es watcher插件安裝及使用

原創 五道杠好青年 2018-09-04 04:52

es watcher插件安裝及使用

簡介

  • watcher是一個用於elasticsearch的插件,它可以根據數據的變化提供警報和通知

安裝

  • 從5.0版本之後,watcher就成爲了x-pack的一部分,也就是說安裝了x-pack,watcher就已經安裝了。

使用

  • 驗證watcher是否啓動:
 curl --user elastic:changeme -XGET 'http://172.30.1.45:9200/_watcher/stats?pretty'

返回:
{
  "watcher_state" : "started",
  "watch_count" : 0,
  "execution_thread_pool" : {
    "queue_size" : 0,
    "max_size" : 10
  },
  "manually_stopped" : false
}

說明watcher已經啓動

  • watcher通常用於兩個場景:

    • 監控日誌數據的錯誤(Watch Log Data for Errors)
    • 監控es集羣的狀態(Watch Your Cluster Health)

  • 構建一個watcher,watcher的主體內容包含四部分:

    • 觸發設置(trigger):設置一個檢查錯誤日誌數據的週期(periodically checks your log data for error conditions),以下是兩種表達式:
      • ”schedule” : { “interval” : “10s” } 每十秒檢查一次
      • “schedule” : { “cron” : “0 0/1 * * * ?” } 每分鐘一次
      • 通常Schedules 配置不會很頻繁的,配置10s是爲了方便觸發,便於測試,測試完成要記得刪除測試watcher
    "trigger" : { 
    "schedule" : { "interval" : "10s" } 
}
或者
 "trigger" : { 
    "schedule" : { "cron" : "0 0/1 * * * ?" } 
}
    • 數據來源設置(input):
    "input" : {
    "search" : {
        "request" : {
            "indices": ["ecps-*"],  //索引名稱
            "body" : {
                "query" : {
                    "match" : { "message": "WEIFAN-NIHAO" }
                }
            }
        }
    }
}

match短語:

"match" : {
    "message" : {
        "query" : "this is a test",
        "type" : "phrase"
    }
}
    • 條件設置(condition):判斷要監控的內容是否命中(checks to see if any errors were found or hit)
    條件:總命中數大於2,gt是大於,gte是大於等於

"condition" : {
    "compare" : { "ctx.payload.hits.total" : { "gt" : 2 }}
}

ctx.payload.hits   查詢結果命中內容
ctx.payload.hits.total  查詢結果命中數量
ctx.payload.hits.hits.2  指定第幾個命中的,0是起始索引
ctx.payload.hits.hits.<index>.fields.<fieldname> 指定第幾個命中的某個屬性,eg:ctx.payload.hits.hits.0.fields.message

以上均可可以作爲郵件內容發送
    • 動作設置(actions): 一旦監控的內容命中,需要採取的措施,可以打印日誌或者郵件預警等。(Take action if there are any errors)
    可以把命中數動態寫入動作內容:

動作一:通過打印日誌

logging:會將日誌打印到es的標準輸出日誌中!(A watch action that simply logs text to the standard Elasticsearch logs)

"actions" : {
    "log_error" : {//動作id
        "logging" : {
            "text" : "Found {{ctx.payload.hits.total}} errors in the logs, message:服務掛了!!!",
            "level": info //默認就是info
        }
    }
}

動作二:通過發送郵件

"actions" : {
    "reminder_email" : {//動作 id
        "email" : {
            "to" : "[email protected]",//收件人地址
            "subject" : "system error",//主題
            "body" : "Found {{ctx.payload.hits.total}} errors in the logs, message:服務掛了!!!"//內容
    },
   "priority" : "high"//優先級:lowest, low, normal, high and highest
}

  • 測試(測試過程可以直接在kibana dev tools 控制檯進行):

# 驗證watcher是否啓動
 curl --user elastic:changeme -XGET 'http://172.30.1.45:9200/_watcher/stats?pretty'

# 創建索引index1
curl --user elastic:changeme -XPUT '172.30.1.45:9200/index1?pretty'

# 設置watch,id:weifan_watch
curl --user elastic:changeme -XPUT 'http://172.30.1.45:9200/_watcher/watch/weifan_watch' -d '{這裏是watch的配置,json字符串}

