小言_互联网的博客

Elastic:使用ElastAlert发送邮件通知

431人阅读  评论(0)

ElastAlert是一个简单的框架,用于从Elasticsearch中的数据中发出异常,尖峰或其他感兴趣模式的警报。我们可以在地址https://elastalert.readthedocs.io/en/latest/elastalert.html找到它的使用说明。在今天的教程中,我将一步一步地介绍如何搭配环境,并从Elasticsearch发送通知给电子邮件。在我之前的教程“Elastic:使用ElastAlert发送通知”中,我相信地介绍了如何发送通知到Slack中。

为了说明问题的方便,我的环境如下:

在我的环境中,我使用iMac电脑运行Elasticsearch及Kibana,而在另外一个虚拟机上运行我们的filebeat。filebeat把Ubuntu机器里的syslog传入到Elasticsearch中供分析,同时ElastAlert周期性地从Elasticsearch中获取数据,并依据制定的规则来发送通知。

 

准备工作

安装Elasticsearch

我们可以按照“如何在Linux,MacOS及Windows上进行安装Elasticsearch”介绍的那样安装好我们的Elasticsearch。不过由于我们需要使我们的Elasticsearch被另外一个虚拟机所见,在这里我们需要对我们的Elasticsearch进行配置。首先使用一个编辑器打开在config目录下的elasticsearch.yml配置文件。我们需要修改network.host的IP地址。在你的Mac及Linux机器上,我们可以使用:

$ ifconfig

来查看到我们的机器的IP地址。针对我的情况,我的机器的IP地址是:192.168.0.100。我们在config/elasticsearch.yml中配置:


  
  1. network .host: 0 .0 .0 .0
  2. discovery .type: single-node

在上面,我们把network.host设置为0.0.0.0。这样elasticsearch将会和本机器的所有的网路接口绑定,也就是说它即可以被localhost:9200访问,也可以同时被192.168.0.100:9200所访问。我们也必须在elasticsearch.yml的最后加上discovery.type: single-node,表明我们是单个node。

 

等修改完我们的IP地址后,我们保存elasticsearch.yml文件。然后重新运行我们的elasticsearch。我们可以在一个浏览器中输入刚才输入的IP地址并加上端口号9200。这样可以查看一下我们的elasticsearch是否已经正常运行了。

安装Kibana

我们可以按照“如何在Linux,MacOS及Windows上安装Elastic栈中的Kibana”中介绍的那样来安装我们的Kibana。由于我们的Elasticsearch的IP地址已经改变,所以我们必须修改我们的Kibana的配置文件。我们使用自己喜欢的编辑器打开在config目录下的kibana.yml文件,并找到server.host。把它的值修改为自己的电脑的IP地址。针对我的情况是:保存我们的kibana.yml文件,并运行我们的Kibana。

server.host: "192.168.0.100"

同时在浏览器的地址中输入自己的IP地址及5601端口:

 

 

如果配置成功的话,我们就可以看到上面的画面。

安装Ubuntu虚拟机

这个不在我的这个教程之内。在网上我们可以找到许多的教程教我们如何安装Ubuntu虚拟机。最简单的办法就是参照我之前的文档“Vagrant 入门教程”来启动一个Ubuntun 18.04的虚机。

 

安装filebeat

我们想在Ubuntu机器上安装我们的filebeat来手机system log信息。我们首先打开我们的Kibana。点击左上角的Kibana图标:

点击“Add log data”按钮:

然后点击“System logs

由于Ubuntu是debian系统,我们选择DEB。安装上面的步骤一步一步地进行安装。在配置filebeat.yml时,我们需要把我们的IP地址输入到相应的地方:


  
  1. output .elasticsearch:
  2. hosts: ["http://192.168.0.100:9200"]
  3. username: " elastic"
  4. password: "123456"
  5. setup .kibana:
  6. host: "192 .168 .0 .100 :5601"

