ການສົ່ງບັນທຶກ Nginx json ໂດຍໃຊ້ Vector ໄປຫາ Clickhouse ແລະ Elasticsearch

Vector, ອອກແບບເພື່ອເກັບກໍາ, ຫັນປ່ຽນແລະສົ່ງຂໍ້ມູນບັນທຶກ, metrics ແລະເຫດການ.

→ GitHub

ຖືກຂຽນເປັນພາສາ Rust, ມັນມີລັກສະນະປະສິດທິພາບສູງແລະການບໍລິໂພກ RAM ຕ່ໍາເມື່ອທຽບກັບ analogues ຂອງມັນ. ນອກຈາກນັ້ນ, ຄວາມສົນໃຈຫຼາຍແມ່ນຈ່າຍໃຫ້ກັບຫນ້າທີ່ທີ່ກ່ຽວຂ້ອງກັບຄວາມຖືກຕ້ອງ, ໂດຍສະເພາະ, ຄວາມສາມາດໃນການບັນທຶກເຫດການທີ່ບໍ່ໄດ້ສົ່ງໄປຫາ buffer ໃນແຜ່ນແລະ rotate ໄຟລ໌.

ໃນທາງຖາປັດຕະຍະ, Vector ແມ່ນ router ເຫດການທີ່ໄດ້ຮັບຂໍ້ຄວາມຈາກຫນຶ່ງຫຼືຫຼາຍກວ່ານັ້ນ ແຫຼ່ງຂໍ້ມູນ, ທາງເລືອກທີ່ຈະນໍາໃຊ້ກັບຂໍ້ຄວາມເຫຼົ່ານີ້ ການຫັນປ່ຽນ, ແລະສົ່ງພວກເຂົາໄປຫາຫນຶ່ງຫຼືຫຼາຍກວ່ານັ້ນ ທໍ່ລະບາຍນໍ້າ.

Vector ແມ່ນການທົດແທນສໍາລັບ filebeat ແລະ logstash, ມັນສາມາດປະຕິບັດໃນທັງສອງບົດບາດ (ຮັບແລະສົ່ງບັນທຶກ), ລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບພວກມັນ site.

ຖ້າຢູ່ໃນ Logstash ລະບົບຕ່ອງໂສ້ຖືກສ້າງເປັນ input → filter → output ຫຼັງຈາກນັ້ນໃນ Vector ມັນແມ່ນ ແຫຼ່ງຂໍ້ມູນ → ການຫັນປ່ຽນ → ບ່ອນຫລົ້ມຈົມ

ຕົວຢ່າງສາມາດພົບໄດ້ໃນເອກະສານ.

ຄໍາແນະນໍານີ້ແມ່ນຄໍາແນະນໍາສະບັບປັບປຸງຈາກ Vyacheslav Rakhinsky. ຄໍາແນະນໍາຕົ້ນສະບັບປະກອບດ້ວຍການປຸງແຕ່ງ geoip. ເມື່ອທົດສອບ geoip ຈາກເຄືອຂ່າຍພາຍໃນ, vector ໃຫ້ຂໍ້ຜິດພາດ.

Aug 05 06:25:31.889 DEBUG transform{name=nginx_parse_rename_fields type=rename_fields}: vector::transforms::rename_fields: Field did not exist field=«geoip.country_name» rate_limit_secs=30

ຖ້າໃຜຕ້ອງການປຸງແຕ່ງ geoip, ຫຼັງຈາກນັ້ນໃຫ້ອ້າງອີງຄໍາແນະນໍາຕົ້ນສະບັບຈາກ Vyacheslav Rakhinsky.

ພວກເຮົາຈະຕັ້ງຄ່າການປະສົມປະສານຂອງ Nginx (ບັນທຶກການເຂົ້າເຖິງ) → Vector (ລູກຄ້າ | Filebeat) → Vector (Server | Logstash) →ແຍກຕ່າງຫາກໃນ Clickhouse ແລະແຍກຕ່າງຫາກໃນ Elasticsearch. ພວກເຮົາຈະຕິດຕັ້ງ 4 ເຄື່ອງແມ່ຂ່າຍ. ເຖິງແມ່ນວ່າທ່ານສາມາດ bypass ມັນກັບ 3 ເຄື່ອງແມ່ຂ່າຍ.

ໂຄງການແມ່ນບາງສິ່ງບາງຢ່າງເຊັ່ນນີ້.

