如何在 ELK 中进行实时警报
How to do Real Time Alerting in ELK
我们的网络设备 syslog 服务器(source/destination IP 和端口)有 ELK(+XPACK)。当 source_ip 字段等于特定 IP 地址时,我正在尝试实施 实时 警报系统。我怎样才能用 ELK 做到这一点?
我尝试用 watcher 做,但它不是实时的,低间隔可能会导致性能问题(?)。
注意:记录速率约为每秒 500 条记录。
如果观察者不够快,那么你需要……数据传入时会触发什么。摄取管道无法执行外部操作,但如果您有 Logstah,则克隆 (https://www.elastic.co/guide/en/logstash/current/plugins-filters-clone.html) the relevant event and issue an alert via email (https://www.elastic.co/guide/en/logstash/current/plugins-outputs-email.html) 或任何适合您的方法。
这样一来,elastic 中就会有原始事件,而克隆的事件可以在单独的警报管道中进行处理。
我们的网络设备 syslog 服务器(source/destination IP 和端口)有 ELK(+XPACK)。当 source_ip 字段等于特定 IP 地址时,我正在尝试实施 实时 警报系统。我怎样才能用 ELK 做到这一点?
我尝试用 watcher 做,但它不是实时的,低间隔可能会导致性能问题(?)。
注意:记录速率约为每秒 500 条记录。
如果观察者不够快,那么你需要……数据传入时会触发什么。摄取管道无法执行外部操作,但如果您有 Logstah,则克隆 (https://www.elastic.co/guide/en/logstash/current/plugins-filters-clone.html) the relevant event and issue an alert via email (https://www.elastic.co/guide/en/logstash/current/plugins-outputs-email.html) 或任何适合您的方法。
这样一来,elastic 中就会有原始事件,而克隆的事件可以在单独的警报管道中进行处理。