🥇私たちはELKとExchangeと友達です。パート 2

Exchange と ELK の友達を作る方法についての話を続けます (始まり) ここで）。この組み合わせにより、非常に多くのログを躊躇なく処理できることを思い出してください。今回は、Exchange を Logstash および Kibana コンポーネントと連携させる方法について説明します。

ELK スタックの Logstash は、ログをインテリジェントに処理し、ドキュメント形式で Elastic に配置する準備をするために使用されます。これに基づいて、Kibana でさまざまな視覚化を構築するのに便利です。

インストール

次の XNUMX つの段階で構成されます。

OpenJDK パッケージのインストールと構成。
Logstash パッケージのインストールと構成。

OpenJDK パッケージのインストールと構成

OpenJDK パッケージをダウンロードして、特定のディレクトリに解凍する必要があります。次に、このディレクトリへのパスを Windows オペレーティングシステムの $env:Path 変数と $env:JAVA_HOME 変数に入力する必要があります。

Java のバージョンを確認してみましょう。

PS C:> java -version
openjdk version "13.0.1" 2019-10-15
OpenJDK Runtime Environment (build 13.0.1+9)
OpenJDK 64-Bit Server VM (build 13.0.1+9, mixed mode, sharing)

Logstash パッケージのインストールと構成

Logstash ディストリビューションでアーカイブファイルをダウンロードする故に。アーカイブはディスクのルートに解凍する必要があります。フォルダに解凍する C:Program Files それは無駄です。Logstash は通常の起動を拒否します。次に、ファイルに入力する必要があります jvm.options Java プロセスに RAM を割り当てる問題を修正しました。サーバーの RAM の半分を指定することをお勧めします。 16 GB の RAM が搭載されている場合、デフォルトのキーは次のとおりです。

-Xms1g
-Xmx1g

は次のように置き換える必要があります。

-Xms8g
-Xmx8g

さらに、次の行をコメントアウトすることをお勧めします。 -XX:+UseConcMarkSweepGC。さらに詳しくここで。次のステップでは、logstash.conf ファイルにデフォルト構成を作成します。

input {
 stdin{}
}
 
filter {
}
 
output {
 stdout {
 codec => "rubydebug"
 }
}

この構成では、Logstash はコンソールからデータを読み取り、それを空のフィルターに通し、コンソールに出力します。この構成を使用すると、Logstash の機能がテストされます。これを行うには、対話モードで実行しましょう。

PS C:...bin> .logstash.bat -f .logstash.conf
...
[2019-12-19T11:15:27,769][INFO ][logstash.javapipeline    ][main] Pipeline started {"pipeline.id"=>"main"}
The stdin plugin is now waiting for input:
[2019-12-19T11:15:27,847][INFO ][logstash.agent           ] Pipelines running {:count=>1, :running_pipelines=>[:main], :non_running_pipelines=>[]}
[2019-12-19T11:15:28,113][INFO ][logstash.agent           ] Successfully started Logstash API endpoint {:port=>9600}

Logstash はポート 9600 で正常に起動しました。

インストールの最後の手順: Logstash を Windows サービスとして起動します。これは、たとえばパッケージを使用して実行できます。 NSSM:

PS C:...bin> .nssm.exe install logstash
Service "logstash" installed successfully!

耐障害性

ソースサーバーから転送されるときのログの安全性は、永続キューメカニズムによって確保されます。

その仕組み

ログ処理中のキューのレイアウトは、入力 → キュー → フィルター + 出力です。

入力プラグインはログソースからデータを受信し、それをキューに書き込み、データを受信したことの確認をソースに送信します。

キューからのメッセージは Logstash によって処理され、フィルターと出力プラグインを通過します。ログが送信されたという出力からの確認を受け取ると、Logstash は処理されたログをキューから削除します。 Logstash が停止すると、すべての未処理のメッセージと確認が受信されていないメッセージはキューに残り、Logstash は次回起動時に処理を続行します。

調整

ファイル内のキーで調整可能 C:Logstashconfiglogstash.yml:

queue.type: (可能な値 - persisted и memory (default)).
path.queue: (デフォルトで C:Logstashqueue に保存されるキューファイルが含まれるフォルダーへのパス)。
queue.page_capacity: (最大キューページサイズ、デフォルト値は 64mb)。
queue.drain: (true/false - Logstash をシャットダウンする前にキュー処理を停止することを有効または無効にします。これはサーバーのシャットダウン速度に直接影響するため、有効にすることはお勧めしません)。
queue.max_events: (キュー内のイベントの最大数、デフォルトは 0 (無制限))。
queue.max_bytes: (バイト単位の最大キューサイズ、デフォルト - 1024mb (1gb))。

設定されている場合 queue.max_events и queue.max_bytes、これらの設定のいずれかの値に達すると、メッセージはキューに受け入れられなくなります。永続キューの詳細については、こちらをご覧ください。ここで.

