我们分别用来logstash + elasticsearch + Kibana解析、存储和查看我们的日志。
现在,我们希望在以下情况下收到通知/警报:临界点对于特定日志或特定字段的阈值(解析后)是否超出。例如:服务器上每天的登录次数最多为 5 次。现在,如果超出此阈值,我们希望收到通知。
这可以通过我们目前使用的工具来实现吗?如果不行,有人可以推荐一些开源工具来实现这一点,并且可以与当前设置进行配置吗?
任何帮助都将受到赞赏。
答案1
虽然与 logstash 没有直接关系,但 OSSEC 可能能够在警报类别中提供更多帮助。
我相信您可以在系统内定义警报阈值。
http://www.ossec.net/files/auscert-2007-dcid.pdf
对于一般的警报和监控来说,多种因素的结合是很好的。如果您创建了正确的 URL,您甚至可以向 nagios 公开一个计数器来为您发出警报。