上面是我的配置情况。如果你已经配置安全,你需要设置username及password。否则你不需要做任何配置。你可以根据自己的实际的IP地址进行配置。当我们成功地启动filebeat服务后,我们可以通过如下的命令来检查我们的服务是否已经成功运行:

sudo systemctl status filebeat

安装ElastAlert

我们可以参考链接https://elastalert.readthedocs.io/en/latest/running_elastalert.html来安装我们的ElastAlert。在这里我们使用python3来运行ElastAlert。首先我们需要在我们的Ubuntu上安装python3

我们安装如下的步骤进行安装:

1) 下载elastalert源码:

git clone https://github.com/Yelp/elastalert.git

2)安装模块:


  
  1. sudo apt-get install -y python3
  2. sudo pip3 install "setuptools>=11.3"
  3. sudo python3 setup.py install
  4. sudo pip3 install -U PyYAML

根据Elasticsearch的版本,您可能需要手动安装正确版本的elasticsearch-py。

Elasticsearch 5.0+:

sudo pip3 install "elasticsearch>=5.0.0"

Elasticsearch 2.X:

sudo pip3 install "elasticsearch<3.0.0"

这样我们的安装工作就完成了。

配置ElastAlert

配置文件

我们可以在ElastAlert源码文件的根目录下找到一个叫做config.yaml.example的文件:

我们可以把这个文件修改为config.yaml文件:

mv config.yaml.example config.yaml

我们使用我们喜欢的编辑器打开这个文件,并修改这个文件:

我们可以根据自己的IP地址来进行修改。如果我们对Elasticsearch做了安全设置,我们同时也需要填写用户名及密码:

做完上面的修改后,我们保存config.yaml文件。

配置Elasticsearch

ElastAlert将有关其查询和警报的信息和元数据保存回Elasticsearch。 这对于审核和调试很有用,它使ElastAlert可以重新启动并完全从中断处恢复。 ElastAlert不需要运行,但强烈建议使用。

首先,我们需要通过运行elastalert-create-index并按照说明为ElastAlert创建要写入的索引。我们进入到ElastAlert的源码根目录,并打入如下的命令:

elastalert-create-index

创建rule

每个规则都定义要执行的查询,触发匹配的参数以及每个匹配要触发的警报列表。 我们将使用example_rules/example_frequency.yaml作为模板。我们删除其中一些不需要的项目,最终的文件是这样的:

example_frequency.yaml


  
  1. # Alert when the rate of events exceeds a threshold
  2. # (Optional)
  3. # Elasticsearch host
  4. es_host: 192.168. 0. 100
  5. # (Optional)
  6. # Elasticsearch port
  7. es_port: 9200
  8. # (OptionaL) Connect with SSL to Elasticsearch
  9. #use_ssl: True
  10. # (Optional) basic-auth username and password for Elasticsearch
  11. #es_username: someusername
  12. #es_password: somepassword
  13. # (Required)
  14. # Rule name, must be unique
  15. name: a simple test for email notification
  16. # (Required)
  17. # Type of alert.
  18. # the frequency rule type alerts when num_events events occur with timeframe time
  19. type: frequency
  20. # (Required)
  21. # Index to search, wildcard supported
  22. index: filebeat-*
  23. # (Required, frequency specific)
  24. # Alert when this many documents matching the query occur within a timeframe
  25. num_events: 3
  26. # (Required, frequency specific)
  27. # num_events must occur within this amount of time to trigger an alert
  28. timeframe:
  29. hours: 4
  30. # (Required)
  31. # A list of Elasticsearch filters used for find events
  32. # These filters are joined with AND and nested in a filtered query
  33. # For more info: http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/query-dsl.html
  34. filter:
  35. - term:
  36. process.name: "JUSTME"
  37. # (Required)
  38. # The alert is use when a match is found
  39. alert:
  40. - "email"
  41. # (required, email specific)
  42. # a list of email addresses to send alerts to
  43. email:
  44. - "YourGmailAddress@gmail.com"

在上面请修改:

