Elastic stack番外篇之elastalert告警

2019-01-30 14:29:25 IT黑旋風

目前大多數公司都在慢慢的遷移到elastic static 套件(以前我們習慣稱呼為ELK) 實現網站的數據分析, 這幾天一直在搞線上服務的日誌報警功能(主要是在應用的日誌層面來實現的),所以在這裡介紹一下一個非常好用的python報警框架elastalert 結合我們的elastic stack套件

說到報警一般我們要滿足這 3個條件

第一是 : 及時性

第二是：準確性

第三是：智能報警頻率限制性

那麼這幾個功能這個框架都是滿足的.

好啦終於輪到我們的主角–ElastAlert出來了，其他的告警工具還有 Alert Management、Elasticsearch watch ，請讀者們自行確定需要使用哪個。

ElastAlert使用python編寫，具有容易上手、文檔全等特點，雖然這個工具擁有如此多的優點，在搭建過程還是遇到了很多很多的未知錯誤，主要原因是網上的資料大多是針對es5.x以前的版本而沒什麼現成的資料可供參考。

1.1 安裝elastalert

 git clone https://github.com/Yelp/elastalert.git 
 cd elastalert 

 python setup.py install //可能需要sudo
 Pip install -r requirements.txt //可能需要sudo
 cp config.yaml.example config.yaml

具體的功能本文就不一一介紹了，請自行前往官方文檔瞭解

1.2 創建索引

安裝完成後會系統中會自帶三個命令：

elastalert-create-index、elastalert-rule-from-kibana 、elastalert-test-rule

使用elastalert-create-index，根據提示設置es後按回車默認即可。

配置完索引及配置文件後，可以使用elastalert-test-rule進行測試。這裡有個bug，如果出現TransportError(400, u'search_phase_execution_exception', u'No mapping found for [alert_time] in order to sort on')之類的錯誤，在確認沒有其他的問題時，可以先刪除索引curl -XDELETE http://localhost:9200/*,再使用elastalert-create-index重新生成索引。

1.3 配置config.yaml

 rules_folder: example_rules
 # How often ElastAlert will query Elasticsearch
 # The unit can be anything from weeks to seconds
 run_every:
 seconds: 3 #每三秒向es請求數據
 # ElastAlert will buffer results from the most recent
 # period of time, in case some log sources are not in real time
 buffer_time:
 minutes: 15 
 #日誌會延遲進入es，這裡是配置query的向前的時間範圍，這是15分鐘，即查詢 time[now-15m, now]
 # The Elasticsearch hostname for metadata writeback
 # Note that every rule can have its own Elasticsearch host
 es_host: 188.88.88.88 

 # The Elasticsearch port
 es_port: 9200
 # Optional URL prefix for Elasticsearch
 #es_url_prefix: elasticsearch
 # Connect with TLS to Elasticsearch
 #use_ssl: True
 # Verify TLS certificates
 #verify_certs: True
 # GET request with body is the default option for Elasticsearch.
 # If it fails for some reason, you can pass 'GET', 'POST' or 'source'.
 # See http://elasticsearch-py.readthedocs.io/en/master/connection.html?highlight=send_get_body_as#transport
 # for details
 #es_send_get_body_as: GET
 # Option basic-auth username and password for Elasticsearch
 #es_username: someusername
 #es_password: somepassword
 # The index on es_host which is used for metadata storage
 # This can be a unmapped index, but it is recommended that you run
 # elastalert-create-index to set a mapping
 writeback_index: elastalert_status
 # If an alert fails for some reason, ElastAlert will retry
 # sending the alert until this time period has elapsed
 alert_time_limit:
 days: 1

以上各字段的解釋：

Rules_folder：用來加載下一階段rule的設置，默認是example_rules

Run_every：用來設置定時向elasticsearch發送請求

Buffer_time：用來設置請求裡時間字段的範圍，默認是45分鐘

Es_host：elasticsearch的host地址

Es_port：elasticsearch 對應的端口號

Use_ssl：可選的，選擇是否用SSL連接es，true或者false

Verify_certs：可選的，是否驗證TLS證書，設置為true或者false，默認為- true

Es_username：es認證的username

Es_password：es認證的password

Es_url_prefix：可選的，es的url前綴（我的理解是https或者http）

Es_send_get_body_as：可選的，查詢es的方式，默認的是GET

Writeback_index：elastalert產生的日誌在elasticsearch中的創建的索引

Alert_time_limit：失敗重試的時間限制

1.4 告警配置介紹

在example_rules目錄中新建yaml配置文件 webattack_frequency.yaml,下面分開介紹這個配置文件的內容（下個小節將分享我的配置文件，此小節僅解釋其中的必要設置項）：

1、告警規則

ElastAlert支持11種告警規則，本文不一一介紹了，為響應web攻擊行為，本文選用的告警規則是frequency。

name: web attack
# (Required)
# Type of alert.
# the frequency rule type alerts when num_events events occur with timeframe time
type: frequency
# (Required, frequency specific)
# Alert when this many documents matching the query occur within a timeframe
num_events: 10
# (Required, frequency specific) 

# num_events must occur within this amount of time to trigger an alert
timeframe:
 minutes: 1
 
# (Required)
# Index to search, wildcard supported
index: logstash-* #對應logstash的配置文件中output的elasticsearch index前綴
filter:
- query_string:
# sql insert xss detect
 query: "request: select.+(from|limit) OR request: union(.*?)select OR request: into.+(dump|out)file "
上述配置文件的意圖即是：在一分鐘內將匹配query裡面的sql注入規則，若匹配次數達到10次，即進行報警。

2、使用郵箱進行告警

ElastAlert提供了 10 多種通知的類型，本文選用的是郵箱告警，還有微信告警、釘釘告警，若有需要，請自行配置。

smtp_host: smtp.qiye.163.com
smtp_port: 25
smtp_auth_file: /Users/qy/Downloads/work/elastalert/example_rules/smtp_auth_file.yaml
#回覆給那個郵箱
email_reply_to: [email protected]
#從哪個郵箱發送
from_addr: [email protected]
# (Required)
# The alert is use when a match is found
alert:
- "email"
# (required, email specific)
# a list of email addresses to send alerts to
email:
- "[email protected]"
alert_subject: "web attack may be by {} at @{}"
alert_subject_args:
 - remote_addr 

 - time
alert_text_type: alert_text_only
alert_text: |
 你好，服務器({})可能正在受到web攻擊，請採取手段阻止！！！！
 ### 截止發郵件前匹配到的請求數：{}
 > 發生時間: {}
 > timestamp:{}
 > attacker's ip: {}
 > request: {}
 > status:{}
 > UA頭:{}
 >>> 參考來源：{}
alert_text_args:
 - host
 - num_hits
 - time
 - "@timestamp"
 - remote_addr
 - request
 - status
 - http_user_agent
 - source

smtp_auth_file.yaml的配置內容會在下個小節給出，在這個配置中，我自定義了 alert 的內容，更為精確地突出了攻擊者ip、受攻擊的服務器、攻擊事件等信息。

3、減少重複告警的頻率

在實際的使用中，若使用上述的配置，受到攻擊的時候郵箱將不斷地收到郵件，而這些郵件都對應著同一個攻擊實例，根本沒必要重複收取，於是，我使用瞭如下的配置：

 # 用來區分報警，跟 realert 配合使用，在這裡意味著，
 # 5 分鐘內如果有重複報警，那麼當 name 不同時，會當做不同的報警處理，可以是數組
 query_key:
 - name
 # 5 分鐘內相同的報警不會重複發送
 realert:
 minutes: 5
 # 指數級擴大 realert 時間，中間如果有報警，
 # 則按照 5 -> 10 -> 20 -> 40 -> 60 不斷增大報警時間到制定的最大時間，
 # 如果之後報警減少，則會慢慢恢復原始 realert 時間
 exponential_realert:
 hours: 1

在本人實際測試的攻擊場景中，發現使用了exponential_realert後，會錯過很多告警（這些告警並不是同一個攻擊實例），暫時不確定原因，還請讀者們自行確定是否開啟該設置。

