Настройка мониторинга и оповещений в ELK-стеке включает несколько этапов: 2

1. Установка Docker. 2 Нужно убедиться, что Docker установлен и запущен. 2 Можно изменить файлы конфигурации docker-compose.yml или Logstash, но при первоначальном тестировании должны работать настройки по умолчанию. 2
2. Выполнение compose up. 2 В папке docker-elk нужно выполнить команду в сеансе терминала. 2
3. Открытие Kibana. 2 После того, как ELK Stack получит некоторые данные, нужно открыть Kibana по URL-адресу http://localhost:5601 для доступа к панели мониторинга. 2
4. Настройка параметров. 2 Нужно настроить параметры, выбрать временной фильтр @timestamp, а затем одним нажатием кнопки «Создать шаблон индекса» сохранить новый шаблон индекса. 2
5. Сбор и отгрузка. 2 Можно использовать Collectl, инструмент для сбора и отправки данных в Logstash. 2
6. Отслеживание. 2 Если стек ELK быстрый, то данные будут поступать практически мгновенно. 2

Для настройки оповещений в ELK-стеке можно использовать встроенные правила оповещения. 1 Они предварительно настроены на основе рекомендаций Elastic, но их можно адаптировать под конкретные потребности. 1 Некоторые из предустановленных правил:

• Порог использования CPU. 1 Правило проверяет узлы Elasticsearch, которые работают с постоянной высокой нагрузкой CPU. 1 По умолчанию условие установлено на 85% или больше, усреднённых за последние 5 минут. 1
• Порог использования диска. 1 Правило проверяет узлы Elasticsearch, которые почти достигли ёмкости диска. 1 По умолчанию условие установлено на 80% или больше, усреднённых за последние 5 минут. 1
• Порог памяти JVM. 1 Правило проверяет узлы Elasticsearch, которые используют большое количество памяти JVM. 1 По умолчанию условие установлено на 85% или больше, усреднённых за последние 5 минут. 1
• Отсутствие данных мониторинга. 1 Правило проверяет узлы Elasticsearch, которые перестают отправлять данные мониторинга. 1 По умолчанию условие установлено на отсутствие данных в течение 15 минут с учётом периода за 1 день. 1
• Отклонения пула потоков (поиск/запись). 1 Правило проверяет узлы Elasticsearch, которые испытывают отклонения пула потоков. 1 По умолчанию условие установлено на 300 или больше за последние 5 минут. 1
• Исключения при чтении CCR. 1 Правило проверяет исключения при чтении в любом из реплицированных кластеров Elasticsearch. 1

Для получения внешних оповещений нужно настроить соединитель и изменить соответствующее правило для использования соединителя. 1