Ubuntu

Comment installer ElastAlert avec Elasticsearch sur Ubuntu

Comment installer ElastAlert avec Elasticsearch sur Ubuntu

Si vous devez gérer d'énormes quantités de données, vous vous retrouverez un jour à souhaiter un outil qui signalerait simplement les anomalies ou les incohérences dans les données et vous alerterait en temps réel.

Qu'est-ce qu'ElastAlert?

ElastAlert est conçu pour faire exactement cela. Il s'agit d'un cadre simple qui alerte lorsqu'il détecte des anomalies, des pics ou d'autres modèles de règles à partir des données ajoutées dans Elasticsearch.

Par exemple, vous pouvez configurer une alerte « fréquence », qui vous avertira lorsqu'il y aura un nombre X d'événements dans une période Y.

Ou vous pouvez vouloir être immédiatement averti lorsqu'il y a un événement « pic », c'est-à-dire lorsque la vitesse à laquelle un événement se produit augmente ou diminue soudainement.

Les autres types de règles inclus sont :

Types d'alertes pris en charge

Actuellement, ElastAlert prend en charge les types d'alertes suivants.

Installer ElastAlert avec Elasticsearch sur Ubuntu

Dans cet article, nous vous montrons comment installer ElastAlert sur Ubuntu 18.04.

Conditions

Installation des prérequis

Installer Python 2.7:

sudo apt-get install python-minimal

Vérifiez la version Python :

sudo python --version

Ensuite, vous obtiendrez une sortie pour python 2.7.

Version Python

Installez les packages nécessaires :

sudo apt-get install python-pip python-dev libffi-dev libssl-dev

Il existe différentes manières d'installer ElastAlert et nous allons ici procéder à l'installation en clonant le référentiel git.

Nous devons donc installer "git" avant de continuer. Habituellement, Ubuntu 18.04 a git déjà installé.

Vérifiez la version installée ou disponible de git :

politique sudo apt-cache git

Cela donnera les détails des versions git installées et candidates.

Version Git

Si vous ne pouvez pas voir la version git installée, exécutez la commande suivante.

sudo apt-get install git

Nous allons cloner le référentiel ElastAlert dans le dossier "/opt", donc changer de répertoire.

cd sudo/opt

Clonez maintenant un dépôt git.

sudo git clone https://github.com/Yelp/elastalert.git

Installez maintenant les modules.

sudo pip install "setuptools>=11.3"
configuration sudo python.py installer

Vous pouvez obtenir une erreur comme celle-ci.

Erreur de pépin

Ensuite, exécutez la commande ci-dessous pour installer "PyOpenSSL"

sudo pip installer PyOpenSSL

Ici, nous allons intégrer avec Elastic search 6.X. Alors Elasticsearch 5.0+ sera installé ici.

sudo pip install "elasticsearch>=5.0.0"

Configurer ElastAlert

Nous avons cloné le référentiel ElastAlert dans le répertoire "/opt", donc changez de répertoire avant de continuer.

sudo cd /opt/elastalert/

Nous obtenons maintenant une copie de la configuration.yaml.exemple de fichier en tant que config.yaml

configuration sudo cp.yaml.exemple de configuration.yaml

Modifier la configuration.fichier yaml.

configuration vim.yaml

Décommentez les lignes suivantes et modifiez.

Nom d'hôte ou IP ElasticSearch

es_host : elk-server

Port ElasticServer

es_port: 9200

Décommentez l'authentification de base :

es_username : es_password :

Fichier de configuration Yml

Enregistrez et fermez le fichier.

Créer un index ElastAlert.

sudo elastalert-créer-index

Création d'une règle

Modifiez maintenant le fichier intitulé "example_fréquence.yaml" dans le dossier "/opt/elastalert/example_rules/"

sudo vim exemple_rules/example_fréquence.yaml

Décommentez et modifiez l'index comme suit :

index : filebeat-*

Définissez maintenant un filtre pour une alerte. Ici, nous filtrons les mots-clés avec la chaîne "exception".

filtre : - chaîne_requête : requête : "message:*exception*"

Configurer Alter avec Slack. Ici, vous devez créer un canal Slack et un webhook entrant. Ajoutez ensuite les détails de configuration comme suit.

alerte : - "slack" slack : slack_webhook_url : "https://hooks.mou.com/services/T3YSFN0GL/BFU1HPLKD/BPM2jOlIOzKxbEOHAepu6d26" slack_username_override : "Fosslinux-Elastic-Bot" slack_channel_override : "#fosslinuxalert" slack_emoji" _override : "

Vous pouvez suivre les étapes ci-dessous pour créer une chaîne Slack.

Configuration du canal Slack pour ElastAlert

Si vous n'avez pas de compte slack, vous pouvez en obtenir un en vous inscrivant simplement. Allez dans « slack.com" et entrez votre adresse e-mail et cliquez sur "COMMENCER".

S'inscrire à Slack

Cliquez ensuite sur « créer un nouvel espace de travail » et vérifiez votre adresse e-mail. Vous pouvez maintenant vous connecter et afficher le tableau de bord.

Allez dans Parcourir les applications -> Intégrations personnalisées -> Webhooks entrants -> Nouvelle configuration

Nouvelle configuration Slack

Cliquez ensuite sur  « Créer une nouvelle chaîne » pour créer une chaîne pour l'envoi d'alertes.

Créer une chaîne

Cliquez ensuite sur le bouton « Créer une chaîne » et vous serez redirigé vers la page d'intégration du Webhook.

Webhooks entrants

Cliquez sur le bouton « Ajouter l'intégration des WebHooks entrants ». Cela créera des paramètres d'intégration.

Paramètres Slack

Règle de test

Changer le répertoire en ElastAlert.

sudo cd /opt/elastalert/

Exécutez la commande ci-dessous pour tester la règle configurée.

sudo elastalert-test-rule exemple_rules/example_fréquence.yaml

Règle de test

Exécuter ElastAlert

Nous allons démarrer ElastAlert en tant que service d'arrière-plan. Cette commande doit être exécutée dans le dossier "/opt/elastalert/".

sudo python -m elastalert.elastalert --verbose --rule exemple_fréquence.yaml &

ElastAlert démarré

ElastAlert va maintenant commencer à vérifier les requêtes sur Elasticsearch (sur le serveur ELK). S'il y a un match, il lancera une alerte à Slack.

Alerte déclenchée.

Alerte envoyée

L'alerte ira à Slack Channel.

Alerte Slack

Ça y est, nous avons installé et configuré avec succès ElastAlert avec la recherche élastique, et avons également configuré des alertes pour Slack. Nous espérons que ce tutoriel exhaustif vous aidera à installer ElastAlert et à mettre en place quelques règles pour déclencher des alertes facilement. Les questions et commentaires sont les bienvenus dans la section commentaires.

Tutoriel Bataille pour Wesnoth
The Battle for Wesnoth est l'un des jeux de stratégie open source les plus populaires auxquels vous pouvez jouer en ce moment. Non seulement ce jeu es...
0 A.ré. Didacticiel
Sur les nombreux jeux de stratégie disponibles, 0 A.ré. parvient à se démarquer comme un titre complet et un jeu tactique très profond bien qu'il soit...
Tutoriel Unity3D
Introduction à Unity 3D Unity 3D est un puissant moteur de développement de jeux. C'est une plateforme multiplateforme qui vous permet de créer des je...