前言

日志监控是系统运行中必不可少的一部分。在公司初期的时候，我架设了elk来处理日志功能。采用的版本是5.6.5 基于docker架设的。在使用中遇到一个问题，一直未能解决。今天花了时间研究了许久，最终"解决"该问题并实现自己的目标。

elk的docker架设，你可以从这里 (https://www.jianshu.com/p/f7927591d530)
](https://www.jianshu.com/p/f7927591d530
) 下载一份配置，本地构建一份。

问题

具体问题是这样的: 我需要通过实时监控系统运行的异常问题，这里选择钉钉推送。但是在使用中发现 sentinl无法后台运行。

该问题我提交到官方,一直未能得到答复。

image.png

问题反馈地址

解决过程

官方不解决，但是自己不能不解决。

这里要么升级版本。要么降低版本。 二者我都不想。因为换版本，elasticsearch logstash都得换，太难受了，可能还存着一些新的知识点。

于是我选择的是 降低 kinbana的版本为 5.6.0 sentinl 同样选择 5.6.0

经过测试，能正常运行。

我的Kinbanba是基于docker安装，修改只需要修改下版本号即可。

 kibana:
    image: docker.io/kibana:5.6.0
    environment:
      - ELASTICSEARCH_URL=http://elasticsearch:9200
    container_name: kibana560
    hostname: kibana
    depends_on:
      - elasticsearch
    restart: always
    ports:
      - "5601:5601"

修改版本号，启动容器并进入kinbana容器。

安装sentinl插件

root@kibana:/# /usr/share/kibana/bin/kibana-plugin  install https://github.com/sirensolutions/sentinl/releases/download/tag-5.6.2/sentinl-v5.6.0.zip

需要等待一段时间。会出现提示success

然后退出容器并重启即可。

sentinl的钉钉推送配置

下面的配置实现的效果是：每5分钟执行1次。查询15分钟内是否存在error的日志，存在则发送到钉钉。

{
  "_index": "watcher",
  "_type": "sentinl-watcher",
  "_id": "c4lgsqmn11g-pyrut0ydldr-hsnvzlcqllt",
  "_version": 26,
  "found": true,
  "_source": {
    "title": "生产-监控",
    "disable": true,
    "report": false,
    "trigger": {
      "schedule": {
        "later": "every 5 mins"
      }
    },
    "input": {
      "search": {
        "request": {
          "index": [
            "*pro"
          ],
          "body": {
            "query": {
              "bool": {
                "must": [
                  {
                    "match": {
                      "message": "error"
                    }
                  },
                  {
                    "range": {
                      "@timestamp": {
                        "gte": "now-15m",
                        "lte": "now",
                        "format": "epoch_millis"
                      }
                    }
                  }
                ],
                "must_not": []
              }
            }
          }
        }
      }
    },
    "condition": {
      "script": {
        "script": "payload.hits.total > 1"
      }
    },
    "actions": {
      "钉钉推送": {
        "throttle_period": "0h0m1s",
        "webhook": {
          "method": "POST",
          "host": "oapi.dingtalk.com",
          "port": 443,
          "proxy": false,
          "path": "/robot/send?access_token=需要修改为你的钉钉机器人token",
          "body": "{\n\"msgtype\": \"text\", \n        \"text\": {\n             \"content\": \"标签: {{payload.hits.hits.0._source.tags}} \\n   异常内容：  {{payload.hits.hits.0._source.message}}\"\n        }\n      }",
          "headers": {
            "Content-Type": "application/json"
          },
          "use_https": true,
          "create_alert": true
        }
      }
    }
  }
}

效果图

image.png

image.png

问题