elastalertにて
/var/log/messagesをelasticsearchのindexに格納して、ログ監視したいです。
blacklistの文言が出力されたら、アラートメールを送信させてたいです。
初回
logger error:testtest で、blacklist内の文字列を出力させて、
アラートメールを送信させることができました。
二度目以降
logger error:testtestで、アラートメールを送信させようとしたのですが
検知できていないのか、アラートメールが送信できませんでした。
設定に、不備があるのでしょうか?
原因確認方法と対処をご教示をお願いします。
■elastalertのrule.yaml
rule.yaml: |
es_host: Monitoring-elasticsearch-service-front
es_port: 9200
use_ssl: False
name: monitoring_/var/log/messages
index: logstash-*
type: blacklist
compare_key: "message"
blacklist:
- "error:testtest"
- " alert "
- " crit "
- " critical "
- " emergency "
- " err "
- " error "
- " failed "
- " halt "
- "kern.alert"
- "kern.crit"
- "kern.emerg"
- "kern.err"
- "kern.warnig"
- " can't "
- " dis"
- " down "
- " ignore "
- " no "
- " not "
- " oops "
- " warn "
- " warning "
- " [ERROR] "
type: frequency
num_events: 1
timeframe:
minutes: 1
realert:
minutes: 0
alert:
- "email"
email:
- "メールアドレス"