Question

У нас есть ELK (+ XPACK) для наших сетевых устройств syslog сервер (IP-адрес источника / назначения и порт). Я пытаюсь внедрить систему оповещения в режиме реального времени , когда поле source_ip соответствует указанному c IP-адресу. Как я могу выполнить 1011 * это с ELK?

Я пытался сделать это с наблюдателем, но это не в режиме реального времени, и низкие интервалы могут вызвать проблемы с производительностью (?).

Примечание: скорость записи ~ 500 записей в секунду.

ibexit · Answer 1 · 16 января 2020

Если наблюдатель не достаточно быстр, то вам нужно что-то. что сработает в момент поступления данных. Входящие конвейеры не могут выполнять внешние действия, но если у вас есть Logstah, клонируйте (https://www.elastic.co/guide/en/logstash/current/plugins-filters-clone.html) соответствующее событие и отправьте уведомление по электронной почте (https://www.elastic.co/guide/en/logstash/current/plugins-outputs-email.html) или что угодно.

При этом в elasti c будет исходное событие, и клонированное событие может быть обработано в отдельном конвейере оповещений.

Как сделать оповещение в реальном времени в ELK

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как сделать оповещение в реальном времени в ELK

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы