ES监视器Watcher详解

简介: ES监视器Watcher详解

前言


本文主要给大家介绍ES中的高级特性监视器Watcher的使用。

需要注意的是,ES免费版本中暂不支持该特性。


一、什么是监视器?


通过使用 Watcher 监视数据中的更改或异常,并执行必要的响应操作。


官方文档:Watcher


典型使用场景:


监控社交媒体,作为检测面向用户的自动化系统(如 ATM 或票务系统)故障的另一种方式。 当某个区域的推文和帖子数量超过重要阈值时,通知服务技术人员。

监控您的基础设施,随着时间的推移跟踪磁盘使用情况。 当任何服务器在接下来的几天内可能用完可用空间时,请打开服务台票证。

跟踪网络活动以检测恶意活动,并主动更改防火墙配置以拒绝恶意用户。

监控 Elasticsearch,如果节点离开集群或查询吞吐量超出预期范围,立即通知系统管理员。

跟踪应用程序响应时间,如果页面加载时间超过 SLA 超过 5 分钟,请打开服务台票证。 如果超过 SLA 一个小时,请呼叫值班管理员。

总结:

采用监视器Watcher,你可以监控索引中的数据指标,集群服务器的磁盘使用情况,网络活动情况,ES集群的状态,程序的相应时间等属性,并根据监控到的情况做出相应的动作。


这些场景的特点是,相关数据或数据变化可以通过定期的 Elasticsearch 查询来识别,并可以根据条件检查查询结果。

如果条件为真 — 发送电子邮件、通知第三方系统或存储查询结果,则执行一个或多个操作。


二、监视器是如何工作的?


15.png


1、Schedule 调度计划

用于运行查询和检查条件的调度。


2、Query 查询

作为条件的输入运行的查询。监视器支持完整的 Elasticsearch 查询语言,包括聚合。


3、Condition 条件

决定是否执行动作的条件。 您可以使用简单的条件(始终为真),或者将脚本用于更复杂的场景。


4、Actions 行动

一项或多项操作,例如发送电子邮件、通过 Webhook 将数据推送到 3rd 方系统或索引查询结果。


Watcher执行过程说明:


在监视器Watcher执行上下文中将输入数据作为有效负载加载。这使得数据可用于执行过程中的所有后续步骤。这个步骤由Watcher的输入控制。

计算监视器Watcher条件Condition,以确定是否继续处理Watcher。如果满足条件(计算结果为 true) ,则处理进入下一步。如果不满足(计算结果为 false) ,则停止执行Watcher。

将转换应用于监视有效负载(如果需要)。

当添加满足且Watcher不被限制,则执行Watcher动作。


三、如何创建一个监视器Watcher


1、Trigger

确定何时检查Watcher。 Watcher中必须有触发器。


2、Input

将数据加载到Watcher负载中。 如果未指定输入,则加载空负载。


3、Condition

控制是否执行监视操作Actions。 如果未指定条件,则条件默认为始终。


4、Transform

处理监视负载数据使其为监视操作Actions做好准备。

可以在监视级别定义转换或定义特定于操作的转换。 数字转换是可选配置。


5、Actions

指定满足监视条件时发生的情况。


示例:

说明:创建监听器log_errors,监控索引log-events中出现状态为error的记录数超过5个,则触发Actions操作。

PUT _watcher/watch/log_errors
{
  "metadata" : { 
    "color" : "red"
  },
  "trigger" : { 
    "schedule" : {
      "interval" : "5m"
    }
  },
  "input" : { 
    "search" : {
      "request" : {
        "indices" : "log-events",
        "body" : {
          "size" : 0,
          "query" : { "match" : { "status" : "error" } }
        }
      }
    }
  },
  "condition" : { 
    "compare" : { "ctx.payload.hits.total" : { "gt" : 5 }}
  },
  "transform" : { 
    "search" : {
        "request" : {
          "indices" : "log-events",
          "body" : {
            "query" : { "match" : { "status" : "error" } }
          }
        }
    }
  },
  "actions" : { 
    "my_webhook" : {
      "webhook" : {
        "method" : "POST",
        "host" : "mylisteninghost",
        "port" : 9200,
        "path" : "/{{watch_id}}",
        "body" : "Encountered {{ctx.payload.hits.total}} errors"
      }
    },
    "email_administrator" : {
      "email" : {
        "to" : "sys.admino@host.domain",
        "subject" : "Encountered {{ctx.payload.hits.total}} errors",
        "body" : "Too many error in the system, see attached data",
        "attachments" : {
          "attached_data" : {
            "data" : {
              "format" : "json"
            }
          }
        },
        "priority" : "high"
      }
    }
  }
}


参数说明:

1、Metadata - 可以将可选的静态元数据附加到Watcher。

2、Trigger - 监视器每5分钟触发一次检测。

3、Input - 查询索引log-events中的异常记录,并将查询响应结果加载到watch的负载中。

4、condition-此条件检查是否有超过5个错误事件(在搜索响应中命中)。如果有,则继续执行所有操作。

5、Transform - 如果满足监视条件,则此转换通过使用默认搜索类型 query_then_fetch 搜索错误将所有错误加载到监视负载中。 所有监视操作都可以访问此有效负载。

6、Actions - 这款手表有两个动作。 my_webhook 操作将问题通知第 3 方系统。 email_administrator 操作向系统管理员发送高优先级电子邮件。 包含错误的监视负载附加到电子邮件中。


四、删除监视器


DELETE _watcher/watch/log_error_watch


五、查看监视器执行历史


查看监视器执行历史记录,根据执行时间倒序排序:

GET .watcher-history*/_search
{
  "sort" : [
    { "result.execution_time" : "desc" }
  ]
}


查看监视器执行历史记录,匹配出满足监视器condition条件的记录:


GET .watcher-history*/_search?pretty
{
  "query" : {
    "match" : { "result.condition.met" : true }
  }
}


六、监视器使用限制


为了使用ES中监视器Watcher的特性,必须获取一个包含该特性的证书。


ES各版本特性说明:https://www.elastic.co/subscriptions

ES证书管理:License management


免费开源的版本中是不包含Watcher功能的。

14.png


总结


本文主要对ES监视器Watcher的使用进行了详细介绍。

通过采用监视器Watcher,我们可以监控索引中的数据指标,集群服务器的磁盘使用情况,网络活动情况,ES集群的状态,程序的相应时间等属性,并根据监控到的情况做出相应的动作。

目录
相关文章
|
API Apache 数据库
Flink CDC 3.0 正式发布,详细解读新一代实时数据集成框架
Flink CDC 于 2023 年 12 月 7 日重磅推出了其全新的 3.0 版本 ~
108834 8
 Flink CDC 3.0 正式发布,详细解读新一代实时数据集成框架
|
SQL Apache HIVE
一文彻底掌握Apache Hudi的主键和分区配置
一文彻底掌握Apache Hudi的主键和分区配置
337 0
|
10月前
|
缓存 安全
Watcher机制(二)WatchManager
Watcher机制(二)WatchManager
133 1
|
弹性计算 tengine 负载均衡
云原生 - 负载均衡(SLB)配置 HTTPS 访问设置
云原生 - 负载均衡(SLB)配置 HTTPS 访问设置
2429 0
云原生 - 负载均衡(SLB)配置 HTTPS 访问设置
|
10月前
Watcher机制(一)
Watcher机制(一)
107 0
Watcher机制(一)
|
监控 数据处理 调度
使用Apache Airflow进行工作流编排:技术详解与实践
【6月更文挑战第5天】Apache Airflow是开源的工作流编排平台,用Python定义复杂数据处理管道,提供直观DAGs、强大调度、丰富插件、易扩展性和实时监控。本文深入介绍Airflow基本概念、特性,阐述安装配置、工作流定义、调度监控的步骤,并通过实践案例展示如何构建数据获取、处理到存储的工作流。Airflow简化了复杂数据任务管理,适应不断发展的数据技术需求。
2367 3
|
Docker Windows 容器
clash代理docker实现镜像拉取
clash代理docker实现镜像拉取
4401 1
|
存储 NoSQL 数据管理
揭秘MongoDB时间序列集合:这个超级功能将如何彻底改变你的数据管理?
【8月更文挑战第8天】时间序列数据记录随时间变化的信息,在数据库管理中至关重要。MongoDB自4.0版起引入时间序列集合,专为这类数据优化存储与查询。通过问答形式介绍其特点:自动数据过期、高效存储机制及快速查询操作。创建时需指定时间字段及可选元数据字段。支持设置数据过期时间,采用粗粒度索引减少I/O操作。查询时可通过时间范围筛选数据,并利用聚合框架进行数据分析。随着实时分析需求的增长,时间序列集合的应用将更加广泛。
658 1
|
Kubernetes Ubuntu 搜索推荐
containerd配置HTTP私仓
在240个字符内,以下是摘要: 在Ubuntu 22.04上,配置K8S基础环境后,安装Docker并设置镜像加速,接着部署私有的Harbor仓库(HTTP访问)。要将镜像推送到Harbor,需编辑Docker的`daemon.json`加入不安全注册表,然后重启服务。通过`docker login`、`docker tag`和`docker push`推送到Harbor。此外,配置`containerd`以信任Harbor的HTTP地址,更新`/etc/containerd/certs.d/`,重启服务后,使用`ctr`拉取和推送镜像至Harbor。
containerd配置HTTP私仓
|
存储 缓存 Java
集合中的对象在传输中变成了LinkedHashMap解决方案
集合中的对象在传输中变成了LinkedHashMap解决方案