ປິດໃຊ້ງານ Selinux ໃນທຸກເຊີບເວີຂອງທ່ານ

sed -i 's/^SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config
reboot

ພວກເຮົາຕິດຕັ້ງ HTTP server emulator + utilities ຢູ່ໃນເຄື່ອງແມ່ຂ່າຍທັງຫມົດ

ໃນຖານະເປັນ emulator ເຄື່ອງແມ່ຂ່າຍ HTTP ພວກເຮົາຈະນໍາໃຊ້ nodejs-stub-server ຈາກ Maxim Ignatenko

Nodejs-stub-server ບໍ່ມີ rpm. ມັນເປັນ ສ້າງ rpm ສໍາລັບມັນ. rpm ຈະຖືກສ້າງຂຶ້ນໂດຍໃຊ້ Fedora Copr

ເພີ່ມບ່ອນເກັບຂໍ້ມູນ antonpatsev/nodejs-stub-server

yum -y install yum-plugin-copr epel-release
yes | yum copr enable antonpatsev/nodejs-stub-server

ຕິດຕັ້ງ nodejs-stub-server, Apache benchmark ແລະ screen terminal multiplexer ໃນທຸກເຊີບເວີ

yum -y install stub_http_server screen mc httpd-tools screen

ຂ້ອຍແກ້ໄຂເວລາຕອບສະຫນອງ stub_http_server ໃນໄຟລ໌ /var/lib/stub_http_server/stub_http_server.js ເພື່ອໃຫ້ມີບັນທຶກເພີ່ມເຕີມ.

var max_sleep = 10;

ມາເປີດ stub_http_server.

systemctl start stub_http_server
systemctl enable stub_http_server

ການຕິດຕັ້ງ Clickhouse ໃນເຊີບເວີ 3

ClickHouse ໃຊ້ຊຸດຄໍາແນະນໍາ SSE 4.2, ດັ່ງນັ້ນ, ເວັ້ນເສຍແຕ່ໄດ້ລະບຸໄວ້ເປັນຢ່າງອື່ນ, ການສະຫນັບສະຫນູນສໍາລັບມັນໃນໂປເຊດເຊີທີ່ຖືກນໍາໃຊ້ຈະກາຍເປັນຄວາມຕ້ອງການຂອງລະບົບເພີ່ມເຕີມ. ນີ້ແມ່ນຄໍາສັ່ງເພື່ອກວດເບິ່ງວ່າໂປເຊດເຊີປະຈຸບັນສະຫນັບສະຫນູນ SSE 4.2:

grep -q sse4_2 /proc/cpuinfo && echo "SSE 4.2 supported" || echo "SSE 4.2 not supported"

ກ່ອນອື່ນ ໝົດ ທ່ານຕ້ອງເຊື່ອມຕໍ່ບ່ອນເກັບມ້ຽນຢ່າງເປັນທາງການ:

sudo yum install -y yum-utils
sudo rpm --import https://repo.clickhouse.tech/CLICKHOUSE-KEY.GPG
sudo yum-config-manager --add-repo https://repo.clickhouse.tech/rpm/stable/x86_64

ເພື່ອຕິດຕັ້ງແພັກເກັດຕ່າງໆ, ທ່ານຈໍາເປັນຕ້ອງດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້:

sudo yum install -y clickhouse-server clickhouse-client

ອະນຸຍາດໃຫ້ clickhouse-server ຟັງບັດເຄືອຂ່າຍໃນໄຟລ໌ /etc/clickhouse-server/config.xml

<listen_host>0.0.0.0</listen_host>

ການປ່ຽນແປງລະດັບການບັນທຶກຈາກການຕິດຕາມໄປສູ່ການດີບັກ

debug

ການຕັ້ງຄ່າການບີບອັດມາດຕະຖານ:

min_compress_block_size  65536
max_compress_block_size  1048576

ເພື່ອເປີດໃຊ້ການບີບອັດ Zstd, ມັນໄດ້ຖືກແນະນໍາບໍ່ໃຫ້ແຕະຕ້ອງການຕັ້ງຄ່າ, ແຕ່ແທນທີ່ຈະໃຊ້ DDL.

ຂ້ອຍບໍ່ສາມາດຊອກຫາວິທີໃຊ້ການບີບອັດ zstd ຜ່ານ DDL ໃນ Google. ສະນັ້ນຂ້າພະເຈົ້າຈຶ່ງປະໄວ້ຄືເກົ່າ.