1.5webattack_frequency.yaml及smtp_auth_file.yaml配置文件內容

上述的1.4小節中對每個配置都作了簡單的介紹，這裡就直接放出web攻擊預警的配置文件供各位讀者參考。

webattack_frequency.yaml:

# Alert when the rate of events exceeds a threshold
# (Optional) 

# Elasticsearch host
#es_host: 188.88.88.88
# (Optional)
# Elasticsearch port
#es_port: 9200
# (OptionaL) Connect with SSL to Elasticsearch
#use_ssl: True
# (Optional) basic-auth username and password for Elasticsearch
#es_username: someusername
#es_password: somepassword
# (Required)
# Rule name, must be unique
name: web attack
realert:
 minutes: 5
# (Required)
# Type of alert.
# the frequency rule type alerts when num_events events occur with timeframe time
type: frequency
# (Required)
# Index to search, wildcard supported
index: logstash-*
# (Required, frequency specific)
# Alert when this many documents matching the query occur within a timeframe
num_events: 10
# (Required, frequency specific)
# num_events must occur within this amount of time to trigger an alert
timeframe:
 #hours: 4
 minutes: 1
# (Required)
# A list of Elasticsearch filters used for find events
# These filters are joined with AND and nested in a filtered query
# For more info: http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/query-dsl.html
#filter:
#- term:
# some_field: "some_value"
filter:
- query_string:
# sql insert xss detect
 query: "request: select.+(from|limit) OR request: union(.*?)select OR request: into.+(dump|out)file OR
 request: (base64_decode|sleep|benchmark|and.+1=1|and.+1=2|or%20|exec|information_schema|where%20|union%20|%2ctable_name%20|cmdshell|table_schema) OR
 request: (iframe|script|body|img|layer|div|meta|style|base|object|input|onmouseover|onerror|onload) OR
 request: .+etc.+passwd OR http_user_agent：(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|BabyKrokodil|netsparker|httperf|bench) OR
 status: (400|404|500|501)
 NOT (request:_health.html OR remote_addr:222.222.222.222 )
 "
smtp_host: smtp.qiye.163.com
smtp_port: 25
smtp_auth_file: /Users/qy/Downloads/work/elastalert/example_rules/smtp_auth_file.yaml 

#回覆給那個郵箱
email_reply_to: [email protected]
#從哪個郵箱發送
from_addr: [email protected]
# (Required)
# The alert is use when a match is found
alert:
- "email"
# (required, email specific)
# a list of email addresses to send alerts to
email:
- "[email protected]"
alert_subject: "web attack may be by {} at @{}"
alert_subject_args:
 - remote_addr
 - time
alert_text_type: alert_text_only
alert_text: |
 你好，服務器({})可能正在受到web攻擊，請採取手段阻止！！！！
 ### 截止發郵件前匹配到的請求數：{}
 > 發生時間: {}
 > timestamp:{}
 > attacker's ip: {}
 > request: {}
 > status:{}
 > UA頭:{}
 >>> 參考來源：{}
alert_text_args:
 - host
 - num_hits
 - time
 - "@timestamp"
 - remote_addr
 - request
 - status
 - http_user_agent
 - source

smtp_auth_file.yaml:

user: [email protected]
password: password

1.6 運行elastalert

在成功配置完ElastAlert後將生成三個配置文件：
config.yaml、webattack_frequency.yaml、smtp_auth_file.yaml
啟動elastalert服務，監聽elasticsearch：
nohup python -m elastalert.elastalert --verbose --rule webattack_frequency.yaml >/dev/null 2>&1 &
為實現守護進程的作用，可以配合supervisor進行使用，本文不再闡述。