キューの設定を担当する logstash.yml の部分の例:

queue.type: persisted
queue.max_bytes: 10gb

調整

通常、Logstash 構成は XNUMX つの部分で構成され、受信 (入力セクション)、解析 (フィルターセクション)、Elastic への送信 (出力セクション) という、受信ログの処理のさまざまなフェーズを担当します。以下でそれぞれについて詳しく見ていきます。

入力

Filebeat エージェントから生のログを含む受信ストリームを受け取ります。入力セクションで指定するのはこのプラグインです。

input {
  beats {
    port => 5044
  }
}

この構成の後、Logstash はポート 5044 のリッスンを開始し、ログを受信するとフィルターセクションの設定に従って処理します。必要に応じて、filebit からログを受信するチャネルを SSL でラップできます。 Beats プラグインの設定について詳しく読むここで.

フィルタ

Exchange が生成する処理に関係するテキストログはすべて、ログファイル自体にフィールドが記述された CSV 形式です。 CSV レコードを解析するために、Logstash は XNUMX つのプラグインを提供します。解剖する、csv、および grok。最初のものが一番多いです迅速、ただし、最も単純なログのみの解析に対応します。
たとえば、次のレコードは (フィールド内にカンマが存在するため) XNUMX つに分割されるため、ログが正しく解析されません。

…,"MDB:GUID1, Mailbox:GUID2, Event:526545791, MessageClass:IPM.Note, CreationTime:2020-05-15T12:01:56.457Z, ClientType:MOMT, SubmissionAssistant:MailboxTransportSubmissionEmailAssistant",…

IIS などのログを解析するときに使用できます。この場合、フィルターセクションは次のようになります。

filter {
  if "IIS" in [tags] {
    dissect {
      mapping => {
        "message" => "%{date} %{time} %{s-ip} %{cs-method} %{cs-uri-stem} %{cs-uri-query} %{s-port} %{cs-username} %{c-ip} %{cs(User-Agent)} %{cs(Referer)} %{sc-status} %{sc-substatus} %{sc-win32-status} %{time-taken}"
      }
      remove_field => ["message"]
      add_field => { "application" => "exchange" }
    }
  }
}

Logstash 構成により、次のことが可能になります。条件文したがって、filebeat タグが付けられたログのみを dissect プラグインに送信できます。 IIS。プラグイン内でフィールド値とその名前を照合し、元のフィールドを削除します messageこれにはログのエントリが含まれており、たとえばログを収集するアプリケーションの名前を含むカスタムフィールドを追加できます。

ログを追跡する場合は、複雑なフィールドを正しく処理できる csv プラグインを使用することをお勧めします。

filter {
  if "Tracking" in [tags] {
    csv {
      columns => ["date-time","client-ip","client-hostname","server-ip","server-hostname","source-context","connector-id","source","event-id","internal-message-id","message-id","network-message-id","recipient-address","recipient-status","total-bytes","recipient-count","related-recipient-address","reference","message-subject","sender-address","return-path","message-info","directionality","tenant-id","original-client-ip","original-server-ip","custom-data","transport-traffic-type","log-id","schema-version"]
      remove_field => ["message", "tenant-id", "schema-version"]
      add_field => { "application" => "exchange" }
    }
}

プラグイン内でフィールド値とその名前を照合し、元のフィールドを削除します message (フィールドも tenant-id и schema-version) にはログのエントリが含まれており、たとえばログを収集するアプリケーションの名前を含むカスタムフィールドを追加できます。

フィルタリング段階の終了時に、一次近似でドキュメントを受け取り、Kibana で視覚化できるようになります。次のものが欠落します。

数値フィールドはテキストとして認識されるため、数値フィールドに対する操作はできません。つまり、フィールド time-taken IIS ログとフィールド recipient-count и total-bites ログ追跡。
標準ドキュメントのタイムスタンプには、サーバー側でログが書き込まれた時間ではなく、ログが処理された時間が含まれます。
フィールド recipient-address XNUMX つの建設現場のように見えるため、手紙の受信者を数える分析はできません。

ログ処理プロセスにちょっとした魔法を加えてみましょう。

数値フィールドの変換

dissect プラグインにはオプションがあります convert_datatype、テキストフィールドをデジタル形式に変換するために使用できます。たとえば、次のようになります。

dissect {
  …
  convert_datatype => { "time-taken" => "int" }
  …
}

この方法は、フィールドに必ず文字列が含まれる場合にのみ適していることを覚えておいてください。このオプションはフィールドからの Null 値を処理せず、例外をスローします。