ເພື່ອນຮ່ວມງານທີ່ໃຊ້ການບີບອັດ zstd ໃນ Clickhouse, ກະລຸນາແບ່ງປັນຄໍາແນະນໍາ.

ເພື່ອເລີ່ມຕົ້ນເຄື່ອງແມ່ຂ່າຍເປັນ daemon, ດໍາເນີນການ:

service clickhouse-server start

ຕອນນີ້ໃຫ້ເຮົາກ້າວໄປສູ່ການຕັ້ງຄ່າ Clickhouse

ໄປທີ່ Clickhouse

clickhouse-client -h 172.26.10.109 -m

172.26.10.109 — IP ຂອງເຊີບເວີທີ່ Clickhouse ຖືກຕິດຕັ້ງ.

ໃຫ້ສ້າງຖານຂໍ້ມູນ vector

CREATE DATABASE vector;

ໃຫ້ກວດເບິ່ງວ່າຖານຂໍ້ມູນມີຢູ່.

show databases;

ສ້າງຕາຕະລາງ vector.logs.

/* Это таблица где хранятся логи как есть */

CREATE TABLE vector.logs
(
    `node_name` String,
    `timestamp` DateTime,
    `server_name` String,
    `user_id` String,
    `request_full` String,
    `request_user_agent` String,
    `request_http_host` String,
    `request_uri` String,
    `request_scheme` String,
    `request_method` String,
    `request_length` UInt64,
    `request_time` Float32,
    `request_referrer` String,
    `response_status` UInt16,
    `response_body_bytes_sent` UInt64,
    `response_content_type` String,
    `remote_addr` IPv4,
    `remote_port` UInt32,
    `remote_user` String,
    `upstream_addr` IPv4,
    `upstream_port` UInt32,
    `upstream_bytes_received` UInt64,
    `upstream_bytes_sent` UInt64,
    `upstream_cache_status` String,
    `upstream_connect_time` Float32,
    `upstream_header_time` Float32,
    `upstream_response_length` UInt64,
    `upstream_response_time` Float32,
    `upstream_status` UInt16,
    `upstream_content_type` String,
    INDEX idx_http_host request_http_host TYPE set(0) GRANULARITY 1
)
ENGINE = MergeTree()
PARTITION BY toYYYYMMDD(timestamp)
ORDER BY timestamp
TTL timestamp + toIntervalMonth(1)
SETTINGS index_granularity = 8192;

ພວກເຮົາກວດເບິ່ງວ່າຕາຕະລາງໄດ້ຖືກສ້າງຂື້ນ. ເປີດຕົວ clickhouse-client ແລະເຮັດການຮ້ອງຂໍ.

ໃຫ້ໄປທີ່ຖານຂໍ້ມູນ vector.

use vector;

Ok.

0 rows in set. Elapsed: 0.001 sec.

ໃຫ້ເບິ່ງຢູ່ໃນຕາຕະລາງ.

show tables;

┌─name────────────────┐
│ logs                │
└─────────────────────┘

ການຕິດຕັ້ງ elasticsearch ໃນເຄື່ອງແມ່ຂ່າຍທີ 4 ເພື່ອສົ່ງຂໍ້ມູນດຽວກັນກັບ Elasticsearch ສໍາລັບການປຽບທຽບກັບ Clickhouse

ເພີ່ມປຸ່ມ rpm ສາທາລະນະ

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

ມາສ້າງ 2 repo:

/etc/yum.repos.d/elasticsearch.repo

[elasticsearch]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=0
autorefresh=1
type=rpm-md

/etc/yum.repos.d/kibana.repo

[kibana-7.x]
name=Kibana repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

ຕິດຕັ້ງ elasticsearch ແລະ kibana

yum install -y kibana elasticsearch

ເນື່ອງຈາກມັນຈະຢູ່ໃນ 1 ສໍາເນົາ, ທ່ານຈໍາເປັນຕ້ອງເພີ່ມສິ່ງຕໍ່ໄປນີ້ໃສ່ໄຟລ໌ /etc/elasticsearch/elasticsearch.yml:

discovery.type: single-node

ເພື່ອໃຫ້ vector ນັ້ນສາມາດສົ່ງຂໍ້ມູນໄປຫາ elasticsearch ຈາກເຄື່ອງແມ່ຂ່າຍອື່ນ, ໃຫ້ພວກເຮົາປ່ຽນ network.host.

