前段时间我们公司开始使用“钉钉”作为企业沟通工具。在知道钉钉群还能设置机器人接收定制的通知信息时,我就寻思如何把它和 logstash 结合在一起了。
首先要了解钉钉的“机器人”是如何设置的。文档在此
然后我们使用 logstash 的 http output 和 throttle filter 插件。
首先设置 throttle 的条件,以我们的 monit 日志为例,先给 logstash 配置一个 filter 文件:
filter {
if "monit" in [tags] {
grok {
match => { "message" => "\[CST %{SYSLOGTIMESTAMP:[monit][timestamp]}\]%{SPACE}%{LOGLEVEL:[monit][level]}%{SPACE}\:%{SPACE}%{GREEDYDATA:[monit][log]}" }
remove_field => "message"
}
if [monit][level] == "error" {
throttle {
before_count => -1 # 最小值
after_count => 1 # 最大值
period => 1800 # 统计周期 1800 秒, 这个时间内不再触发同一个条件。
max_age => 3600 # 最大有效周期 3600 秒
key => "%{[monit][log]}" # 要统计的字段
add_tag => "monit-throttle" # 注意:不符合以上条件的才会添加 tag。相应的 output 里要注意。
}
}
date {
match => [ "[monit][timestamp]", "MMM dd HH:mm:ss", "MMM d HH:mm:ss" ]
remove_field => "[monit][timestamp]"
}
mutate {
add_field => { "indexname" => "monit" }
}
}
}然后在 output 里配置:
output {
if "monit-throttle" not in [tags] and [monit][level] == "error" {
http {
url => "{{ dingtalk_webhook_url }}"
http_method => "post"
content_type => "application/json; charset=utf-8"
format => "message"
message => '{"msgtype":"text","text":{"content":"[Monit] %{[monit][log]}"}}'
}
}
}把 {{ dingtalk_webhook_url }} 替换成你的钉钉机器人 webhook url 即可。
最后我们就得到了这样的告警信息:
