Bonsoir;
je vous sollicite afin que vous m'édifiez si possible sur la fonctionnalité ouput mail de logstash , en effet étant dans un projet où j'expérimente une version basique d'ELK ; j'aimerai utiliser la fonction ouput de logtash pour envoyer des mails ; j'ai déjà pu le faire pour une erreure précise se trouvant dans le champs message ; mais j'aimerais pouvoir le faire avec plusieurs motifs d'erreurs en utilisant par exemple un tableau d'erreurs ou un fichier d'erreurs ; pouvez vous m'aider ?
voici mon code actuellement qui marche ; comment le modifier pour l'adapter à mon mon besoin ;
output {
elasticsearch {
hosts => localhost
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
}
stdout {
codec => rubydebug
}
if "gkr-pam: unlocked login" in [message] {
email {
to=>"@gmail.com"
from=>"@gmail.com"
subject=>"Alerte email ELK"
body=>"Here is the event line that occured: %{message}"
via=>"smtp"
address=>"smtp.gmail.com"
username=>"@gmail.com"
password=>""
port=>587
use_tls=>true
codec=>"plain"
debug=>true
}
Un exemple très simple auquel tu pourrais t'assurer déjà que tes if..else réagisse comme tu le souhaite :
input{
stdin {}
}
output {
if "toto" in [message] {
email {
to => 'technical@example.com'
from => 'monitor@example.com'
subject => 'subject blablabla'
body => "blabla bla %{message}"
domain => 'mail.example.com'
port => 25
}
} else if "tata" in [message] {
email {
to => 'technical@example.com'
from => 'monitor@example.com'
subject => 'subject blablabla'
body => "blabla bla %{message}"
domain => 'mail.example.com'
port => 25
}
} else {
.....
}
}
A savoir qu'il est plutôt mieux de bien parser ton message en sous différent champs auquel tu peux avoir un champs spécifique pour les motifs 'erreur. Cela permettra d’éviter les mauvais maching (qui peux d'ailleurs générer des faux positifs.) avec le champs message qui peux contenir d'autre éléments.
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant
logo are trademarks of the
Apache Software Foundation
in the United States and/or other countries.