🥇Splunk Universal Forwarder დოკერში, როგორც სისტემის ჟურნალის კოლექტორი

Splunk არის ერთ-ერთი ყველაზე ცნობადი კომერციული ჟურნალის შეგროვებისა და ანალიზის პროდუქტიდან. ახლაც, როცა რუსეთში გაყიდვები აღარ ხდება, ეს არ არის იმის მიზეზი, რომ არ დაწეროთ ინსტრუქციები/როგორ უნდა გააკეთოთ ეს პროდუქტი.

დავალება: შეაგროვეთ სისტემის ჟურნალები დოკერის კვანძებიდან Splunk-ში მასპინძელი მანქანის კონფიგურაციის შეცვლის გარეშე

მინდა დავიწყო ოფიციალური მიდგომით, რომელიც ცოტა უცნაურად გამოიყურება დოკერის გამოყენებისას.
ბმული Docker Hub-თან
რა გვაქვს:

1. Pullim გამოსახულება

$ docker pull splunk/universalforwarder:latest

2. დაიწყეთ კონტეინერი საჭირო პარამეტრებით

$ docker run -d  -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=<password>' splunk/universalforwarder:latest

3. ჩვენ შევდივართ კონტეინერში

docker exec -it <container-id> /bin/bash

შემდეგი, ჩვენ გვთხოვენ გადავიდეთ დოკუმენტაციაში ცნობილ მისამართზე.

და დააკონფიგურირეთ კონტეინერი დაწყების შემდეგ:


./splunk add forward-server <host name or ip address>:<listening port>
./splunk add monitor /var/log
./splunk restart

მოიცადე. Რა?

მაგრამ სიურპრიზები ამით არ მთავრდება. თუ კონტეინერს ოფიციალური სურათიდან ინტერაქტიულ რეჟიმში გაუშვით, ნახავთ შემდეგს:

ცოტა იმედგაცრუება


$ docker run -it -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=password' splunk/universalforwarder:latest

PLAY [Run default Splunk provisioning] *******************************************************************************************************************************************************************************************************
Tuesday 09 April 2019  13:40:38 +0000 (0:00:00.096)       0:00:00.096 *********

TASK [Gathering Facts] ***********************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:39 +0000 (0:00:01.520)       0:00:01.616 *********

TASK [Get actual hostname] *******************************************************************************************************************************************************************************************************************
changed: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.599)       0:00:02.215 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.054)       0:00:02.270 *********

TASK [set_fact] ******************************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.075)       0:00:02.346 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.067)       0:00:02.413 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.060)       0:00:02.473 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.051)       0:00:02.525 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.056)       0:00:02.582 *********
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.216)       0:00:02.798 *********
included: /opt/ansible/roles/splunk_common/tasks/change_splunk_directory_owner.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.087)       0:00:02.886 *********

TASK [splunk_common : Update Splunk directory owner] *****************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.324)       0:00:03.210 *********
included: /opt/ansible/roles/splunk_common/tasks/get_facts.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.094)       0:00:03.305 *********

ну и так далее...

დიდი. სურათი არც კი შეიცავს არტეფაქტს. ანუ, ყოველ ჯერზე, როცა დაიწყებთ, დრო დასჭირდება არქივის ბინარებით გადმოტვირთვას, გახსნას და კონფიგურაციას.
რაც შეეხება დოკერ გზას და ამ ყველაფერს?

Არა გმადლობთ. ჩვენ სხვა გზას გავალთ. რა მოხდება, თუ ჩვენ შევასრულებთ ყველა ამ ოპერაციას შეკრების ეტაპზე? მაშინ წავიდეთ!

იმისთვის, რომ დიდი ხანი არ დაგვიანდეს, მაშინვე გაჩვენებთ საბოლოო სურათს:

dockerfile

# Тут у кого какие предпочтения
FROM centos:7

# Задаём переменные, чтобы каждый раз при старте не указывать их
ENV SPLUNK_HOME /splunkforwarder
ENV SPLUNK_ROLE splunk_heavy_forwarder
ENV SPLUNK_PASSWORD changeme
ENV SPLUNK_START_ARGS --accept-license

# Ставим пакеты
# wget - чтобы скачать артефакты
# expect - понадобится для первоначального запуска Splunk на этапе сборки
# jq - используется в скриптах, которые собирают статистику докера
RUN yum install -y epel-release 
    && yum install -y wget expect jq

# Качаем, распаковываем, удаляем
RUN wget -O splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.2.4&product=universalforwarder&filename=splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz&wget=true' 
    && wget -O docker-18.09.3.tgz 'https://download.docker.com/linux/static/stable/x86_64/docker-18.09.3.tgz' 
    && tar -xvf splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && tar -xvf docker-18.09.3.tgz  
    && rm -f splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && rm -f docker-18.09.3.tgz