1.7 運行效果：

當匹配到自定義攻擊規則的時候，ElastAlert將會以郵件方式發送告警信息：

web attack may be by 104.38.13.21 at @[13/Jan/2018:16:06:58 +0800]
xxx 發給 shystartree 
你好，服務器(199.222.36.31)可能正在受到web攻擊，請採取手段阻止！！！！
### 截止發郵件前匹配到的請求數：20
> 發生時間: [13/Jan/2018:16:06:58 +0800]
> timestamp:2018-01-13T08:07:04.930Z
> attacker's ip: 184.233.9.121
> request: GET /dbadmin/scripts/setup.php HTTP/1.0
> status:200
> UA頭:ZmEu
>>> 參考來源：/log/localhost_access_log.2018-01-13.txt

五、總結

ElastAlert除了本文介紹的告警web攻擊行為外，還能進行異常告警等。使用了frequency的規則後，基本能達到識別web攻擊的目的。在實際的使用中，elastalert能穩定運行，且能根據自定義配置文件精確告警，缺點是告警的格式不夠美觀和需要頻繁地修改配置文件。

至於目前比較主流告警----微信告警，大家可以訪問我的github項目,裡面介紹了詳細的使用方法項目地址: https://github.com/Hello-Linux/elastalert_wechat_plugin

最後說一句重要的話: 記得關注我一下關注關注關注

分享到:

