auditbeat-* 인덱스를 대상으로 1분 단위 스케줄을 걸고,
최근 1분 동안 10개 이상의 로그가 발생하면 알림을 띄우도록 설정.
생성된 Watcher의 ID를 클릭하면 모니터링 상황을 볼 수 있다.
OK는 Watcher 실행, Firing은 알림 조건인 10개 이상의 로그 발생을 의미.
정밀한 조건은 advanced watch로
스케줄링은 1분 단위.
모니터링 조건은 최근 1분 동안 발생한 root 계정.
모니터링 대상 인덱스는 audit*.
root 계정에 의한 로그 발생이 1개 이상이면 알림을 띄우도록 설정.
잘 된다.
더 자세한 내용은 여기를 참고.
관련 글
댓글 없음:
댓글 쓰기