network.host: 0.0.0.0

ເພື່ອເຊື່ອມຕໍ່ກັບ kibana, ປ່ຽນພາລາມິເຕີ server.host ໃນໄຟລ໌ /etc/kibana/kibana.yml

server.host: "0.0.0.0"

ເກົ່າແລະປະກອບມີ elasticsearch ໃນ autostart

systemctl enable elasticsearch
systemctl start elasticsearch

ແລະ kibana

systemctl enable kibana
systemctl start kibana

ການຕັ້ງຄ່າ Elasticsearch ສໍາລັບໂຫມດດຽວ 1 shard, 0 replica. ສ່ວນຫຼາຍທ່ານອາດຈະມີກຸ່ມຂອງເຄື່ອງແມ່ຂ່າຍຈໍານວນຫລາຍແລະທ່ານບໍ່ຈໍາເປັນຕ້ອງເຮັດສິ່ງນີ້.

ສໍາລັບດັດສະນີໃນອະນາຄົດ, ປັບປຸງແມ່ແບບເລີ່ມຕົ້ນ:

curl -X PUT http://localhost:9200/_template/default -H 'Content-Type: application/json' -d '{"index_patterns": ["*"],"order": -1,"settings": {"number_of_shards": "1","number_of_replicas": "0"}}' 

ການຕັ້ງຄ່າ Vector ເປັນການທົດແທນ Logstash ໃນເຊີບເວີ 2

yum install -y https://packages.timber.io/vector/0.9.X/vector-x86_64.rpm mc httpd-tools screen

ໃຫ້ຕັ້ງຄ່າ Vector ແທນ Logstash. ການແກ້ໄຂໄຟລ໌ /etc/vector/vector.toml

# /etc/vector/vector.toml

data_dir = "/var/lib/vector"

[sources.nginx_input_vector]
  # General
  type                          = "vector"
  address                       = "0.0.0.0:9876"
  shutdown_timeout_secs         = 30

[transforms.nginx_parse_json]
  inputs                        = [ "nginx_input_vector" ]
  type                          = "json_parser"

[transforms.nginx_parse_add_defaults]
  inputs                        = [ "nginx_parse_json" ]
  type                          = "lua"
  version                       = "2"

  hooks.process = """
  function (event, emit)

    function split_first(s, delimiter)
      result = {};
      for match in (s..delimiter):gmatch("(.-)"..delimiter) do
          table.insert(result, match);
      end
      return result[1];
    end

    function split_last(s, delimiter)
      result = {};
      for match in (s..delimiter):gmatch("(.-)"..delimiter) do
          table.insert(result, match);
      end
      return result[#result];
    end

    event.log.upstream_addr             = split_first(split_last(event.log.upstream_addr, ', '), ':')
    event.log.upstream_bytes_received   = split_last(event.log.upstream_bytes_received, ', ')
    event.log.upstream_bytes_sent       = split_last(event.log.upstream_bytes_sent, ', ')
    event.log.upstream_connect_time     = split_last(event.log.upstream_connect_time, ', ')
    event.log.upstream_header_time      = split_last(event.log.upstream_header_time, ', ')
    event.log.upstream_response_length  = split_last(event.log.upstream_response_length, ', ')
    event.log.upstream_response_time    = split_last(event.log.upstream_response_time, ', ')
    event.log.upstream_status           = split_last(event.log.upstream_status, ', ')

    if event.log.upstream_addr == "" then
        event.log.upstream_addr = "127.0.0.1"
    end

    if (event.log.upstream_bytes_received == "-" or event.log.upstream_bytes_received == "") then
        event.log.upstream_bytes_received = "0"
    end

    if (event.log.upstream_bytes_sent == "-" or event.log.upstream_bytes_sent == "") then
        event.log.upstream_bytes_sent = "0"
    end

    if event.log.upstream_cache_status == "" then
        event.log.upstream_cache_status = "DISABLED"
    end

    if (event.log.upstream_connect_time == "-" or event.log.upstream_connect_time == "") then
        event.log.upstream_connect_time = "0"
    end

    if (event.log.upstream_header_time == "-" or event.log.upstream_header_time == "") then
        event.log.upstream_header_time = "0"
    end

    if (event.log.upstream_response_length == "-" or event.log.upstream_response_length == "") then
        event.log.upstream_response_length = "0"
    end

    if (event.log.upstream_response_time == "-" or event.log.upstream_response_time == "") then
        event.log.upstream_response_time = "0"
    end

    if (event.log.upstream_status == "-" or event.log.upstream_status == "") then
        event.log.upstream_status = "0"
    end

    emit(event)

  end
  """

