasticsearch，并且将数据传递给规则类型，当找到规则所对应的匹配项时，发出报警。
Elasticsearch官方文档地址为：https://elastalert.readthedocs.io，其页面如下：

二、elastalert安装

下面，我们来安装一下elastalert。Elastalert需要运行在python3的环境中，然而我们的Linux的系统默认是Python2的环境，Python3环境的安装可以参考文章：Linux安装Python3详解，相关配置和操作在该文章中有详细的记载，在这里就不过多赘述了。在完成Python3环境的安装后，我们就可以开始elastaler的安装了。
首先，我们下载一下Elasticalert的安装包，下载下来后，解压并进入解压后的目录中，先安装elasticsearch，执行命令：

pip install "elasticsearch<7,>6"

安装过程如下所示：

接下来，elastalert还需要安装一些依赖包，这些依赖包都在解压后目录的requirements.txt文件内，因此，我们需要安装该文件中列举处的依赖包，执行命令：

pip install -r ./requirements.txt

若上述命令执行速度过慢，有可能是因为pip下载源的问题，可以使用-i参数来指定下载源，执行命令：

pip install -r ./requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple

完成上述操作后，执行命令：

python setup.py install

即可完成elastalert的安装。

三、elastalert命令介绍

最后，我们来介绍一下elastalert的几个命令。在elastalet安装完成后，在/usr/local/python/bin/下会生成四个相关的命令，如下所示：

这四个命令作用如下：
1、elastalert
用于根据报警规则进行报警。
2、elastalert-create-index
该命令在执行后，会创建一个索引，elastalert会把执行记录存放到这个索引中。在默认情况下，索引名称为elastalert_status。该索引有4个type，都有自己的时间戳，因此可以使用Kibana来查看该索引的内容。
3、elastalert-rule-from-kibana
该命令用于从Kibana已保存的仪表盘中读取filtering设置，帮助生成配置文件。
4、elastalert-test-rule
该命令用于测试自定义配置中的rule设置。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200