概述

对于Kibana的一些数据我们有时候是想要对某些字段进行持续关注的，这时候通过报警的手段就可以大幅提升对这些信息状态了解的及时性及可靠性。使用sentinl插件就可以帮助我们实现这个功能。sentinl是一个免费的kibana预警与报告插件，与付费软件X-Pack功能类似。

此教程基于sentinl 6.6.1, 注意sentinl版本与kibana的版本保持一致。

sentinl插件下载地址：https://github.com/sirensolutions/sentinl/releases。

1、filebeat配置

1.1、日志生成规划

filebeat提供了两种日志生成方式。一般情况下，建议使用默认生成策略

打开filebeat配置文件，添加如下内容。使用本方案所对应的策略配置名称，必须为 beats-default-policy

1.2、后台启动

ps -ef|grep filebeat|grep -v grep | awk '{print $2}'|xargs kill -9
nohup ./filebeat -e -c filebeat.yml >nohup.out 2>&1 &
tail -f nohup.out

1.3、多个应用日志输出到一个ES如何区分日志类别？

因为是上生产环境，这里存在问题：

实现：

简单来讲就是在message字段加上唯一标识。

2、创建索引模式

管理--索引模式--创建索引模式

3、部署sentinl

wget https://github.com/sirensolutions/sentinl/releases/download/tag-6.6.0-0/sentinl-v6.6.1.zip -O /opt
cd /usr/local/kibana/kibana-6.6.2-linux-x86_64/bin
./kibana-plugin install file:///opt/sentinl-v6.6.1.zip

4、重启kibana

nohup ./kibana &

注意kibana 使用 ps -ef|grep kibana 是查不到进程的，主要原因是 kibana 是用node写的，运行的时候是运行在node 里面，所以看不到

到这里我们就完成sentinl插件的部署了，后面会介绍怎么用sentinl来配置kibana告警，感兴趣的朋友可以关注下~