[transforms.nginx_parse_remove_fields]
    inputs                              = [ "nginx_parse_add_defaults" ]
    type                                = "remove_fields"
    fields                              = ["data", "file", "host", "source_type"]

[transforms.nginx_parse_coercer]

    type                                = "coercer"
    inputs                              = ["nginx_parse_remove_fields"]

    types.request_length = "int"
    types.request_time = "float"

    types.response_status = "int"
    types.response_body_bytes_sent = "int"

    types.remote_port = "int"

    types.upstream_bytes_received = "int"
    types.upstream_bytes_send = "int"
    types.upstream_connect_time = "float"
    types.upstream_header_time = "float"
    types.upstream_response_length = "int"
    types.upstream_response_time = "float"
    types.upstream_status = "int"

    types.timestamp = "timestamp"

[sinks.nginx_output_clickhouse]
    inputs   = ["nginx_parse_coercer"]
    type     = "clickhouse"

    database = "vector"
    healthcheck = true
    host = "http://172.26.10.109:8123" #  Адрес Clickhouse
    table = "logs"

    encoding.timestamp_format = "unix"

    buffer.type = "disk"
    buffer.max_size = 104900000
    buffer.when_full = "block"

    request.in_flight_limit = 20

[sinks.elasticsearch]
    type = "elasticsearch"
    inputs   = ["nginx_parse_coercer"]
    compression = "none"
    healthcheck = true
    # 172.26.10.116 - сервер где установен elasticsearch
    host = "http://172.26.10.116:9200" 
    index = "vector-%Y-%m-%d"

ທ່ານສາມາດປັບພາກສ່ວນ transforms.nginx_parse_add_defaults ໄດ້.

ນັບ​ຕັ້ງ​ແຕ່ Vyacheslav Rakhinsky ໃຊ້ config ເຫຼົ່ານີ້ສໍາລັບ CDN ຂະຫນາດນ້ອຍແລະສາມາດມີຫຼາຍຄ່າໃນ upstream_*

ຕົວຢ່າງ:

"upstream_addr": "128.66.0.10:443, 128.66.0.11:443, 128.66.0.12:443"
"upstream_bytes_received": "-, -, 123"
"upstream_status": "502, 502, 200"

ຖ້ານີ້ບໍ່ແມ່ນສະຖານະການຂອງເຈົ້າ, ພາກສ່ວນນີ້ສາມາດງ່າຍດາຍໄດ້

ໃຫ້ສ້າງການຕັ້ງຄ່າການບໍລິການສໍາລັບ systemd /etc/systemd/system/vector.service

# /etc/systemd/system/vector.service

[Unit]
Description=Vector
After=network-online.target
Requires=network-online.target

[Service]
User=vector
Group=vector
ExecStart=/usr/bin/vector
ExecReload=/bin/kill -HUP $MAINPID
Restart=no
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=vector

[Install]
WantedBy=multi-user.target

ຫຼັງຈາກການສ້າງຕາຕະລາງ, ທ່ານສາມາດດໍາເນີນການ Vector

systemctl enable vector
systemctl start vector

ບັນທຶກ vector ສາມາດເບິ່ງໄດ້ເຊັ່ນນີ້:

journalctl -f -u vector

ຄວນມີລາຍການແບບນີ້ຢູ່ໃນບັນທຶກ

INFO vector::topology::builder: Healthcheck: Passed.
INFO vector::topology::builder: Healthcheck: Passed.

ຢູ່ໃນລູກຄ້າ (ເວັບເຊີບເວີ) - ເຄື່ອງແມ່ຂ່າຍທີ 1

ໃນເຄື່ອງແມ່ຂ່າຍທີ່ມີ nginx, ທ່ານຈໍາເປັນຕ້ອງປິດການໃຊ້ງານ ipv6, ນັບຕັ້ງແຕ່ຕາຕະລາງບັນທຶກໃນ clickhouse ໃຊ້ພາກສະຫນາມ. upstream_addr IPv4, ເພາະວ່າຂ້ອຍບໍ່ໃຊ້ ipv6 ພາຍໃນເຄືອຂ່າຍ. ຖ້າ ipv6 ບໍ່ຖືກປິດ, ມັນຈະມີຂໍ້ຜິດພາດ:

DB::Exception: Invalid IPv4 value.: (while read the value of key upstream_addr)

ບາງທີຜູ້ອ່ານ, ເພີ່ມການສະຫນັບສະຫນູນ ipv6.

