Хо, чтобы добавить Kibana как Query в Sentinel - PullRequest
Новая
       60

Хо, чтобы добавить Kibana как Query в Sentinel

0 голосов
/ 24 июня 2019

Я просто изучаю Sentinel для оповещения и составления отчетов и ищу, как создавать запросы, похожие на кибану, и отправлять оповещения.

В приведенном ниже примере я выбрал три поля syslog_hostname, syslog_timestamp и syslig_message, а затем запросил not responding на период времени This Week '

Буду признателен за любую помощь или небольшой пример по этому поводу.

enter image description here

Ниже приведен мой тестовый наблюдатель, который просто просматривает количество документов и отлично работает. 

{
  "actions": {
    "email_html_alarm_2a5a1fe0-a9ae-4b7e-ae0d-05202a0deebc": {
      "name": "email html alarm",
      "throttle_period": "1m",
      "email_html": {
        "stateless": false,
        "subject": "{{payload.hits.total}} new results from watcher {{watcher.title}}",
        "priority": "high",
        "html": "<p>Hi {{watcher.username}}</p>\n<p>There are {{payload.hits.total}} results found by the watcher <i>{{watcher.title}}</i>.</p>\n\n<div style=\"color:grey;\">\n  <hr />\n  <p>This watcher sends alerts based on the following criteria:</p>\n  <ul><li>{{watcher.wizard.chart_query_params.queryType}} of {{watcher.wizard.chart_query_params.over.type}} over the last {{watcher.wizard.chart_query_params.last.n}} {{watcher.wizard.chart_query_params.last.unit}} {{watcher.wizard.chart_query_params.threshold.direction}} {{watcher.wizard.chart_query_params.threshold.n}} in index {{watcher.wizard.chart_query_params.index}}</li></ul>\n</div>"
      }
    },
    "HTML_email_alarm_af205ce8-c1df-4334-8af3-f3c8d23be791": {
      "name": "HTML email alarm",
      "throttle_period": "1m",
      "email_html": {
        "html": "Hi,\n\nThis is Just test e-mail!",
        "priority": "low",
        "stateless": false,
        "to": "xyz@example.com",
        "from": "sentilRobo@example.com",
        "subject": "Test"
      }
    }
  },
  "input": {
    "search": {
      "request": {
        "index": [
          "syslog-2019*"
        ],
        "body": {
          "query": {
            "bool": {
              "filter": {
                "range": {
                  "@timestamp": {
                    "gte": "now-15m/m",
                    "lte": "now/m",
                    "format": "epoch_millis"
                  }
                }
              }
            }
          },
          "size": 0,
          "aggs": {
            "dateAgg": {
              "date_histogram": {
                "field": "@timestamp",
                "time_zone": "Europe/Amsterdam",
                "interval": "1m",
                "min_doc_count": 1
              }
            }
          }
        }
      }
    }
  },
  "condition": {
    "script": {
      "script": "payload.aggregations.dateAgg.buckets.some(b => b.doc_count>=0)"
    }
  },
  "trigger": {
    "schedule": {
      "later": "every 45 minutes"
    }
  },
  "disable": false,
  "report": false,
  "title": "count",
  "save_payload": true,
  "spy": false,
  "impersonate": false
}

Kibana & Sentinel Версия: 6,6

...