Les prérequis

Les connecteurs

1. Vous avez besoin d'une clé

   Vous devez créer une clé d'encryptage car on va stocker des données sensibles d'accès aux connecteurs

2. Création d'un webhook Slack

   Vous devez configurer votre compte Slack pour recevoir des messages webhooks.

3. Configuration d'un connecteur Slack

   Vous devez créer un connecteur Slack dans votre cluster avec les informations de l'étape ci-dessus.

4. Fonctionne-t-il?

   Vous devez tester si votre connecteur est bien configuré.

La détection

1. Nouvel index

   On va créer un nouveau index nommé 'montroisiemeindex'. Dans une configuration avancée, il faudra plutôt reindexer les documents mais cela fera l'objet d'un autre TP. Il faut que ce nouvel index ait 3 shards et 2 replicas. Le champ user doit être de type 'nested'. Une fois l'index créé, il faut ajouter ces documents dans l'index :

   { "@timestamp": "2024-11-21T10:24:22Z", "message" : "mon bulk", "id": 1, "user": { "office": "RousselTM", "number":125} }
   { "@timestamp": "2024-11-21T10:24:22Z", "message" : "mon bulk", "id": 2, "user": {"office": "rousseltm", "number":4258} }
   { "@timestamp": "2024-11-21T10:24:22Z", "message" : "mon bulk", "id": 3, "user": {"office": "Immo", "number":28215} }
   { "@timestamp": "2024-11-21T10:24:22Z", "message" : "mon bulk", "id": 4, "user": {"office": "Elastic", "number":2825} }
   { "@timestamp": "2024-11-21T10:24:22Z", "message" : "mon bulk", "id": 5, "user": {"office": "ElAStic", "number":2452} }

2. A l'ancienne

   Vous devez créer un 'Watcher' qui génère une alerte si on a plus de 10 messages contenant 'bulk' et envoyer la notification sur Slack

3. Avec la modernité

   Vous devez créer une règle qui génère une alerte si on a plus de 10 messages contenant 'bulk' et envoyer la notification sur Slack

4. La liaison est bonne ?

   Vous devez compléter le nombre de documents dans l'index pour avoir plus de 10 éléments et déclencher l'alerte.