閱讀更多 IT黑旋風 的文章

關鍵字: Python 番外篇告警

解決 Elastic Search 的深分頁問題

Stack Overflow 自研 AI 系統標記不友好評論

Java架構師面試通關要點大彙總，拿下offer的必備知識你值得擁有

2020年最受歡迎的雲生態開源應用程序監控工具

Elastic Search 入門

Java Springboot 開源微服務架構管理後臺搭建實戰(請保留）

Stack Overflow：最令人討厭的編程語言

hammer.js的雙指點擊Tap事件如何識別及衝突解決

BuildRun企業級低代碼開發平臺(BrApps)1.0發佈

BATJ等一線大廠春招最新面試249題：多線程+JVM +Spring+微服務

利用這份文檔，我成功定位阿里P6，卻拿著P7的工資，分享一下

03.04 利用這份文檔，我成功定位阿里P6，卻拿著P7的工資，分享一下

03.03 什麼是Microsoft Azure Stack

02.28 利用這份文檔，我成功定位阿里P6，卻拿著P7的工資，分享一下

29上安裝ELK Stack

0.1f 改為 0 會使性能降低 10 倍，你信不信？

從未到頭打印鏈表

阿里面試彙總：MyBatis 微服務 Spring 分佈式 MySQL等(BAT向）

web後端哪個更有前途？

StackOverflow: 你沒見過的七個最好的Java答案

2019 年 stackoverflow 網站最受歡迎的 20 個 Python 問題

2019-12-12 GitHub 趨勢，按語言分類

Stack Overflow 188萬瀏覽量的提問：Java 到底是值傳遞還是引用傳遞？

2019-12-09 GitHub 趨勢，按語言分類

Stack Overflow 上最火的一個問題：什麼是 NullPointerException

20款GitHub上優秀的Go開源項目

Stack Overflow上370萬瀏覽量的一個問題：如何比較Java的字符串

SQL 已死，NoSQL才是王道？醒醒吧，別瞎說八道了

用Go語言之前，先看看它的利與弊吧

Stack Overflow 上最火的一個問題：什麼是 PointerException

linux下關於棧的一些有意思的地方「stack」

CentOS8 上建立多節點 Elastic stack 集群

Stack Overflow 2019程序員調查---最熱門的不是Python

瞭解有關Apache Flume和數據管道

SQL 已死，但 SQL 將永存！

4個最難的 Elastic Search 面試題

Elastic App Search可以輕鬆駕馭Elasticsearch 強大能力？

Stack Overflow 上最熱門問題是什麼？

為什麼在密碼問題上char[]優先於String？

Java高級：你沒見過的七個最好的StackOverflow答案

Elastic Search搜索引擎在SpringBoot中的實踐

SpringBoot基礎教程3-1-5 Elastic-Job-lite快速整合

Stack Overflow 調查 10 萬程式設計師後發現，Java 竟未上榜！

快速、安全、可靠！Yarn！

Elastic-Job

Stack overflow 2018 開發者調查結果，你的開發語言過時了嗎？

78條高質量編碼建議《Effective Java》(17~22)閱讀筆記

第二章 IoC容器和Bean配置

bean是一個對象，它是由Spring

運算裡不得不說的python模塊—math

Help

Devops度量--DevOps 現狀快速檢查表

今天主要分享一個DevOps

SOP是什麼（解讀）

SOP不是單個的，是一個體系，雖然我們可以單獨地定義每一個SOP，但真正從企業管理來看，SOP不可能只是單個的，必然是一個整體和體系，也是企業不可或缺的。

還不知道交換機上如何配置DHCP，趕緊過來圍觀吧，一分鐘包你學會

隨著終端設備的越來越多，人工干預配置IP地址，不僅工作效率低，而且，還很容易導致IP衝突，影響正常的網絡訪問。到此已經完成了，DHCP服務的配置了，我們可以在終端驗證。

還在手動配置IP地址嗎？太Low了，一分鐘教會您如何配置DHCP

Python爬蟲自學筆記：分析頭條文章網頁源文件

這兩天分析了一下頭條文章網頁的源文件，現在將分析的結果分享給大家。首先以一篇文章為例，其網址如下：https://www.toutiao.com/i6822245428176617998/如上圖網頁所示，文章中包含文字和圖片。

DNS偵查工具

我們只需要打開瀏覽器輸入例如:www.baidu.com就可以解析到該網站.為了便於記住不需要輸入長長的IP地址去訪問這就是DNS域名解析.關於域名域名的層次劃分用點來分割這時DNS把相對應的域名解析成IP地址高的在右邊.例如:www. NS簡介訪問某網站的時候最低在左邊

國人開源的異步 Python ORM：GINO

程序測評：Create React App 3.3中有哪些酷炫新功能？

Create

“明學”的魅力？我只要我覺得：駕馭終端，提高生產力

最後一個要介紹的命令是

（必收藏系列）Linux面試題——命令集

關注，後臺私信【Linux】分享Linux入門到進階電子書、Linux入門到精通視頻教程（免費）。文件管理命令cat

五分鐘學會如何在 IPFS 上部署網站

原文標題:五分鐘學會如何在

「正點原子NANO STM32F103開發板資料連載」第29章內存管理實驗

1）實驗平臺：【正點原子】

小白怎麼學Web前端開發如何成為技術達人

Web前端開發工程師已經成為了很多年輕人心中的理想工作，不僅入行門檻低、而且薪資待遇和發展前景都不錯，自然吸引了大批人加入行業。

如何開發一個web靜態服務器

我們都知道如今的web服務器有很多，比如著名的有apache，有nginx，有tomcat，有resin服務器，有sphere，有iis服務器等等，這些服務器都能提供web服務，並且幾乎都能和多種語言進行搭配使用，那麼一個web服務器都需要那些功能，開發一個web服務器都需要那些

學Java編程還有前景嗎如何才能拿到高薪

需求大、薪資高似乎是Java開發人員的標籤，不過學Java編程還有前景嗎？它架構在操作系統之上，屏蔽了底層的差異，真正實現了“Writeonce run

Python網絡爬蟲之配置篇（一）

pip

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertTo&useSSL=falseusername:rootpassword:

Python的運行效率太低？幾行代碼快速提升！

return的就是是你所需要的結果2.3、運行這一步就是最後一步了，只要像下面一樣輸入上述函數名，賦予參數值，點擊運行Run，就能得到你想要的結果arg1=5

python的優點是什麼？最新Python400集視頻（附教程）

2020，最新Python零基礎到精通資料教材，乾貨分享，新基礎Python教材，穩穩找到過萬工作，看這裡，這裡有你想要的所有資源哦，最強筆記，教你怎麼入門提升！獲取方式：私信小編“

MySQL中OOM故障應如何下手-愛可生

作者：孫祚龍愛可生南區分公司交付服務部成員，實習工程師。負責公司產品問題排查及日常運維工作。本文來源：原創投稿*愛可生開源社區出品，原創內容未經授權不得隨意使用，轉載請聯繫小編並註明來源。

