Как настроить мониторинг и оповещения в ELK-стеке?

Настройка мониторинга и оповещений в ELK-стеке включает несколько этапов: www.geeksforgeeks.org

1. Установка Docker. www.geeksforgeeks.org Нужно убедиться, что Docker установлен и запущен. www.geeksforgeeks.org Можно изменить файлы конфигурации docker-compose.yml или Logstash, но при первоначальном тестировании должны работать настройки по умолчанию. www.geeksforgeeks.org
2. Выполнение compose up. www.geeksforgeeks.org В папке docker-elk нужно выполнить команду в сеансе терминала. www.geeksforgeeks.org
3. Открытие Kibana. www.geeksforgeeks.org После того, как ELK Stack получит некоторые данные, нужно открыть Kibana по URL-адресу http://localhost:5601 для доступа к панели мониторинга. www.geeksforgeeks.org
4. Настройка параметров. www.geeksforgeeks.org Нужно настроить параметры, выбрать временной фильтр @timestamp, а затем одним нажатием кнопки «Создать шаблон индекса» сохранить новый шаблон индекса. www.geeksforgeeks.org
5. Сбор и отгрузка. www.geeksforgeeks.org Можно использовать Collectl, инструмент для сбора и отправки данных в Logstash. www.geeksforgeeks.org
6. Отслеживание. www.geeksforgeeks.org Если стек ELK быстрый, то данные будут поступать практически мгновенно. www.geeksforgeeks.org

Для настройки оповещений в ELK-стеке можно использовать встроенные правила оповещения. www.elastic.co Они предварительно настроены на основе рекомендаций Elastic, но их можно адаптировать под конкретные потребности. www.elastic.co Некоторые из предустановленных правил:

• Порог использования CPU. www.elastic.co Правило проверяет узлы Elasticsearch, которые работают с постоянной высокой нагрузкой CPU. www.elastic.co По умолчанию условие установлено на 85% или больше, усреднённых за последние 5 минут. www.elastic.co
• Порог использования диска. www.elastic.co Правило проверяет узлы Elasticsearch, которые почти достигли ёмкости диска. www.elastic.co По умолчанию условие установлено на 80% или больше, усреднённых за последние 5 минут. www.elastic.co
• Порог памяти JVM. www.elastic.co Правило проверяет узлы Elasticsearch, которые используют большое количество памяти JVM. www.elastic.co По умолчанию условие установлено на 85% или больше, усреднённых за последние 5 минут. www.elastic.co
• Отсутствие данных мониторинга. www.elastic.co Правило проверяет узлы Elasticsearch, которые перестают отправлять данные мониторинга. www.elastic.co По умолчанию условие установлено на отсутствие данных в течение 15 минут с учётом периода за 1 день. www.elastic.co
• Отклонения пула потоков (поиск/запись). www.elastic.co Правило проверяет узлы Elasticsearch, которые испытывают отклонения пула потоков. www.elastic.co По умолчанию условие установлено на 300 или больше за последние 5 минут. www.elastic.co
• Исключения при чтении CCR. www.elastic.co Правило проверяет исключения при чтении в любом из реплицированных кластеров Elasticsearch. www.elastic.co

Для получения внешних оповещений нужно настроить соединитель и изменить соответствующее правило для использования соединителя. www.elastic.co