সিস্টেম লগ সংগ্রাহক হিসাবে ডকারে স্প্লঙ্ক ইউনিভার্সাল ফরওয়ার্ডার

স্প্লঙ্ক হল বেশ কয়েকটি স্বীকৃত বাণিজ্যিক লগ সংগ্রহ এবং বিশ্লেষণ পণ্যগুলির মধ্যে একটি। এমনকি এখন, যখন বিক্রয় আর রাশিয়ায় করা হয় না, তখন এই পণ্যটির জন্য নির্দেশনা/কীভাবে করতে হবে না লেখার কারণ নয়।

কাজের: হোস্ট মেশিন কনফিগারেশন পরিবর্তন না করে স্প্লঙ্কে ডকার নোড থেকে সিস্টেম লগ সংগ্রহ করুন

আমি অফিসিয়াল পদ্ধতির সাথে শুরু করতে চাই, যা ডকার ব্যবহার করার সময় কিছুটা অদ্ভুত দেখায়।
ডকার হাবের লিঙ্ক
আমাদের কি আছে:

1. পুলিম ইমেজ

$ docker pull splunk/universalforwarder:latest

2. প্রয়োজনীয় পরামিতি দিয়ে ধারক শুরু করুন

$ docker run -d  -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=<password>' splunk/universalforwarder:latest

3. আমরা পাত্রে যান

docker exec -it <container-id> /bin/bash

এরপরে, ডকুমেন্টেশনে আমাদের পরিচিত ঠিকানায় যেতে বলা হয়।

এবং এটি শুরু হওয়ার পরে ধারকটি কনফিগার করুন:

./splunk add forward-server <host name or ip address>:<listening port>
./splunk add monitor /var/log
./splunk restart

অপেক্ষা করুন। কি?

কিন্তু চমক সেখানেই শেষ হয় না। আপনি যদি অফিসিয়াল ইমেজ থেকে ইন্টারেক্টিভ মোডে ধারকটি চালান, আপনি নিম্নলিখিতগুলি দেখতে পাবেন:

কিছুটা হতাশা

$ docker run -it -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=password' splunk/universalforwarder:latest

PLAY [Run default Splunk provisioning] *******************************************************************************************************************************************************************************************************
Tuesday 09 April 2019  13:40:38 +0000 (0:00:00.096)       0:00:00.096 *********

TASK [Gathering Facts] ***********************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:39 +0000 (0:00:01.520)       0:00:01.616 *********

TASK [Get actual hostname] *******************************************************************************************************************************************************************************************************************
changed: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.599)       0:00:02.215 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.054)       0:00:02.270 *********

TASK [set_fact] ******************************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.075)       0:00:02.346 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.067)       0:00:02.413 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.060)       0:00:02.473 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.051)       0:00:02.525 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.056)       0:00:02.582 *********
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.216)       0:00:02.798 *********
included: /opt/ansible/roles/splunk_common/tasks/change_splunk_directory_owner.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.087)       0:00:02.886 *********

TASK [splunk_common : Update Splunk directory owner] *****************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.324)       0:00:03.210 *********
included: /opt/ansible/roles/splunk_common/tasks/get_facts.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.094)       0:00:03.305 *********

ну и так далее...

দারুণ। ইমেজ এমনকি একটি আর্টিফ্যাক্ট ধারণ করে না. অর্থাৎ, আপনি যতবার শুরু করবেন ততবার বাইনারি, আনপ্যাক এবং কনফিগার সহ সংরক্ষণাগার ডাউনলোড করতে সময় লাগবে।
কি ডকার-ওয়ে এবং যে সব সম্পর্কে?

না ধন্যবাদ. আমরা একটি ভিন্ন রুট নিতে হবে. যদি আমরা সমাবেশ পর্যায়ে এই সমস্ত অপারেশন সঞ্চালন? তাহলে চলো যাই!

খুব বেশি দেরি না করার জন্য, আমি এখনই আপনাকে চূড়ান্ত চিত্রটি দেখাব:

Dockerfile

# Тут у кого какие предпочтения
FROM centos:7

# Задаём переменные, чтобы каждый раз при старте не указывать их
ENV SPLUNK_HOME /splunkforwarder
ENV SPLUNK_ROLE splunk_heavy_forwarder
ENV SPLUNK_PASSWORD changeme
ENV SPLUNK_START_ARGS --accept-license

# Ставим пакеты
# wget - чтобы скачать артефакты
# expect - понадобится для первоначального запуска Splunk на этапе сборки
# jq - используется в скриптах, которые собирают статистику докера
RUN yum install -y epel-release 
    && yum install -y wget expect jq

# Качаем, распаковываем, удаляем
RUN wget -O splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.2.4&product=universalforwarder&filename=splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz&wget=true' 
    && wget -O docker-18.09.3.tgz 'https://download.docker.com/linux/static/stable/x86_64/docker-18.09.3.tgz' 
    && tar -xvf splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && tar -xvf docker-18.09.3.tgz  
    && rm -f splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && rm -f docker-18.09.3.tgz