# 測試案例一:
curl --user elastic:changeme -XPUT 'http://172.30.1.45:9200/_watcher/watch/weifan_watch' -d '{
  "trigger" : { "schedule" : { "interval" : "10s" } },
  "input" : {
    "search" : {
      "request" : {
        "indices":["index1"],
        "body" : {
          "query" : {
            "match" : { "message": "YIKANG" }//這裏的message是精確匹配
          }
        }
      }
    }
  },
  "condition" : {
    "compare" : { "ctx.payload.hits.total" : { "gte" : 1 }}
  },
  "actions" : {
    "log_error" : {
      "logging" : {
        "text" : "Found {{ctx.payload.hits.total}} errors in the logs,message: 服務掛了!!!"
      }
    }
  }
}'

# 測試案例二:
curl --user elastic:changeme -XPUT 'http://172.30.1.45:9200/_watcher/watch/weifan_watch' -d '{
  "trigger" : { "schedule" : { "interval" : "10s" } },
  "input" : {
    "search" : {
      "request" : {
        "indices":["index1"],
        "body" : {
          "query" : {
           "match" : {
                "message" : {
                    "query" : "java.lang.OutOfMemoryError",
                    "type" : "phrase"//這裏的message是根據短語匹配,message包含關鍵字即可預警
                }
            }
          }
        }
      }
    }
  },
  "condition" : {
    "compare" : { "ctx.payload.hits.total" : { "gte" : 1 }}
  },
  "actions" : {
    "log_error" : {
      "logging" : {
        "text" : "Found {{ctx.payload.hits.total}} errors in the logs,message: 服務掛了!!!"
      }
    }
  }
}'

# 查看watcher內容:
curl --user elastic:changeme -XGET 'http://172.30.1.45:9200/_watcher/watch/weifan_watch'

# 往es裏面放數據,索引index1,type:type1,ID:1
# 測試案例一:
curl -XPOST '172.30.1.45:9200/index1/type1/1?pretty' -d '{"message": "YIKANG" }'

# 測試案例二:
curl -XPOST '172.30.1.45:9200/index1/type1/1?pretty' -d '{"message": "tomcat: java.lang.OutOfMemoryError: PermGen space" }'

查看es標準輸出日誌,是否打印:Found 1 errors in the logs,message: 服務掛了!!!,如果打印,即測試通過

# 刪除測試watcher:
curl --user elastic:changeme -XDELETE 'http://172.30.1.45:9200/_watcher/watch/weifan_watch'

其他可能用到的命令:

# 查看索引信息(根據id查詢):
curl --user elastic:changeme -XGET '172.30.1.45:9200/index1/type1/1?pretty'

# 查看索引內容(索引下所有):
curl --user elastic:changeme '172.30.1.45:9200/index1/_search?q=*&pretty'

# 刪除索引:
curl --user elastic:changeme -XDELETE '172.30.1.45:9200/index1?pretty'

# 列舉所有索引
curl --user elastic:changeme 'http://172.30.1.45:9200/_cat/indices?v'
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

日誌分析系統ELK安裝(單機)

下載ElasticSearch、Logstash、Kibana安裝包。 百度雲地址: 鏈接:https://pan.baidu.com/s/104Qae0x5epXJO39iQzaoNw 提取碼:2cl5 ElK + Filebe