ສ້າງໄຟລ໌ /etc/sysctl.d/98-disable-ipv6.conf

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

ການ​ນໍາ​ໃຊ້​ການ​ຕັ້ງ​ຄ່າ​

sysctl --system

ໃຫ້ເຮົາຕິດຕັ້ງ nginx.

ເພີ່ມໄຟລ໌ repository nginx /etc/yum.repos.d/nginx.repo

[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

ຕິດຕັ້ງແພັກເກັດ nginx

yum install -y nginx

ທໍາອິດ, ພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ກໍານົດຮູບແບບບັນທຶກໃນ Nginx ໃນໄຟລ໌ /etc/nginx/nginx.conf.

user  nginx;
# you must set worker processes based on your CPU cores, nginx does not benefit from setting more than that
worker_processes auto; #some last versions calculate it automatically

# number of file descriptors used for nginx
# the limit for the maximum FDs on the server is usually set by the OS.
# if you don't set FD's then OS settings will be used which is by default 2000
worker_rlimit_nofile 100000;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

# provides the configuration file context in which the directives that affect connection processing are specified.
events {
    # determines how much clients will be served per worker
    # max clients = worker_connections * worker_processes
    # max clients is also limited by the number of socket connections available on the system (~64k)
    worker_connections 4000;

    # optimized to serve many clients with each thread, essential for linux -- for testing environment
    use epoll;

    # accept as many connections as possible, may flood worker connections if set too low -- for testing environment
    multi_accept on;
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

log_format vector escape=json
    '{'
        '"node_name":"nginx-vector",'
        '"timestamp":"$time_iso8601",'
        '"server_name":"$server_name",'
        '"request_full": "$request",'
        '"request_user_agent":"$http_user_agent",'
        '"request_http_host":"$http_host",'
        '"request_uri":"$request_uri",'
        '"request_scheme": "$scheme",'
        '"request_method":"$request_method",'
        '"request_length":"$request_length",'
        '"request_time": "$request_time",'
        '"request_referrer":"$http_referer",'
        '"response_status": "$status",'
        '"response_body_bytes_sent":"$body_bytes_sent",'
        '"response_content_type":"$sent_http_content_type",'
        '"remote_addr": "$remote_addr",'
        '"remote_port": "$remote_port",'
        '"remote_user": "$remote_user",'
        '"upstream_addr": "$upstream_addr",'
        '"upstream_bytes_received": "$upstream_bytes_received",'
        '"upstream_bytes_sent": "$upstream_bytes_sent",'
        '"upstream_cache_status":"$upstream_cache_status",'
        '"upstream_connect_time":"$upstream_connect_time",'
        '"upstream_header_time":"$upstream_header_time",'
        '"upstream_response_length":"$upstream_response_length",'
        '"upstream_response_time":"$upstream_response_time",'
        '"upstream_status": "$upstream_status",'
        '"upstream_content_type":"$upstream_http_content_type"'
    '}';

    access_log  /var/log/nginx/access.log  main;
    access_log  /var/log/nginx/access.json.log vector;      # Новый лог в формате json

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

ໃນຄໍາສັ່ງທີ່ຈະບໍ່ທໍາລາຍການຕັ້ງຄ່າປະຈຸບັນຂອງທ່ານ, Nginx ອະນຸຍາດໃຫ້ທ່ານມີຄໍາສັ່ງ access_log ຫຼາຍ

access_log  /var/log/nginx/access.log  main;            # Стандартный лог
access_log  /var/log/nginx/access.json.log vector;      # Новый лог в формате json

ຢ່າລືມເພີ່ມກົດລະບຽບເພື່ອ logrotate ສໍາລັບບັນທຶກໃຫມ່ (ຖ້າໄຟລ໌ບັນທຶກບໍ່ໄດ້ລົງທ້າຍດ້ວຍ .log).

