Splunk Universal Forwarder ໃນ docker ເປັນຜູ້ເກັບບັນທຶກລະບົບ

Splunk ແມ່ນຫນຶ່ງໃນບັນດາຜະລິດຕະພັນການເກັບກຳຂໍ້ມູນ ແລະການວິເຄາະທາງການຄ້າທີ່ຮັບຮູ້ໄດ້ຫຼາຍທີ່ສຸດ. ເຖິງແມ່ນວ່າໃນປັດຈຸບັນ, ໃນເວລາທີ່ການຂາຍບໍ່ໄດ້ຜະລິດຢູ່ໃນລັດເຊຍ, ນີ້ບໍ່ແມ່ນເຫດຜົນທີ່ຈະບໍ່ຂຽນຄໍາແນະນໍາ / ວິທີການສໍາລັບຜະລິດຕະພັນນີ້.

ຈຸດປະສົງ: ເກັບກໍາຂໍ້ມູນບັນທຶກລະບົບຈາກ docker nodes ໃນ Splunk ໂດຍບໍ່ມີການປ່ຽນການຕັ້ງຄ່າເຄື່ອງໂຮດ

ຂ້າພະເຈົ້າຢາກເລີ່ມຕົ້ນດ້ວຍວິທີການທີ່ເປັນທາງການ, ເຊິ່ງເບິ່ງຄືວ່າແປກປະຫລາດໃນເວລາທີ່ໃຊ້ Docker.
ເຊື່ອມຕໍ່ກັບ Docker Hub
ພວກເຮົາມີຫຍັງແດ່:

1. ຮູບ Pullim

$ docker pull splunk/universalforwarder:latest

2. ເລີ່ມຕົ້ນຖັງທີ່ມີພາລາມິເຕີທີ່ຈໍາເປັນ

$ docker run -d  -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=<password>' splunk/universalforwarder:latest

3. ພວກເຮົາເຂົ້າໄປໃນຖັງ

docker exec -it <container-id> /bin/bash

ຕໍ່ໄປ, ພວກເຮົາຖືກຮ້ອງຂໍໃຫ້ໄປຫາທີ່ຢູ່ທີ່ຮູ້ຈັກໃນເອກະສານ.

ແລະ configure container ຫຼັງຈາກມັນເລີ່ມຕົ້ນ:

./splunk add forward-server <host name or ip address>:<listening port>
./splunk add monitor /var/log
./splunk restart

ລໍຖ້າ. ແມ່ນ​ຫຍັງ?

ແຕ່ຄວາມແປກໃຈບໍ່ສິ້ນສຸດຢູ່ທີ່ນັ້ນ. ຖ້າ​ຫາກ​ທ່ານ​ດໍາ​ເນີນ​ການ container ຈາກ​ຮູບ​ພາບ​ທາງ​ການ​ໃນ​ຮູບ​ແບບ​ການ​ໂຕ້​ຕອບ​, ທ່ານ​ຈະ​ເຫັນ​ດັ່ງ​ຕໍ່​ໄປ​ນີ້​:

ຄວາມຜິດຫວັງເລັກນ້ອຍ

$ docker run -it -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=password' splunk/universalforwarder:latest

PLAY [Run default Splunk provisioning] *******************************************************************************************************************************************************************************************************
Tuesday 09 April 2019  13:40:38 +0000 (0:00:00.096)       0:00:00.096 *********

TASK [Gathering Facts] ***********************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:39 +0000 (0:00:01.520)       0:00:01.616 *********

TASK [Get actual hostname] *******************************************************************************************************************************************************************************************************************
changed: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.599)       0:00:02.215 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.054)       0:00:02.270 *********

TASK [set_fact] ******************************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.075)       0:00:02.346 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.067)       0:00:02.413 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.060)       0:00:02.473 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.051)       0:00:02.525 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.056)       0:00:02.582 *********
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.216)       0:00:02.798 *********
included: /opt/ansible/roles/splunk_common/tasks/change_splunk_directory_owner.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.087)       0:00:02.886 *********

TASK [splunk_common : Update Splunk directory owner] *****************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.324)       0:00:03.210 *********
included: /opt/ansible/roles/splunk_common/tasks/get_facts.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.094)       0:00:03.305 *********

ну и так далее...

ຍິ່ງໃຫຍ່. ຮູບ​ພາບ​ບໍ່​ມີ​ແມ່ນ​ແຕ່​ມີ​ຂອງ​ປອມ​. ນັ້ນແມ່ນ, ທຸກໆຄັ້ງທີ່ທ່ານເລີ່ມຕົ້ນມັນຈະໃຊ້ເວລາເພື່ອດາວໂຫລດແຟ້ມຈັດເກັບດ້ວຍ binaries, unpack ແລະ configure.
ຈະເປັນແນວໃດກ່ຽວກັບ docker-way ແລະທັງຫມົດນັ້ນ?

