Bu yazımızda Kibana üzerine sentinl pluginini kuruyoruz.

Kurulu olan kibanaya uygun sürüm için plugin kurulur.

$ RUN /opt/kibana/bin/kibana plugin --install sentinl -u https://github.com/sirensolutions/sentinl/releases/download/tag-4.6.4-4/sentinl.zip

kibana webui üzerinden sentinl sekmesine geçilerek yeni bir watcher oluşturulur.

******

Watcher;

-interval ile kaç dk/sn/saatte bir kontrole başlayacağını

-input ile neleri alacağını

-condition ile hangi koşulda alert vereceğini

-action ile hangi kanallara haberi ileteceğini

belirtir.

******

Örnek bir input

taranan loglarda type:kube-logs içindekilerin içinde container_name = drupal-test olanları inceliyoruz.

*******

{
  "search": {
    "request": {
      "index": [
        "filebeat-*"
      ],
      "types": [
        "kube-logs"
      ],
      "body": {
        "query": {
          "match": {
            "container_name": {
              "query": "drupal-test",
              "type": "phrase"
            }
          }
        }
      }
    }
  }
}

Condition

belirlenen süre içerisinde 10dan fazla hit alırsa

payload.hits.total > 10

Action

belirlenen maile gönerim sağlıyor.

throttle period ile her 15dkda bir mesaj gelecek. eğer alert yoksa “level”: “INFO”, olarak tagleniyor.

"actions": {
      "email_admin": {
        "throttle_period": "0h15m0s",
        "email": {
          "to": "alarm@localhost",
          "from": "sentinl@localhost",
          "subject": "Sentinl Alarm",
          "priority": "high",
          "body": "Found {{payload.hits.total}} Events"
        }
      }