ເອົາ default.conf ອອກຈາກ /etc/nginx/conf.d/

rm -f /etc/nginx/conf.d/default.conf

ເພີ່ມເຈົ້າພາບ virtual /etc/nginx/conf.d/vhost1.conf

server {
    listen 80;
    server_name vhost1;
    location / {
        proxy_pass http://172.26.10.106:8080;
    }
}

ເພີ່ມເຈົ້າພາບ virtual /etc/nginx/conf.d/vhost2.conf

server {
    listen 80;
    server_name vhost2;
    location / {
        proxy_pass http://172.26.10.108:8080;
    }
}

ເພີ່ມເຈົ້າພາບ virtual /etc/nginx/conf.d/vhost3.conf

server {
    listen 80;
    server_name vhost3;
    location / {
        proxy_pass http://172.26.10.109:8080;
    }
}

ເພີ່ມເຈົ້າພາບ virtual /etc/nginx/conf.d/vhost4.conf

server {
    listen 80;
    server_name vhost4;
    location / {
        proxy_pass http://172.26.10.116:8080;
    }
}

ເພີ່ມ virtual hosts (172.26.10.106 ip ຂອງເຊີບເວີທີ່ nginx ຖືກຕິດຕັ້ງ) ໃຫ້ກັບເຄື່ອງແມ່ຂ່າຍທັງຫມົດໄປຫາໄຟລ໌ /etc/hosts:

172.26.10.106 vhost1
172.26.10.106 vhost2
172.26.10.106 vhost3
172.26.10.106 vhost4

ແລະຖ້າຫາກວ່າທຸກສິ່ງທຸກຢ່າງແມ່ນກຽມພ້ອມແລ້ວ

nginx -t 
systemctl restart nginx

ຕອນນີ້ໃຫ້ເຮົາຕິດຕັ້ງມັນເອງ Vector

yum install -y https://packages.timber.io/vector/0.9.X/vector-x86_64.rpm

ໃຫ້ສ້າງໄຟລ໌ການຕັ້ງຄ່າສໍາລັບ systemd /etc/systemd/system/vector.service

[Unit]
Description=Vector
After=network-online.target
Requires=network-online.target

[Service]
User=vector
Group=vector
ExecStart=/usr/bin/vector
ExecReload=/bin/kill -HUP $MAINPID
Restart=no
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=vector

[Install]
WantedBy=multi-user.target

ແລະຕັ້ງຄ່າການທົດແທນ Filebeat ໃນ /etc/vector/vector.toml config. ທີ່ຢູ່ IP 172.26.10.108 ແມ່ນທີ່ຢູ່ IP ຂອງເຊີບເວີບັນທຶກ (Vector-Server)

data_dir = "/var/lib/vector"

[sources.nginx_file]
  type                          = "file"
  include                       = [ "/var/log/nginx/access.json.log" ]
  start_at_beginning            = false
  fingerprinting.strategy       = "device_and_inode"

[sinks.nginx_output_vector]
  type                          = "vector"
  inputs                        = [ "nginx_file" ]

  address                       = "172.26.10.108:9876"

ຢ່າລືມເພີ່ມຜູ້ໃຊ້ vector ກັບກຸ່ມທີ່ຕ້ອງການເພື່ອໃຫ້ລາວສາມາດອ່ານໄຟລ໌ບັນທຶກ. ຕົວຢ່າງ, nginx ໃນ centos ສ້າງບັນທຶກທີ່ມີສິດທິກຸ່ມ adm.

usermod -a -G adm vector

ໃຫ້ເລີ່ມຕົ້ນການບໍລິການ vector

systemctl enable vector
systemctl start vector

ບັນທຶກ vector ສາມາດເບິ່ງໄດ້ເຊັ່ນນີ້:

journalctl -f -u vector

ຄວນຈະມີລາຍການແບບນີ້ຢູ່ໃນບັນທຶກ

INFO vector::topology::builder: Healthcheck: Passed.

ການທົດສອບຄວາມກົດດັນ

ການທົດສອບແມ່ນດໍາເນີນໂດຍໃຊ້ Apache benchmark.

ຊຸດ httpd-tools ຖືກຕິດຕັ້ງຢູ່ໃນເຄື່ອງແມ່ຂ່າຍທັງຫມົດ

ພວກເຮົາເລີ່ມຕົ້ນການທົດສອບໂດຍໃຊ້ Apache benchmark ຈາກ 4 ເຄື່ອງແມ່ຂ່າຍທີ່ແຕກຕ່າງກັນໃນຫນ້າຈໍ. ທໍາອິດ, ພວກເຮົາເປີດຕົວ multixer terminal ຫນ້າຈໍ, ແລະຫຼັງຈາກນັ້ນພວກເຮົາເລີ່ມຕົ້ນການທົດສອບໂດຍໃຊ້ Apache benchmark. ວິທີການເຮັດວຽກກັບຫນ້າຈໍທີ່ທ່ານສາມາດຊອກຫາໄດ້ ບົດຄວາມ.

