Kibana的sentinl插件的安装使用

安装sentinl插件

到https://github.com/sirensolutions/sentinl/releases上选择合适的版本，比如你的kibana是5.6.2的，那么这里也要选择5.6.2的sentinl版本；复制zip包的链接地址，然后到kibana服务器（开通外网）上，执行下面的命令即可安装：
/usr/local/kibana/bin/kibana-plugin install https://github.com/sirensolutions/sentinl/releases/download/tag-5.6.2/sentinl-v5.6.4.zip

如果服务器无法直接访问外网，可以选择下载后上传插件包文件到服务器，再执行以下命令安装：
/usr/local/kibana/bin/kibana-plugin install file://{sentinl-v5.6.2.zip的存放路径}
注意不要遗漏加粗部分的“file://”.

修改kibana.yml配置

在kibana.yml的文件末尾增加以下配置：

sentinl:
  es:
    host: {你的Elasticsearch地址}
    port: 9200
    timefield: '@timestamp'
    default_index: watcher
    type: sentinl-watcher
    alarm_index: watcher_alarms
    alarm_type: sentinl-alarm
    script_type: sentinl-script
  sentinl:
    history: 20
    results: 50
    scriptResults: 50
  settings:
    email:
      active: false
      user: username
      password: password
      host: smtp.server.com
      ssl: true
      timeout: 10000  # mail server connection timeout
    slack:
      active: false
      username: username
      hook: 'https://hooks.slack.com/services/'
      channel: '#channel'

重启kibana

执行命令：
kill {kibana的pid}
/usr/local/kibana/bin/kibana &

配置监控规则

1. 登录kibana，打开sentinl页面：
   

2. 点击New->Watcher创建新规则，在General中配置规则名称和来源数据查询周期：
   

3. 在Input中配置查询语句，body内填入Elasticsearch的DSL语句：
   

4. 在Condition中配置触发条件，payload对象代表input的查询返回结果：
   

5. Transform中可以对input结果做处理，一般很少用到，放空：
   

6. Action中则是配置告警触发时的动作，可以选择发现告警邮件、webhook（如发送Dingding消息等）、生成报表等：
   
   邮件告警：
   
   Throttle为节流阀（不知道怎么翻译合适），即设置多少时间如果告警未解除，不会重复发送告警。From为发送邮箱，在kibana.yml中预配置好；To为要接收告警邮件的邮箱地址，可以通过分号分隔配置多个邮箱。body中配置告警邮件内容，支持mustache表达式，payload为input的查询结果。

   钉钉告警：
   
   body格式根据钉钉的机器人API文档配置，这里有个点要注意，如果content字段在执行完mustache渲染替换后带有双引号，因为没有被转义，会导致钉钉发送失败，且kibana中不会有错误日志输出。这里需要将外层的引号改为单引号。

7. Raw：
   
   所有的配置总览，可以直接在这里配置监控告警的所有设置，修改好后勾选“enable”再点击右上角的“save”保存。

测试规则

点击测试按钮测试规则：

可以打开kibana日志文件观察执行日志。最右侧按钮为监控开关。