# С shell скриптами всё понятно, а вот inputs.conf, splunkclouduf.spl и first_start.sh нуждаются в пояснении. Об этом расскажу после source тэга.
COPY [ "inputs.conf", "docker-stats/props.conf", "/splunkforwarder/etc/system/local/" ]
COPY [ "docker-stats/docker_events.sh", "docker-stats/docker_inspect.sh", "docker-stats/docker_stats.sh", "docker-stats/docker_top.sh", "/splunkforwarder/bin/scripts/" ]
COPY splunkclouduf.spl /splunkclouduf.spl
COPY first_start.sh /splunkforwarder/bin/

#  Даём права на исполнение, добавляем пользователя и выполняем первоначальную настройку
RUN chmod +x /splunkforwarder/bin/scripts/*.sh 
    && groupadd -r splunk 
    && useradd -r -m -g splunk splunk 
    && echo "%sudo ALL=NOPASSWD:ALL" >> /etc/sudoers 
    && chown -R splunk:splunk $SPLUNK_HOME 
    && /splunkforwarder/bin/first_start.sh 
    && /splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme 
    && /splunkforwarder/bin/splunk restart

# Копируем инит скрипты
COPY [ "init/entrypoint.sh", "init/checkstate.sh", "/sbin/" ]

# По желанию. Кому нужно локально иметь конфиги/логи, кому нет.
VOLUME [ "/splunkforwarder/etc", "/splunkforwarder/var" ]

HEALTHCHECK --interval=30s --timeout=30s --start-period=3m --retries=5 CMD /sbin/checkstate.sh || exit 1

ENTRYPOINT [ "/sbin/entrypoint.sh" ]
CMD [ "start-service" ]

তাই কি নিহিত আছে

first_start.sh

#!/usr/bin/expect -f
set timeout -1
spawn /splunkforwarder/bin/splunk start --accept-license
expect "Please enter an administrator username: "
send -- "adminr"
expect "Please enter a new password: "
send -- "changemer"
expect "Please confirm new password: "
send -- "changemer"
expect eof

প্রথম শুরুতে, স্প্লঙ্ক আপনাকে একটি লগইন/পাসওয়ার্ড দিতে বলে, কিন্তু এই ডেটা ব্যবহার করা হয় শুধুমাত্র সেই নির্দিষ্ট ইনস্টলেশনের জন্য প্রশাসনিক কমান্ড চালানোর জন্য, অর্থাৎ কন্টেইনারের ভিতরে। আমাদের ক্ষেত্রে, আমরা কেবল পাত্রটি চালু করতে চাই যাতে সবকিছু কাজ করে এবং লগগুলি নদীর মতো প্রবাহিত হয়। অবশ্যই, এটি হার্ডকোড, কিন্তু আমি অন্য কোন উপায় খুঁজে পাইনি।

আরও স্ক্রিপ্ট অনুযায়ী মৃত্যুদন্ড কার্যকর করা হয়

/splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme

splunkclouduf.spl — এটি স্প্লঙ্ক ইউনিভার্সাল ফরওয়ার্ডারের জন্য একটি শংসাপত্র ফাইল, যা ওয়েব ইন্টারফেস থেকে ডাউনলোড করা যেতে পারে।

ডাউনলোড করতে কোথায় ক্লিক করবেন (ছবিতে)


এটি একটি নিয়মিত সংরক্ষণাগার যা আনপ্যাক করা যেতে পারে। ভিতরে আমাদের স্প্লঙ্কক্লাউডের সাথে সংযোগ করার জন্য শংসাপত্র এবং একটি পাসওয়ার্ড রয়েছে outputs.conf আমাদের ইনপুট উদাহরণগুলির একটি তালিকা সহ। এই ফাইলটি প্রাসঙ্গিক হবে যতক্ষণ না আপনি আপনার স্প্লঙ্ক ইনস্টলেশন পুনরায় ইনস্টল করেন বা ইনস্টলেশন অন-প্রিমাইজ হলে একটি ইনপুট নোড যোগ করেন। অতএব, পাত্রের ভিতরে এটি যোগ করার সাথে কোন ভুল নেই।

এবং শেষ জিনিস রিস্টার্ট হয়. হ্যাঁ, পরিবর্তনগুলি প্রয়োগ করতে, আপনাকে এটি পুনরায় চালু করতে হবে।

আমাদের মাঝে inputs.conf আমরা লগগুলি যোগ করি যা আমরা স্প্লঙ্কে পাঠাতে চাই। উদাহরণস্বরূপ, আপনি পুতুলের মাধ্যমে কনফিগারেশন বিতরণ করলে ছবিতে এই ফাইলটি যুক্ত করার প্রয়োজন নেই। একমাত্র জিনিস ফরোয়ার্ডার যখন ডেমন শুরু হয় তখন কনফিগারগুলি দেখতে পায়, অন্যথায় এটির প্রয়োজন হবে ./splunk পুনরায় চালু করুন.

