Есть где нибудь правило для elastalert для мониторинга postgres?

Question

[Никита Решетняк]

Доброго времени суток! Подскажите можно ли tlastalert'ом сделать запрос к постгресу что то вроде SELECT * FROM table LIMIT 1 что бы знать жива ли база, МОжет у кого есть правило, заранее спасибо!

Answer 1

[Никита Решетняк]

Проблема была в том что правила по типу flatline срабатывают при переходе значения threshold. То есть если на момент добавления или обновления правила elastalert'а количество документов было уже ниже параметра threshold то алерт отправлен не будет.

Рабочий пример ниже

es_host: <ELASTIC HOST>
es_port: 9200
# es_username: elastic
# es_password: changeme

name: ":warning:WARNING : POSTGRES probably unavailable:warning:"
description: "postgres probably unavailable"
severity: "warning"

index: app-prod-metrics*

filter: 
- query:
    query_string:
      query: "postgresql.activity.query: \"SELECT * FROM pg_stat_database\""

type: flatline
threshold: 4
timeframe:
  minutes: 1
realert:
  seconds: 10

query_key: postgresql.activity.query

alert:
- "telegram"
alert_text: "
Too few metrics from\n
*Postgres on Host*   : host name\n
*ElastAlert Node*    : alert host name"
alert_text_type: alert_text_only

telegram_bot_token: <TOKEN>
telegram_room_id: "@<CHAT_ID>"

Answer 2

[Дмитрий]

какой запрос к постгрессу? это не его задача..
задача elastalert-а следить за индексом эластика и отрабатывать когда чтото найдено *в индексе*.

Comments

[Никита Решетняк]

Хорошо, metricbeat собирает статистику постгреса, на что можно ориентироваться для отправки алерта о мертвой базе?

[Дмитрий]

шикарно, смотрите что у вас в индексе происходит когда база сдыхает и реагируйте на это. поля какие-то пустые может, еще что-то..

[akelsey]

Никита Решетняк, кол-во документов за промежуток времени (например за последние 5 минут) - если документов 0 - очевидно с базой что-то не так.

[Никита Решетняк]

akelsey, Подскажите по правилу

index: app-dev-metrics*

filter: 
- query:
    query_string:
      query: "postgresql.activity.query: \"SELECT * FROM pg_stat_database\""

type: flatline
threshold: 1
use_kibana4_dashboard: "/_plugin/kibana/#/dashboard"
timeframe:
  minutes: 2
realert:
  minutes: 5

как объяснили мне, что если документов меньше чем threshold за timeframe то отправится уведомление. Алерт пришел 1 раз, и все. Что тут не так, подскажите если не сложно

[akelsey]

Никита Решетняк,
Ни разу не гуру эласт алерта, но как это понимаю я:
Если в поле postgresql.activity.query строка \"SELECT * FROM pg_stat_database\" в индексах по маске app-dev-metrics* встречается на промежутке 2 минуты менее 1 раза - будет какое то действие (уведомление), потом 5 минут это правило будет игнорировано.