# С shell скриптами всё понятно, а вот inputs.conf, splunkclouduf.spl и first_start.sh нуждаются в пояснении. Об этом расскажу после source тэга.
COPY [ "inputs.conf", "docker-stats/props.conf", "/splunkforwarder/etc/system/local/" ]
COPY [ "docker-stats/docker_events.sh", "docker-stats/docker_inspect.sh", "docker-stats/docker_stats.sh", "docker-stats/docker_top.sh", "/splunkforwarder/bin/scripts/" ]
COPY splunkclouduf.spl /splunkclouduf.spl
COPY first_start.sh /splunkforwarder/bin/

#  Даём права на исполнение, добавляем пользователя и выполняем первоначальную настройку
RUN chmod +x /splunkforwarder/bin/scripts/*.sh 
    && groupadd -r splunk 
    && useradd -r -m -g splunk splunk 
    && echo "%sudo ALL=NOPASSWD:ALL" >> /etc/sudoers 
    && chown -R splunk:splunk $SPLUNK_HOME 
    && /splunkforwarder/bin/first_start.sh 
    && /splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme 
    && /splunkforwarder/bin/splunk restart

# Копируем инит скрипты
COPY [ "init/entrypoint.sh", "init/checkstate.sh", "/sbin/" ]

# По желанию. Кому нужно локально иметь конфиги/логи, кому нет.
VOLUME [ "/splunkforwarder/etc", "/splunkforwarder/var" ]

HEALTHCHECK --interval=30s --timeout=30s --start-period=3m --retries=5 CMD /sbin/checkstate.sh || exit 1

ENTRYPOINT [ "/sbin/entrypoint.sh" ]
CMD [ "start-service" ]

ასე რომ, რაც შეიცავს

პირველი_დაწყება.შ

#!/usr/bin/expect -f
set timeout -1
spawn /splunkforwarder/bin/splunk start --accept-license
expect "Please enter an administrator username: "
send -- "adminr"
expect "Please enter a new password: "
send -- "changemer"
expect "Please confirm new password: "
send -- "changemer"
expect eof

პირველი დაწყებისას Splunk გთხოვთ მისცეთ შესვლა/პაროლი, მაგრამ ეს მონაცემები გამოიყენება მხოლოდ შეასრულოს ადმინისტრაციული ბრძანებები ამ კონკრეტული ინსტალაციისთვის, ანუ კონტეინერის შიგნით. ჩვენს შემთხვევაში, ჩვენ უბრალოდ გვინდა კონტეინერის გაშვება ისე, რომ ყველაფერი იმუშაოს და მორები მდინარესავით მოედინება. რა თქმა უნდა, ეს მყარი კოდია, მაგრამ სხვა გზები ვერ ვიპოვე.

შემდგომი სკრიპტის მიხედვით შესრულებულია

/splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme

splunkclouduf.spl — ეს არის Splunk Universal Forwarder-ის რწმუნებათა სიგელების ფაილი, რომლის ჩამოტვირთვა შესაძლებელია ვებ ინტერფეისიდან.

სად დავაჭიროთ გადმოსაწერად (სურათებში)

ეს არის ჩვეულებრივი არქივი, რომლის გახსნა შესაძლებელია. შიგნით არის სერთიფიკატები და პაროლი ჩვენს SplunkCloud-თან დასაკავშირებლად და გამომავალი.conf ჩვენი შეყვანის შემთხვევების სიით. ეს ფაილი აქტუალური იქნება მანამ, სანამ არ დააინსტალირებთ თქვენს Splunk-ის ინსტალაციას ან არ დაამატებთ შეყვანის კვანძს, თუ ინსტალაცია არის შიდა. ამიტომ, მისი კონტეინერის შიგნით დამატებაში ცუდი არაფერია.

და ბოლო რამ არის გადატვირთვა. დიახ, ცვლილებების გამოსაყენებლად, თქვენ უნდა გადატვირთოთ იგი.

ჩვენს შეყვანები.conf ჩვენ ვამატებთ ჟურნალებს, რომლებიც გვინდა გავგზავნოთ Splunk-ში. არ არის აუცილებელი ამ ფაილის დამატება სურათზე, თუ, მაგალითად, კონფიგურაციებს ავრცელებთ მარიონეტის საშუალებით. ერთადერთი ის არის, რომ Forwarder ხედავს კონფიგურაციას დემონის დაწყებისას, წინააღმდეგ შემთხვევაში მას დასჭირდება ./splunk გადატვირთვა.

როგორი დოკერის სტატისტიკის სკრიპტებია ისინი? Github-ზე არის ძველი გადაწყვეტა ოტკოლდმენი, სკრიპტები იქიდან იქნა აღებული და შეიცვალა Docker-ის (ce-17.*) და Splunk-ის (7.*) მიმდინარე ვერსიებთან მუშაობისთვის.

მიღებული მონაცემებით შეგიძლიათ შექმნათ შემდეგი

დაფები: (რამდენიმე სურათი)

ტირეების საწყისი კოდი მოცემულია სტატიის ბოლოს მითითებულ ბმულზე. გთხოვთ გაითვალისწინოთ, რომ არის 2 შერჩეული ველი: 1 - ინდექსის შერჩევა (ნიღბის მიხედვით მოძიება), ჰოსტის/კონტეინერის შერჩევა. თქვენ სავარაუდოდ დაგჭირდებათ ინდექსის ნიღბის განახლება, თქვენს მიერ გამოყენებული სახელებიდან გამომდინარე.

დასასრულს, მინდა თქვენი ყურადღება გავამახვილო ფუნქციაზე დაწყება () в

შესასვლელი წერტილი.შ

start() {
    trap teardown EXIT
	if [ -z $SPLUNK_INDEX ]; then
	echo "'SPLUNK_INDEX' env variable is empty or not defined. Should be 'dev' or 'prd'." >&2
	exit 1
	else
	sed -e "s/@index@/$SPLUNK_INDEX/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
	fi
	sed -e "s/@hostname@/$(cat /etc/hostname)/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
    sh -c "echo 'starting' > /tmp/splunk-container.state"
	${SPLUNK_HOME}/bin/splunk start
    watch_for_failure
}

ჩემს შემთხვევაში, თითოეული გარემოსთვის და თითოეული ინდივიდუალური ერთეულისთვის, იქნება ეს აპლიკაცია კონტეინერში თუ მასპინძელ მანქანაში, ჩვენ ვიყენებთ ცალკე ინდექსს. ამ გზით, ძიების სიჩქარე არ დაზარალდება, როდესაც არსებობს მონაცემების მნიშვნელოვანი დაგროვება. მარტივი წესი გამოიყენება ინდექსების დასასახელებლად: _. ამიტომ, იმისათვის, რომ კონტეინერი იყოს უნივერსალური, დემონის გაშვებამდე ჩვენ ვცვლით sed- გარემოს სახელის ველური ბარათი. გარემოს სახელის ცვლადი გადაეცემა გარემოს ცვლადებს. სასაცილოდ ჟღერს.

ასევე აღსანიშნავია, რომ რაიმე მიზეზით Splunk-ზე არ მოქმედებს დოკერის პარამეტრის არსებობა. მასპინძლის სახელი. ის მაინც ჯიუტად გაუგზავნის ჟურნალებს თავისი კონტეინერის ID-ით მასპინძელ ველში. როგორც გამოსავალი, შეგიძლიათ დაამონტაჟოთ / etc / hostname მასპინძელი მანქანიდან და გაშვებისას გააკეთეთ ინდექსის სახელების მსგავსი ჩანაცვლება.

მაგალითი docker-compose.yml

version: '2'
services:
  splunk-forwarder:
    image: "${IMAGE_REPO}/docker-stats-splunk-forwarder:${IMAGE_VERSION}"
    environment:
      SPLUNK_INDEX: ${ENVIRONMENT}
    volumes:
    - /etc/hostname:/etc/hostname:ro
    - /var/log:/var/log
    - /var/run/docker.sock:/var/run/docker.sock:ro

სულ

დიახ, ალბათ გამოსავალი არ არის იდეალური და, რა თქმა უნდა, არ არის უნივერსალური ყველასთვის, რადგან ბევრია "მყარი კოდი". მაგრამ მასზე დაყრდნობით, ყველას შეუძლია შექმნას საკუთარი იმიჯი და განათავსოს იგი თავის პირად ხელნაკეთ ქარხანაში, თუ, როგორც ხდება, დაგჭირდებათ Splunk Forwarder დოკერში.

ბმულები:

გამოსავალი სტატიიდან
გამოსავალი outcoldman-ისგან, რომელმაც შთააგონა ზოგიერთი ფუნქციის ხელახლა გამოყენება
Of. დოკუმენტაცია უნივერსალური Forwarder-ის დასაყენებლად

წყარო: www.habr.com

Splunk Universal Forwarder დოკერში, როგორც სისტემის ჟურნალის შემგროვებელი