像專家一樣使用 panic

|go

30種不同的編程語言怎麼寫“Hello, World”

printfn

percona QAN 介紹

一、背景QAN慢查詢日誌分析工具是PMM

面試官：你可以用純CSS判斷鼠標進入的方向嗎？

雖然沒什麼軟用，但是對付面試官應該是夠用了。感謝面試官提出的問題，讓我實現了這個功能，對CSS

網絡工程師職業生涯中，哪兩點是最重要的？

網絡工程師最重要的技能是紮實的基礎和非常開放的思維，微觀知識紮實、宏觀能力突出。項目經驗也會讓網絡工程師基礎更牢靠，網絡工程師是要實戰的，要避免紙上談兵，我認為對基礎理論的理解，比你清楚配置更重要。

交換機中相關術語代表什麼意思，有必要弄清楚

由淺入深瞭解以太坊 2.0：最常見問題和最全學習清單

有關以太坊2.0

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

yuminstall

吃透這些IPFS硬核知識點，日後搶頭礦隨時“彎道超車”

今天的你捉住IPFS機遇了嗎？我們都知道在Filecoin網絡中作為一名存儲礦工，信譽對於我們是非常重要的——信譽越高，爆塊幾率越大。那麼信譽系統現在怎麼樣了呢？

Hive分桶表

fieldsterminated

Spring中資源的加載原來是這麼一回事啊！

自己動手搭建郵件系統：怎樣讓Exchange Server 發出第一封郵件？

編輯Exchange

$【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫$

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

在阿里雲控制檯，我們能下載的文件是一個壓縮包，解壓之後，是.idb和.frm文件，你可能要問了，我可以直接把解壓好的問題件覆蓋到MySQL的data目錄下嗎？

NLP算法入門系列：隱含馬爾可夫鏈(HMM)模型的簡單介紹

即，最大化

第一章 Spring Framework概述

您可以在任何web

opencv人工智能深度學習這樣實現人臉的年齡檢測

前期的文章我們分享了人臉的識別以及如何進行人臉數據的訓練，本期文章我們結合人臉識別的模型進行人臉年齡的檢測人臉年齡的檢測步驟1、首先需要進行人臉的檢測2、把檢測到的人臉數據給年齡檢測模型去檢測3、把檢測結果呈現到圖片上人臉年齡檢測import

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

圖8-1

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

先反思為何會有上述疑惑上述疑惑產生的原因，應該是受到平時使用HashMap的影響，HashMap獲取值就是在調用get方法時指定key，設置值也是在put時指定key，所以看到state.value，看懂了這些，其實也是在瞭解DataStream/DataSetAPI的設計思路：

Redis內存分析工具--rdr安裝與使用

分析Redis

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

//getData發現前一個子節點被刪除，拋出異常

一行代碼提升遷移性能

論文原址：https://arxiv.org/pdf/2003.12237.pdf開源地址：https://github.com/cuishuhao/BNM在發表在CVPR2020

利用相似幾何信息，做可泛化3D形狀分割模型

更具體的有以下三種典型的分割方案：FullyConvolutional-Like

這麼好用的開源計算器SpeedCrunch，沒有不嘗試一下的道理

介紹SpeedCrunch是一款高精度科學計算器，具有快速，鍵盤驅動的用戶界面。獲取方式在GitHub上搜索SpeedCrunch，就可以去到

分佈式緩存，真香

他是前易寶支付架構師、阿里雲MVP、騰訊雲

特徵工程的力量

在本文中，我希望教給您一些有關特徵工程的知識，以及如何使用它來對非線性決策邊界進行建模。為了說明這一點，假設恢復時間與身高和體重具有以下關係：Y=β₀+β₁+β2+β₃+noise從第三項來看，我們可以看到Y與身高和體重沒有線性關係。

java架構：天天寫面向接口編程，你考慮過性能嗎？大神都是這麼寫

public

SpringBoot如何優雅的使用RocketMQ

源碼編譯需要Maven3.2x，JDK8在根目錄進行打包:Copymvn-Prelease-all

css代碼規範工具stylelint

"mixin"