তারা কি ধরনের ডকার পরিসংখ্যান স্ক্রিপ্ট? থেকে Github উপর একটি পুরানো সমাধান আছে আউটকোল্ডম্যান, সেখান থেকে স্ক্রিপ্টগুলি নেওয়া হয়েছিল এবং ডকারের বর্তমান সংস্করণগুলির সাথে কাজ করার জন্য পরিবর্তন করা হয়েছিল (ce-17. ) এবং স্প্লঙ্ক (7.)৷

প্রাপ্ত ডেটা দিয়ে, আপনি নিম্নলিখিতগুলি তৈরি করতে পারেন

ড্যাশবোর্ড: (কয়েকটি ছবি)


ড্যাশের সোর্স কোডটি নিবন্ধের শেষে দেওয়া লিঙ্কে রয়েছে। অনুগ্রহ করে মনে রাখবেন যে 2টি নির্বাচিত ক্ষেত্র রয়েছে: 1 - সূচক নির্বাচন (মাস্ক দ্বারা অনুসন্ধান করা হয়েছে), হোস্ট/কন্টেইনার নির্বাচন। আপনি যে নামগুলি ব্যবহার করেন তার উপর নির্ভর করে আপনাকে সম্ভবত ইনডেক্স মাস্ক আপডেট করতে হবে।

উপসংহারে, আমি ফাংশনের প্রতি আপনার দৃষ্টি আকর্ষণ করতে চাই শুরু() в

entrypoint.sh

start() {
    trap teardown EXIT
	if [ -z $SPLUNK_INDEX ]; then
	echo "'SPLUNK_INDEX' env variable is empty or not defined. Should be 'dev' or 'prd'." >&2
	exit 1
	else
	sed -e "s/@index@/$SPLUNK_INDEX/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
	fi
	sed -e "s/@hostname@/$(cat /etc/hostname)/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
    sh -c "echo 'starting' > /tmp/splunk-container.state"
	${SPLUNK_HOME}/bin/splunk start
    watch_for_failure
}

আমার ক্ষেত্রে, প্রতিটি পরিবেশ এবং প্রতিটি পৃথক সত্তার জন্য, এটি একটি ধারক বা একটি হোস্ট মেশিনে একটি অ্যাপ্লিকেশন হোক, আমরা একটি পৃথক সূচক ব্যবহার করি। এইভাবে, তথ্যের উল্লেখযোগ্য সঞ্চয় হলে অনুসন্ধানের গতি ক্ষতিগ্রস্ত হবে না। সূচীগুলির নাম দেওয়ার জন্য একটি সাধারণ নিয়ম ব্যবহার করা হয়: _. অতএব, ধারকটি সর্বজনীন হওয়ার জন্য, ডেমন নিজেই চালু করার আগে, আমরা প্রতিস্থাপন করি কিন্তু-ম ওয়াইল্ডকার্ড পরিবেশের নামে। এনভায়রনমেন্ট নাম ভেরিয়েবল এনভায়রনমেন্ট ভেরিয়েবলের মাধ্যমে পাস করা হয়। সুনতে মজার লাগছে.

এটিও লক্ষণীয় যে কিছু কারণে স্প্লঙ্ক ডকার প্যারামিটারের উপস্থিতি দ্বারা প্রভাবিত হয় না হোস্ট-নেম. তিনি এখনও হঠকারীভাবে হোস্ট ক্ষেত্রে তার কন্টেইনার আইডি সহ লগ পাঠাবেন। একটি সমাধান হিসাবে, আপনি মাউন্ট করতে পারেন জন্য / etc / হোস্টনাম হোস্ট মেশিন থেকে এবং স্টার্টআপে ইনডেক্স নামের অনুরূপ প্রতিস্থাপন করুন।

উদাহরণ docker-compose.yml

version: '2'
services:
  splunk-forwarder:
    image: "${IMAGE_REPO}/docker-stats-splunk-forwarder:${IMAGE_VERSION}"
    environment:
      SPLUNK_INDEX: ${ENVIRONMENT}
    volumes:
    - /etc/hostname:/etc/hostname:ro
    - /var/log:/var/log
    - /var/run/docker.sock:/var/run/docker.sock:ro

ফলাফল

হ্যাঁ, সম্ভবত সমাধানটি আদর্শ নয় এবং অবশ্যই সবার জন্য সর্বজনীন নয়, যেহেতু অনেকগুলি রয়েছে "হার্ডকোড". তবে এটির উপর ভিত্তি করে, প্রত্যেকে তাদের নিজস্ব চিত্র তৈরি করতে পারে এবং এটিকে তাদের ব্যক্তিগত শিল্প কারখানায় রাখতে পারে, যদি এটি ঘটে, আপনার ডকারে স্প্লঙ্ক ফরওয়ার্ডার প্রয়োজন।

রেফারেন্স:

নিবন্ধ থেকে সমাধান
আউটকোল্ডম্যানের একটি সমাধান যা আমাদের কিছু কার্যকারিতা পুনরায় ব্যবহার করতে অনুপ্রাণিত করেছে
এর। ইউনিভার্সাল ফরওয়ার্ডার সেট আপ করার জন্য ডকুমেন্টেশন

উত্স: www.habr.com