Elasticsearchのアラート検知プラグイン「Watcher」を使ってみた

Elasticsearchのアラート検知プラグイン「Watcher」を使ってみた

#AWS
#Elasticsearch
#全文検索
佐々木 大輔

佐々木 大輔

facebook logohatena logotwitter logo
Clock Icon2015.09.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

佐々木です。今週は東京に出張していたのですが、このブログは成田空港で書き始め、今、新千歳空港から札幌駅に向かう快速エアポートの車内で書き上げました。

今日はWatcherを試してみたいと思います!

Watcher__Alerts___Notifications_for_Elasticsearch___Elastic

WatcherはElasticsearchのアラート検知プラグインです。Watcherを使うことで、Indexに登録されたデータを特定のキーワードで引っ掛けて、定義したアクションを実行することが出来ます。例えばElasticsearchのログに記録したり、メールで通知したり、Webhookを投げたりすることが出来ます。ApacheのアクセスログをElasticsearchに投入して「error」というキーワードが発生したら管理者にメール通知する、といったことが出来ます。これは便利ですね。

なお、WatcherはShieldと同様に商用プロダクトであり、インストール後30日間は試用ライセンスで動作しますが、その後はライセンスの購入が必要です。

さて、ではやってみましょう!

やってみた

Watcherのインストール

Elasticsearch自体はrpmでインストール済みとします。

$ rpm -qa | grep elasticsearch
elasticsearch-1.7.2-1.noarch

WatcherはPluginとしてインストールできます。また商用プロダクトなのでlicenseのインストールが必要になります。

$ sudo /usr/share/elasticsearch/bin/plugin -i elasticsearch/license/latest
$ sudo /usr/share/elasticsearch/bin/plugin -i elasticsearch/watcher/latest

Pluginをインストールしたら、Elasticsearchを起動します。

$ sudo service elasticsearch restart
Stopping elasticsearch:                                    [  OK  ]
Starting elasticsearch:                                    [  OK  ]

Elasticsearch起動時のログ。Watcherのライセンスがvalidになりました。

[2015-09-26 13:51:03,512][INFO ][plugins                  ] [Enchantress] loaded [river-twitter, river-csv, watcher, license, shield], sites [head]
[2015-09-26 13:51:03,594][INFO ][watcher.trigger.schedule ] [Enchantress] using [ticker] schedule trigger engine
[2015-09-26 13:51:11,746][INFO ][watcher                  ] [Enchantress] starting watch service...
[2015-09-26 13:51:11,750][INFO ][license.plugin.core      ] [Enchantress] license for [watcher] - valid
[2015-09-26 13:51:11,750][ERROR][watcher.license          ] [Enchantress]

Watcherのステータスの確認。本構成ではShieldも入っているためユーザーを指定してGETしています。以下のように、watcher_stateが"started"となっているのがわかります。

$ curl -XGET -u admin 'http://localhost:9200/_watcher/stats?pretty'

Enter host password for user 'admin':
{
  "watcher_state" : "started",
  "watch_count" : 0,
  "execution_thread_pool" : {
    "queue_size" : 0,
    "max_size" : 0
  }
}

Watcherでメール通知

それでは、Watcherを使ってキーワードを検知したらメール通知する、というのをやってみましょう。 Watcherからメールを送るためには、メールアカウントの設定が必要になります。(configuring Watcher to Send Email) /etc/elasticsearch/elasticsearch.ymlを編集し、以下のようにメールアカウントの設定を行います。今回は同一hosts上のSMTPサーバ(Amazon Linuxであればデフォルトでsendmailがセットアップされています)を使っています。

$ sudo vi /etc/elasticsearch/elasticsearch.yml
watcher.actions.email.service.account:
    localhost:
        profile: standard
        email_defaults:
            from: 'smokeymonkey@localhost'
        smtp:
            host: localhost
            port: 25
            user: root

では、watch定義を追加してみましょう。intervalは10秒、logsというindexの中で、statusがerrorの場合、actionsで定義したアクションを実行します。つまり前述で定義したlocalhostというメールアカウントを使って、smokeymonkey@example.comにメールするってことですね。

$ curl -XPUT -u admin 'http://localhost:9200/_watcher/watch/log_event_watch' -d '{
  "trigger" : {
    "schedule" : {
      "interval" : "10s"
    }
  },
  "input" : {
    "search" : {
      "request" : {
        "indices" : "logs",
        "body" : {
          "query" : { "match" : { "status" : "error" } }
        }
      }
    }
  },
  "actions" : {
    "email_root" : {
      "email" : { 
        "account" : "localhost",
        "to" : "smokeymonkey@example.com",
        "subject" : "Encountered errors",
        "body" : "Too many error in the system, see attached data",
        "attach_data" : true,
        "priority" : "high"
      }
    }
  }
}'
Enter host password for user 'admin':
{"_id":"log_event_watch","_version":1,"created":true}

では実際に、logsというindexに、statusがerrorとなるデータを登録します。

$ curl -XPOST -u admin 'http://localhost:9200/logs/event' -d '{
    "timestamp" : "2015-09-26T14:08:36.388Z",
    "status" : "error"
}'

Enter host password for user 'admin':
{"_index":"logs","_type":"event","_id":"AVAIDZS1FAlg5C6CtNfk","_version":1,"created":true}

すると、以下のようなメールが送信されます!

Encountered_errors_-_smokeymonkey_gmail_com_-_Gmail

添付されたdata.ymlの中身。検知したデータ自体が送られてきます。

---
ctx:
  id: "log_event_watch_786-2015-09-26T07:39:08.093Z"
  vars: {}
  trigger:
    triggered_time: "2015-09-26T07:39:08.093Z"
    scheduled_time: "2015-09-26T07:39:07.853Z"
  execution_time: "2015-09-26T07:39:08.093Z"
  watch_id: "log_event_watch"
  payload:
    hits:
      total: 1
      hits:
      - _type: "event"
        _source:
          timestamp: "2015-09-26T14:08:36.388Z"
          status: "error"
        _id: "AVAIDZS1FAlg5C6CtNfk"
        _index: "logs"
        _score: 0.5945348
      max_score: 0.5945348
    _shards:
      total: 5
      failed: 0
      successful: 5
    timed_out: false
    took: 2
  metadata: null

ということで、Watcherでアラート検知が出来ました!

さいごに

特定のIndexを検知する以外にも、Elasticsearch Clusterの状態を監視して通知するような使い方も出来ます(Watch Your Cluster Health] アイデア次第で様々な活用ができるのでは無いでしょうか!

Share this article

facebook logohatena logotwitter logo

関連記事

Python3.12 のスタンドアロン Lambda 関数を作成しつつ、SAM CLIを学んでみた

Python3.12 のスタンドアロン Lambda 関数を作成しつつ、SAM CLIを学んでみた

User avatar
なかた
2024.11.08
[アップデート] Windows Server 2025 AMIがリリースされました

[アップデート] Windows Server 2025 AMIがリリースされました

User avatar
Takuya Shibata
2024.11.08
Amazon EventBridge SchedulerとAWS Glue Python Shellの定期実行をCDKで構築する

Amazon EventBridge SchedulerとAWS Glue Python Shellの定期実行をCDKで構築する

User avatar
niino
2024.11.07
IAMユーザのシークレットアクセスキーをSecret Managerに保管しローテーションさせてみた

IAMユーザのシークレットアクセスキーをSecret Managerに保管しローテーションさせてみた

User avatar
S.D.
2024.11.07
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.