ຈາກເຊີບເວີທີ 1

while true; do ab -H "User-Agent: 1server" -c 100 -n 10 -t 10 http://vhost1/; sleep 1; done

ຈາກເຊີບເວີທີ 2

while true; do ab -H "User-Agent: 2server" -c 100 -n 10 -t 10 http://vhost2/; sleep 1; done

ຈາກເຊີບເວີທີ 3

while true; do ab -H "User-Agent: 3server" -c 100 -n 10 -t 10 http://vhost3/; sleep 1; done

ຈາກເຊີບເວີທີ 4

while true; do ab -H "User-Agent: 4server" -c 100 -n 10 -t 10 http://vhost4/; sleep 1; done

ໃຫ້ກວດເບິ່ງຂໍ້ມູນໃນ Clickhouse

ໄປທີ່ Clickhouse

clickhouse-client -h 172.26.10.109 -m

ການເຮັດແບບສອບຖາມ SQL

SELECT * FROM vector.logs;

┌─node_name────┬───────────timestamp─┬─server_name─┬─user_id─┬─request_full───┬─request_user_agent─┬─request_http_host─┬─request_uri─┬─request_scheme─┬─request_method─┬─request_length─┬─request_time─┬─request_referrer─┬─response_status─┬─response_body_bytes_sent─┬─response_content_type─┬───remote_addr─┬─remote_port─┬─remote_user─┬─upstream_addr─┬─upstream_port─┬─upstream_bytes_received─┬─upstream_bytes_sent─┬─upstream_cache_status─┬─upstream_connect_time─┬─upstream_header_time─┬─upstream_response_length─┬─upstream_response_time─┬─upstream_status─┬─upstream_content_type─┐
│ nginx-vector │ 2020-08-07 04:32:42 │ vhost1      │         │ GET / HTTP/1.0 │ 1server            │ vhost1            │ /           │ http           │ GET            │             66 │        0.028 │                  │             404 │                       27 │                       │ 172.26.10.106 │       45886 │             │ 172.26.10.106 │             0 │                     109 │                  97 │ DISABLED              │                     0 │                0.025 │                       27 │                  0.029 │             404 │                       │
└──────────────┴─────────────────────┴─────────────┴─────────┴────────────────┴────────────────────┴───────────────────┴─────────────┴────────────────┴────────────────┴────────────────┴──────────────┴──────────────────┴─────────────────┴──────────────────────────┴───────────────────────┴───────────────┴─────────────┴─────────────┴───────────────┴───────────────┴─────────────────────────┴─────────────────────┴───────────────────────┴───────────────────────┴──────────────────────┴──────────────────────────┴────────────────────────┴─────────────────┴───────────────────────

ຊອກຫາຂະຫນາດຂອງຕາຕະລາງໃນ Clickhouse

select concat(database, '.', table)                         as table,
       formatReadableSize(sum(bytes))                       as size,
       sum(rows)                                            as rows,
       max(modification_time)                               as latest_modification,
       sum(bytes)                                           as bytes_size,
       any(engine)                                          as engine,
       formatReadableSize(sum(primary_key_bytes_in_memory)) as primary_keys_size
from system.parts
where active
group by database, table
order by bytes_size desc;

ໃຫ້ຊອກຫາວ່າມີບັນທຶກຫຼາຍປານໃດໃນ Clickhouse.

ຂະຫນາດຕາຕະລາງບັນທຶກແມ່ນ 857.19 MB.

ຂະຫນາດຂອງຂໍ້ມູນດຽວກັນໃນດັດຊະນີໃນ Elasticsearch ແມ່ນ 4,5GB.

ຖ້າທ່ານບໍ່ລະບຸຂໍ້ມູນໃນ vector ໃນພາລາມິເຕີ, Clickhouse ໃຊ້ເວລາ 4500/857.19 = 5.24 ເທົ່າໃນ Elasticsearch.

ໃນ vector, ພາກສະຫນາມ compression ຖືກນໍາໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນ.

Telegram ສົນທະນາໂດຍ clickhouse
Telegram ສົນທະນາໂດຍ Elasticsearch
Telegram ສົນທະນາໂດຍ "ການເກັບກໍາແລະການວິເຄາະລະບົບ ຂໍ້ຄວາມ"

ແຫຼ່ງຂໍ້ມູນ: www.habr.com