ES监视器Watcher详解

前言

本文主要给大家介绍ES中的高级特性监视器Watcher的使用。

需要注意的是，ES免费版本中暂不支持该特性。

一、什么是监视器？

通过使用 Watcher 监视数据中的更改或异常，并执行必要的响应操作。

官方文档：Watcher

典型使用场景：

监控社交媒体，作为检测面向用户的自动化系统（如 ATM 或票务系统）故障的另一种方式。 当某个区域的推文和帖子数量超过重要阈值时，通知服务技术人员。

监控您的基础设施，随着时间的推移跟踪磁盘使用情况。 当任何服务器在接下来的几天内可能用完可用空间时，请打开服务台票证。

跟踪网络活动以检测恶意活动，并主动更改防火墙配置以拒绝恶意用户。

监控 Elasticsearch，如果节点离开集群或查询吞吐量超出预期范围，立即通知系统管理员。

跟踪应用程序响应时间，如果页面加载时间超过 SLA 超过 5 分钟，请打开服务台票证。 如果超过 SLA 一个小时，请呼叫值班管理员。

总结：

采用监视器Watcher，你可以监控索引中的数据指标，集群服务器的磁盘使用情况，网络活动情况，ES集群的状态，程序的相应时间等属性，并根据监控到的情况做出相应的动作。

这些场景的特点是，相关数据或数据变化可以通过定期的 Elasticsearch 查询来识别，并可以根据条件检查查询结果。

如果条件为真 — 发送电子邮件、通知第三方系统或存储查询结果，则执行一个或多个操作。

二、监视器是如何工作的？

1、Schedule 调度计划

用于运行查询和检查条件的调度。

2、Query 查询

作为条件的输入运行的查询。监视器支持完整的 Elasticsearch 查询语言，包括聚合。

3、Condition 条件

决定是否执行动作的条件。 您可以使用简单的条件（始终为真），或者将脚本用于更复杂的场景。

4、Actions 行动

一项或多项操作，例如发送电子邮件、通过 Webhook 将数据推送到 3rd 方系统或索引查询结果。

Watcher执行过程说明：

在监视器Watcher执行上下文中将输入数据作为有效负载加载。这使得数据可用于执行过程中的所有后续步骤。这个步骤由Watcher的输入控制。

计算监视器Watcher条件Condition，以确定是否继续处理Watcher。如果满足条件(计算结果为 true) ，则处理进入下一步。如果不满足(计算结果为 false) ，则停止执行Watcher。

将转换应用于监视有效负载(如果需要)。

当添加满足且Watcher不被限制，则执行Watcher动作。

三、如何创建一个监视器Watcher

1、Trigger

确定何时检查Watcher。 Watcher中必须有触发器。

2、Input

将数据加载到Watcher负载中。 如果未指定输入，则加载空负载。

3、Condition

控制是否执行监视操作Actions。 如果未指定条件，则条件默认为始终。

4、Transform

处理监视负载数据使其为监视操作Actions做好准备。

可以在监视级别定义转换或定义特定于操作的转换。 数字转换是可选配置。

5、Actions

指定满足监视条件时发生的情况。

示例：

说明：创建监听器log_errors，监控索引log-events中出现状态为error的记录数超过5个，则触发Actions操作。

PUT _watcher/watch/log_errors
{
  "metadata" : { 
    "color" : "red"
  },
  "trigger" : { 
    "schedule" : {
      "interval" : "5m"
    }
  },
  "input" : { 
    "search" : {
      "request" : {
        "indices" : "log-events",
        "body" : {
          "size" : 0,
          "query" : { "match" : { "status" : "error" } }
        }
      }
    }
  },
  "condition" : { 
    "compare" : { "ctx.payload.hits.total" : { "gt" : 5 }}
  },
  "transform" : { 
    "search" : {
        "request" : {
          "indices" : "log-events",
          "body" : {
            "query" : { "match" : { "status" : "error" } }
          }
        }
    }
  },
  "actions" : { 
    "my_webhook" : {
      "webhook" : {
        "method" : "POST",
        "host" : "mylisteninghost",
        "port" : 9200,
        "path" : "/{{watch_id}}",
        "body" : "Encountered {{ctx.payload.hits.total}} errors"
      }
    },
    "email_administrator" : {
      "email" : {
        "to" : "sys.admino@host.domain",
        "subject" : "Encountered {{ctx.payload.hits.total}} errors",
        "body" : "Too many error in the system, see attached data",
        "attachments" : {
          "attached_data" : {
            "data" : {
              "format" : "json"
            }
          }
        },
        "priority" : "high"
      }
    }
  }
}

参数说明：

1、Metadata - 可以将可选的静态元数据附加到Watcher。

2、Trigger - 监视器每5分钟触发一次检测。

3、Input - 查询索引log-events中的异常记录，并将查询响应结果加载到watch的负载中。

4、condition-此条件检查是否有超过5个错误事件(在搜索响应中命中)。如果有，则继续执行所有操作。

5、Transform - 如果满足监视条件，则此转换通过使用默认搜索类型 query_then_fetch 搜索错误将所有错误加载到监视负载中。 所有监视操作都可以访问此有效负载。

6、Actions - 这款手表有两个动作。 my_webhook 操作将问题通知第 3 方系统。 email_administrator 操作向系统管理员发送高优先级电子邮件。 包含错误的监视负载附加到电子邮件中。

四、删除监视器

DELETE _watcher/watch/log_error_watch

五、查看监视器执行历史

查看监视器执行历史记录，根据执行时间倒序排序：

GET .watcher-history*/_search
{
  "sort" : [
    { "result.execution_time" : "desc" }
  ]
}

查看监视器执行历史记录，匹配出满足监视器condition条件的记录：

GET .watcher-history*/_search?pretty
{
  "query" : {
    "match" : { "result.condition.met" : true }
  }
}

六、监视器使用限制

为了使用ES中监视器Watcher的特性，必须获取一个包含该特性的证书。

ES各版本特性说明：https://www.elastic.co/subscriptions

ES证书管理：License management

免费开源的版本中是不包含Watcher功能的。

总结

本文主要对ES监视器Watcher的使用进行了详细介绍。

通过采用监视器Watcher，我们可以监控索引中的数据指标，集群服务器的磁盘使用情况，网络活动情况，ES集群的状态，程序的相应时间等属性，并根据监控到的情况做出相应的动作。