Я использую стек ELK, установленный в виде docker контейнеров. Для оповещения я использую Elastalert, я установил сервер и плагин elastalert (в Кибане) в docker контейнерах, но проблема в том, что даже после обнаружения возникновения событий он не отправляет оповещения в любой форме. Я пытался отправить оповещения по электронной почте, а также выполнить произвольную команду, но, похоже, ничего не работает. Я думаю, что я делаю что-то не так. Результат такой же при попытке из пользовательского интерфейса Kibana или запуска команд внутри контейнера. Вот как выглядит мое правило
/ opt / elastalert / example_rules # elastalert-test-rule example_frequency.yaml Успешно загружен Проверка Hello
ИНФОРМАЦИЯ: elastalert: запрашиваемое правило Проверка Hello с 2020-03-05 04:46 UT C до 2020-03-05 04:47 UT C: 4/4 попадания INFO : elastalert: предупреждение для проверки Hello в 2020-03-05T04: 46: 47.883Z: INFO: elastalert: проверка Hello
По крайней мере 1 событие произошло между 2020-03-05 04:45 UT C и 2020-03-05 04:46 UT C
@ отметка времени: 2020-03-05T04: 46: 47.883Z @ версия: 1 _id: Ds8EqXABB3bQ9rWpiFF- _index: logsta sh -2020.03.05 _type : do c host: gateway message: hello num_hits: 4 num_matches: 4 port: 55092
INFO: elastalert: предупреждение для проверки Hello в 2020-03-05T04: 46: 47.935Z: INFO: elastalert: Проверьте Hello
По крайней мере 1 событие произошло между 2020-03-05 04:45 UT C и 2020-03-05 04:46 UT C
@ timestamp: 2020- 03-05T04: 4 6: 47.935Z @ версия: 1 _id: D88EqXABB3bQ9rWpiFF- _index: logsta sh -2020.03.05 _type: do c host: сообщение шлюза: hello num_hits: 4 num_matches: 4 порт: 55092
INFO : elastalert: предупреждение для проверки Hello в 2020-03-05T04: 46: 49.089Z: INFO: elastalert: проверка Hello
По крайней мере 1 событие произошло между 2020-03-05 04:45 UT C и 2020-03-05 04:46 UT C
@ отметка времени: 2020-03-05T04: 46: 49.089Z @ версия: 1 _id: Dc8EqXABB3bQ9rWpg1Gf _index: logsta sh -2020.03.05 _type: do c host: gateway message: hello num_hits: 4 num_matches: 4 port: 55092
INFO: elastalert: предупреждение для проверки Hello в 2020-03-05T04: 46: 50.770Z: INFO: elastalert: Check Здравствуйте
По крайней мере 1 событие произошло между 2020-03-05 04:45 UT C и 2020-03-05 04:46 UT C
@ timestamp: 2020-03 -05T04: 46: 50.770Z @ версия: 1 _id: EM8EqXABB3bQ9rWpilH5 _index: logsta sh -2020.03.05 _type: do c host: шлюз: hello num_hits: 4 num_matches: 4 порт: 55092
* 103 2 * Записал бы следующие документы в индекс обратной записи (по умолчанию elastalert_status):
elastalert_status - {'hit': 4, 'совпадает': 4, '@timestamp': datetime.datetime (2020, 3 , 5, 4, 47, 21, 449873, tzinfo = tzut c ()), 'rule_name': 'Check Hello', 'starttime': datetime.datetime (2020, 3, 5, 4, 46, 20, 173344, tzinfo = tzut c ()), 'endtime': datetime.datetime (2020, 3, 5, 4, 47, 20, 773344, tzinfo = tzut c ()), 'time_taken': 0.5481081008911133}