DavidLee9 2020-07-08 10:31:09

elasticsearch geo使用

建立索引 PUT /my_locations { "mappings": { "properties": { "pin": { "properties

小绿龙 2020-07-08 09:29:01

Oracle原理: 歸檔方式和日誌文件

一、聯機日誌、聯機日誌組 oracle聯機重做日誌放在了 /oracle/oradata/orcl下,有3個REDO.log,記錄了對數據庫的所有的操作。用戶在對數據庫進行操作時,後臺進程LGWR就會把日誌緩衝區的重做條目就會寫到重做日誌

superSmart_Dong 2020-07-08 10:22:45

slf4J輸出mybatis日誌的方法(非stdout方式)

slf4J輸出mybatis日誌的方法(非stdout方式)前言依賴配置slf4j配置mybatis配置效果其他幾種配置附 前言 現在很多項目中都是直接用的@Slf4j的註解來打印日誌,然後又想看mybatis的日誌,自己之前也各

zzzgd_666 2020-07-08 07:44:49

elasticsearch 7.0 新特性之 Match Bool Prefix Query

1、介紹 match_bool_prefix 查詢內部將輸入文本通過指定analyzer分詞器處理爲多個term,然後基於這些個term進行bool query,除了最後一個term使用前綴查詢 其它都是term query。 查詢語句:

moliyiran 2020-07-08 11:53:26

七、分佈式環境搭建——ElasticSearch集羣搭建及集羣管理工具cerebro

首先各節點安裝好elasticsearch 參考:https://mp.csdn.net/mdeditor/91390470# 1 集羣配置elasticsearch.yml (1)節點1配置 cluster.name: tan

仁钦宝 2020-07-08 11:45:49

ELasticSearch分片原理

文章目錄一、 分片內部原理1.1 文檔可被搜索1.2 動態更新索引1.3 近實時搜索1.4 持久化變更1.5 段合併   Elasticsearch數據存儲在分片中,然後分片分配到集羣中的節點上。當集羣擴容或縮小,Elastics

_梓杰_ 2020-07-08 11:20:01

elasticsearch7.6文檔解析-avg聚合

文檔格式如下: { "account_number": 1, "balance": 39225,

moliyiran 2020-07-08 11:15:53

ElasticSearch7.2 父子文檔

建立父-子文檔語法 首先看一下如何建立父子文檔,明顯和網上”_parent”的方式不一樣,說明es後期版本已經修改了語法 1 2 3 4 5 6 7 8 9 10 11 12 13 PUT my_index { "mapp

moliyiran 2020-07-08 11:15:53

Elasticsearch(7) ---複合查詢

複合查詢有:bool query(布爾查詢)、boosting query(提高查詢)、constant_score(固定分數查詢)、dis_max(最佳匹配查詢)、function_score(函數查詢)。 一、bool query(布

moliyiran 2020-07-08 11:15:53

Elasticsearch:運用search_after來進行深度分頁

在上一篇文章 “Elasticsearch:運用scroll接口對大量數據實現更好的分頁”,我們講述瞭如何運用scroll接口來對大量數據來進行有效地分頁。在那篇文章中,我們講述了兩種方法: from加上size的方法來進行分頁 運用sc

moliyiran 2020-07-08 11:15:41

Centos7安裝ElasticSearch5.6集羣

一.環境準備 jdk1.8(自己找教程安裝這邊就不贅述了) elasticsearch-5.6.6.tar(https://artifacts.elastic.co/downloads/elasticsearch/elasticsearc

纪文啊! 2020-07-08 08:45:23

Elastic 練習

1.  利用docker compose快速製作一個es集羣 docker-compose.yml  compose fork from文件來自極客時間 version: '2.2' services: cerebro: i

caicongyang 2020-07-08 07:56:11

如何預防 Elasticsearch 服務器入侵事件的發生

如果您身在技術圈,很可能在某個時刻已經正面遭遇過“服務器入侵”。即使您身處圈外,也可能會對致使私密個人數據最終落入不法之手的服務器/數據入侵和安全漏洞有所耳聞。此類數據可能包括信用信息、社會安全號碼,以及其他您想要保密且不希望落入

Java小罗 2020-07-08 06:52:10

elasticsearch reindex和sort的使用

背景 使用sort的時候需要注意,如果排序字段是字符串類型的(text、string),那麼會按照排序字段的值的字典順序進行排序。 而有時候我們需要按照實際數值進行排序,這時候就需要重建索引reindex,重建索引的時候使用新的模板或指定

ASN_forever 2020-07-08 10:43:37