参考网址:https://github.com/anjia0532/elastalert-docker
1.拉取镜像:
docker pull anjia0532/elastalert-docker:v0.2.4
2.启动容器,根据es实际情况来决定启动参数中是否要设置es访问用户名和密码,我这边设置了
具体使用啥参数,参考网址上有说明
docker run -d -e"ELASTICSEARCH_HOST=192.168.75.21" \
-e"ELASTICSEARCH_USER=elastic" \
-e"ELASTICSEARCH_PASSWORD=IjGj8QwWYeXY7rVoLLQ6" \
-e"CONTAINER_TIMEZONE=Asia/Shanghai" \
-e"TZ=Asia/Shanghai" \
--name es1 anjia0532/elastalert-docker:v0.2.4
3.观察启动后的情况
首先在kibana上查看索引情况,会发现自动创建几个以elastalert开头的索引,效果跟手动执行命令:elastalert-create-index一样
容器日志中也会有相应的显示信息
其次,登陆到容器中,会发现容器默认工作目录是:/opt/elastalert
查看config.yaml文件内容,效果跟手动配置config.yaml文件内容类似
config.yaml文件中的配置可以在启动容器的时候进行指定,参考网址上有详细说明,个别参数的默认配置可以跟config.yaml文件中的参数一 一对应
然后发现容器中/opt/elastalert/rules目录下为空,也就是配置告警规则的目录
手动创建一个微信告警规则文件,wechat.yaml
容器日志中能看到详细的添加信息
手动往filebeat监控的日志文件中添加error的消息,触发报警
企业微信收到的消息,内容跟微信模板一样
可以在启动容器的时候把rules告警规则目录从宿主机上挂载进去,这样就不用每次登陆进容器添加告警规则了
docker run -d -e"ELASTICSEARCH_HOST=192.168.75.21" \
-e"ELASTICSEARCH_USER=elastic" \
-e"ELASTICSEARCH_PASSWORD=IjGj8QwWYeXY7rVoLLQ6" \
-e"CONTAINER_TIMEZONE=Asia/Shanghai" \
-e"TZ=Asia/Shanghai" \
-v /mnt/elastalert/rules:/opt/elastalert/rules \
--name es1 anjia0532/elastalert-docker:v0.2.4
或者事先在宿主机的/mnt/elastalert/rules目录下创建好报警规则,或者等容器启动后再在宿主机的/mnt/elastalert/rules目录创建报警规则都可以