ELK详解（二十五）——elastalert配置参数详解

今天继续给大家介绍Linux运维相关知识，本文主要内容是elastalert的配置参数详解。

一、配置文件参数详解

首先，我们来讲解一下elastalert的配置文件中的常用参数：
1、ES集群相关参数
ES集群相关参数如下：
（1）es_host
表示Elasticsearch的IP地址
（2）es_port
表示Elasticsearch的端口号
（3）es_username
表示Elasticsearch的用户名
（4）es_password
表示Elasticearch的密码
（5）es_conn_timeout
表示Elasticsearch链接超时时间
（6）use_ssl
表示是否使用SSL链接
（7）writeback_index
表示Elasticsearch状态索引的名称
（8）es_send_get_body_as
表示Elasticsearch的查询方法，包括GET、POST等，默认是GET。
（9）max_query_size
单个查询Elasticsearch的最大文档数，默认10000。
（10）max_scrolling_count
要滚动的最大页面数，默认为0表示无限制。
2、run_every
表示执行查询的间隔，使用示例如下：

run_every:
  minutes: 1
1
2

表示每隔1分钟执行一次检查
3、buffer_time
表示查询的时间窗口，即查询数据的时间范围，使用示例如下：

buffer_time:
 days: 3
1
2

表示查询从三天前起到现在的数据。
4、rules_folder
表示包含规则配置的目录名称，当该配置文件生效后，elastalert会根据该参数寻找规则配置文件。

二、规则文件参数详解

接下来，我们来讲解一下规则文件的配置参数。

（一）告警规则详解

1、frequency
表示匹配时间发生的频率。
2、spike
表示在时间频率增加或减少时匹配。
3、flatline
表示在指定时间内发生事件少于指定数目时匹配。
3、blacklist/whitelist
表示当指定字段与指定的白名单或者是黑名单匹配。
4、any
表示该过滤器匹配任何事件。
5、change
表示当指定字段在指定时间内发生变化时使用。

（二）告警方式详解

Elastalert支持的告警方式如下：
1、Command
2、Email
3、JIRA
4、OpsGenie
5、SNS
6、HipChat
7、Slack
8、Telegram
9、GoogleChat
10、Debug
11、Stomp
12、theHive

（三）其他参数详解

1、type
表示规则的类型。
2、index
表示Elastalert要监控的索引。
3、timeframe
表示监控的时间间隔，使用示例如下：

timeframe:
 minutes: 3
1
2

表示监控的时间间隔为3分钟。
4、alert
表示告警的方式。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200