ログを追跡する場合、同様の変換メソッドを使用しないことをお勧めします。 recipient-count и total-bites 空いている可能性があります。これらのフィールドを変換するには、プラグインを使用することをお勧めします。変異する:

mutate {
  convert => [ "total-bytes", "integer" ]
  convert => [ "recipient-count", "integer" ]
}

recipient_address を個々の受信者に分割する

この問題は、mutate プラグインを使用して解決することもできます。

mutate {
  split => ["recipient_address", ";"]
}

タイムスタンプの変更

ログの追跡の場合、問題はプラグインによって非常に簡単に解決されます。 date、フィールドでの書き込みに役立ちます timestamp フィールドからの日付と時刻を必要な形式で入力します date-time:

date {
  match => [ "date-time", "ISO8601" ]
  timezone => "Europe/Moscow"
  remove_field => [ "date-time" ]
}

IIS ログの場合、フィールドデータを結合する必要があります。 date и time mutate プラグインを使用して、必要なタイムゾーンを登録し、このタイムスタンプを timestamp 日付プラグインを使用する:

mutate { 
  add_field => { "data-time" => "%{date} %{time}" }
  remove_field => [ "date", "time" ]
}
date { 
  match => [ "data-time", "YYYY-MM-dd HH:mm:ss" ]
  timezone => "UTC"
  remove_field => [ "data-time" ]
}

出力

出力セクションは、処理されたログをログ受信者に送信するために使用されます。 Elasticに直接送信する場合はプラグインを使用しますエラスティックサーチ、生成されたドキュメントを送信するためのサーバーアドレスとインデックス名のテンプレートを指定します。

output {
  elasticsearch {
    hosts => ["127.0.0.1:9200", "127.0.0.2:9200"]
    manage_template => false
    index => "Exchange-%{+YYYY.MM.dd}"
  }
}

最終構成

最終的な構成は次のようになります。

input {
  beats {
    port => 5044
  }
}
 
filter {
  if "IIS" in [tags] {
    dissect {
      mapping => {
        "message" => "%{date} %{time} %{s-ip} %{cs-method} %{cs-uri-stem} %{cs-uri-query} %{s-port} %{cs-username} %{c-ip} %{cs(User-Agent)} %{cs(Referer)} %{sc-status} %{sc-substatus} %{sc-win32-status} %{time-taken}"
      }
      remove_field => ["message"]
      add_field => { "application" => "exchange" }
      convert_datatype => { "time-taken" => "int" }
    }
    mutate { 
      add_field => { "data-time" => "%{date} %{time}" }
      remove_field => [ "date", "time" ]
    }
    date { 
      match => [ "data-time", "YYYY-MM-dd HH:mm:ss" ]
      timezone => "UTC"
      remove_field => [ "data-time" ]
    }
  }
  if "Tracking" in [tags] {
    csv {
      columns => ["date-time","client-ip","client-hostname","server-ip","server-hostname","source-context","connector-id","source","event-id","internal-message-id","message-id","network-message-id","recipient-address","recipient-status","total-bytes","recipient-count","related-recipient-address","reference","message-subject","sender-address","return-path","message-info","directionality","tenant-id","original-client-ip","original-server-ip","custom-data","transport-traffic-type","log-id","schema-version"]
      remove_field => ["message", "tenant-id", "schema-version"]
      add_field => { "application" => "exchange" }
    }
    mutate {
      convert => [ "total-bytes", "integer" ]
      convert => [ "recipient-count", "integer" ]
      split => ["recipient_address", ";"]
    }
    date {
      match => [ "date-time", "ISO8601" ]
      timezone => "Europe/Moscow"
      remove_field => [ "date-time" ]
    }
  }
}
 
output {
  elasticsearch {
    hosts => ["127.0.0.1:9200", "127.0.0.2:9200"]
    manage_template => false
    index => "Exchange-%{+YYYY.MM.dd}"
  }
}

便利なリンク：

出所： habr.com

私たちはELKとExchangeと友達です。パート2

インストール

Logstash パッケージのインストールと構成

耐障害性

その仕組み

調整

調整

入力

フィルタ

数値フィールドの変換

recipient_address を個々の受信者に分割する

タイムスタンプの変更

出力

最終構成

コメントを追加します返信をキャンセル

私たちはELKとExchangeと友達です。 パート2

インストール

Logstash パッケージのインストールと構成

耐障害性

その仕組み

調整

調整

入力

フィルタ

数値フィールドの変換

recipient_address を個々の受信者に分割する

タイムスタンプの変更

出力

最終構成

コメントを追加します 返信をキャンセル

私たちはELKとExchangeと友達です。パート2

コメントを追加します返信をキャンセル