Problématique envoie plusieurs mails

Bonsoir;
je vous sollicite afin que vous m'édifiez si possible sur la fonctionnalité ouput mail de logstash , en effet étant dans un projet où j'expérimente une version basique d'ELK ; j'aimerai utiliser la fonction ouput de logtash pour envoyer des mails ; j'ai déjà pu le faire pour une erreure précise se trouvant dans le champs message ; mais j'aimerais pouvoir le faire avec plusieurs motifs d'erreurs en utilisant par exemple un tableau d'erreurs ou un fichier d'erreurs ; pouvez vous m'aider ?

voici mon code actuellement qui marche ; comment le modifier pour l'adapter à mon mon besoin ;

output {
elasticsearch {
hosts => localhost
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
}
stdout {
codec => rubydebug
}
if "gkr-pam: unlocked login" in [message] {
email {
to=>"@gmail.com"
from=>"
@gmail.com"
subject=>"Alerte email ELK"
body=>"Here is the event line that occured: %{message}"
via=>"smtp"
address=>"smtp.gmail.com"
username=>"@gmail.com"
password=>"
"
port=>587
use_tls=>true
codec=>"plain"
debug=>true
}

Dans ce cas - il faut jouer avec les if...else.
Il faut en revanche bien etre de ne pas se tromper car ça peut vite saturer ton mail_queue

ok s'il te plais je peux avoir un exemple d'implémentation de ta solution ?

Un exemple très simple auquel tu pourrais t'assurer déjà que tes if..else réagisse comme tu le souhaite :

input{
   stdin {}
}

output {
  if "toto" in [message] {
    email {
      to => 'technical@example.com'
      from => 'monitor@example.com'
      subject => 'subject blablabla'
      body => "blabla bla %{message}"
      domain => 'mail.example.com'
      port => 25
    }
  } else if "tata" in [message] {
    email {
      to => 'technical@example.com'
      from => 'monitor@example.com'
      subject => 'subject blablabla'
      body => "blabla bla %{message}"
      domain => 'mail.example.com'
      port => 25
    }
  }  else {
        .....
     }
  }

A savoir qu'il est plutôt mieux de bien parser ton message en sous différent champs auquel tu peux avoir un champs spécifique pour les motifs 'erreur. Cela permettra d’éviter les mauvais maching (qui peux d'ailleurs générer des faux positifs.) avec le champs message qui peux contenir d'autre éléments.

NB : Surveilles de temps en temps ton mail_queue.

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.