  • es_host为自己的Elasticsearch IP地址
  • es_port为自己的Elasticsearch 口地址
  • index: filebeat-* 设置filebeat为我们的观察索引
  • 同时我们使用一个filter。它检查process.name是否为JUSTME字符串。如果是,并且在1个小时(timeframe)里出现3次(num_events),那么将触发通知。
  • alert: 设置为email
  • email: 设置为自己的email地址

测试rule

运行elastalert-test-rule工具将测试您的配置文件是否成功加载并在过去的24小时内以调试模式运行它:

elastalert-test-rule example_rules/example_frequency.yaml

 

运行ElastAlert

我们使用Python来直接运行Elastalert:

python3 -m elastalert.elastalert --verbose --rule example_frequency.yaml 

这样我们的Elastalert已经被成功运行起来了。我们在这个时候可以打开我们的Kibana来监视filebeat-*索引,如果在一个小时内有三次process.name信息有JUSTME字样,那么我们就会在我们的邮件里收到通知。

 

配置邮件

为了测试,我们使用gmail邮件通知。我们必须进行如下的安装:

打开2-factor安全

我们可以在自己的邮件中打开2 factor验证。可以参阅链接

安装postfix

sudo apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules

打入上面的命令来进行安装postfix。然后,我们打开如下的文档进行配置:

sudo vi /etc/postfix/main.cf

main.cf


  
  1. #relayhost =
  2. mynetworks = 127.0 .0 .0/ 8 [::ffff: 127.0 .0 .0]/ 104 [:: 1]/ 128
  3. mailbox_size_limit = 0
  4. recipient_delimiter = +
  5. inet_interfaces = all
  6. inet_protocols = ipv4
  7. relayhost = [smtp.gmail.com]: 587
  8. smtp_sasl_auth_enable = yes
  9. smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
  10. smtp_sasl_security_options = noanonymous
  11. smtp_tls_CApath = /etc/ssl/certs
  12. smtpd_tls_CApath = /etc/ssl/certs
  13. smtp_use_tls = yes
  14. "/etc/postfix/main.cf" 53L, 1745C

请注意上面被修改的部分:

接着我们需要创建上面所示的文档/etc/postfix/sasl_passwd。

sudo vi /etc/postfix/sasl_passwd

然后把下面的文字放进去:

[smtp.gmail.com]:587    YourGmailAccount@gmail.com:xxxx xxxx xxxx xxxx

请注意: 在上面放置自己的Gmail邮件地址,在上面的xxxx xxxx xxxx xxxx部分是你在生成2-factor时生成的访问邮箱的密码。它是16个字母的密码。你可以在地址https://myaccount.google.com/apppasswords去设置。

 

等我们完整设置后,我们在ubuntu的terminal中打入如下的命令:


  
  1. sudo chmod 400 /etc/ postfix/sasl_passwd
  2. sudo postmap /etc/ postfix/sasl_passwd
  3. sudo systemctl restart postfix

为了验证我们的邮件的配置是否成功,我们可以打入如下的命令来进行验证:


  
  1. echo "Testing" | mail -s "Test Email" YourEmailAccount @gmail.com
  2. sudo postqueue -p

通过sudo postqueue -p命令,我们可以查看当前的邮件发送是否没有发送出去。如果发送出去,应该显示的是empty状态。我们可以通过:

sudo postqueue -f

来flush这个队列,以进行重新的发送。我们也可以通过如下的命令来删除队列中的所有未被发送的邮件:


  
  1. postsuper -d mail_queue_id
  2. postsuper -d ALL

一旦上面的配置以已经完成,我们重新在另外一个terminal中打入如下的几条信息:

那么在我们运行下面命令的的terminal中:

python3 -m elastalert.elastalert --verbose --rule example_frequency.yaml 

我们可以看到如下的输出:

从上面我们可以看出来有一个邮件的通知已经发送出去了。我们可以查看我们的邮件:

打开我们的邮件,我们可以看到:

显然,我们的邮件通知是成功了。

 

参考:

【1】https://easyengine.io/tutorials/linux/ubuntu-postfix-gmail-smtp/


转载:https://blog.csdn.net/UbuntuTouch/article/details/105473542
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场