ບໍ່​ຂອບ​ໃຈ. ພວກເຮົາຈະໃຊ້ເສັ້ນທາງອື່ນ. ຈະເປັນແນວໃດຖ້າພວກເຮົາດໍາເນີນການທັງຫມົດເຫຼົ່ານີ້ຢູ່ໃນຂັ້ນຕອນຂອງການປະກອບ? ແລ້ວໄປເລີຍ!

ເພື່ອ​ບໍ່​ໃຫ້​ຊັກ​ຊ້າ​ເກີນ​ໄປ, ຂ້າ​ພະ​ເຈົ້າ​ຈະ​ສະ​ແດງ​ໃຫ້​ທ່ານ​ຮູບ​ພາບ​ສຸດ​ທ້າຍ​ໃນ​ທັນ​ທີ:

dockerfile

# Тут у кого какие предпочтения
FROM centos:7

# Задаём переменные, чтобы каждый раз при старте не указывать их
ENV SPLUNK_HOME /splunkforwarder
ENV SPLUNK_ROLE splunk_heavy_forwarder
ENV SPLUNK_PASSWORD changeme
ENV SPLUNK_START_ARGS --accept-license

# Ставим пакеты
# wget - чтобы скачать артефакты
# expect - понадобится для первоначального запуска Splunk на этапе сборки
# jq - используется в скриптах, которые собирают статистику докера
RUN yum install -y epel-release 
    && yum install -y wget expect jq

# Качаем, распаковываем, удаляем
RUN wget -O splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.2.4&product=universalforwarder&filename=splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz&wget=true' 
    && wget -O docker-18.09.3.tgz 'https://download.docker.com/linux/static/stable/x86_64/docker-18.09.3.tgz' 
    && tar -xvf splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && tar -xvf docker-18.09.3.tgz  
    && rm -f splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && rm -f docker-18.09.3.tgz

# С shell скриптами всё понятно, а вот inputs.conf, splunkclouduf.spl и first_start.sh нуждаются в пояснении. Об этом расскажу после source тэга.
COPY [ "inputs.conf", "docker-stats/props.conf", "/splunkforwarder/etc/system/local/" ]
COPY [ "docker-stats/docker_events.sh", "docker-stats/docker_inspect.sh", "docker-stats/docker_stats.sh", "docker-stats/docker_top.sh", "/splunkforwarder/bin/scripts/" ]
COPY splunkclouduf.spl /splunkclouduf.spl
COPY first_start.sh /splunkforwarder/bin/

#  Даём права на исполнение, добавляем пользователя и выполняем первоначальную настройку
RUN chmod +x /splunkforwarder/bin/scripts/*.sh 
    && groupadd -r splunk 
    && useradd -r -m -g splunk splunk 
    && echo "%sudo ALL=NOPASSWD:ALL" >> /etc/sudoers 
    && chown -R splunk:splunk $SPLUNK_HOME 
    && /splunkforwarder/bin/first_start.sh 
    && /splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme 
    && /splunkforwarder/bin/splunk restart

# Копируем инит скрипты
COPY [ "init/entrypoint.sh", "init/checkstate.sh", "/sbin/" ]

# По желанию. Кому нужно локально иметь конфиги/логи, кому нет.
VOLUME [ "/splunkforwarder/etc", "/splunkforwarder/var" ]

HEALTHCHECK --interval=30s --timeout=30s --start-period=3m --retries=5 CMD /sbin/checkstate.sh || exit 1

ENTRYPOINT [ "/sbin/entrypoint.sh" ]
CMD [ "start-service" ]

ດັ່ງນັ້ນສິ່ງທີ່ບັນຈຸຢູ່ໃນ

first_start.sh

#!/usr/bin/expect -f
set timeout -1
spawn /splunkforwarder/bin/splunk start --accept-license
expect "Please enter an administrator username: "
send -- "adminr"
expect "Please enter a new password: "
send -- "changemer"
expect "Please confirm new password: "
send -- "changemer"
expect eof

ໃນຕອນເລີ່ມຕົ້ນທໍາອິດ, Splunk ຂໍໃຫ້ທ່ານໃຫ້ມັນເຂົ້າສູ່ລະບົບ / ລະຫັດຜ່ານ, ແຕ່ຂໍ້ມູນນີ້ຖືກນໍາໃຊ້ ພຽງແຕ່ ເພື່ອປະຕິບັດຄໍາສັ່ງບໍລິຫານສໍາລັບການຕິດຕັ້ງສະເພາະນັ້ນ, ນັ້ນແມ່ນ, ພາຍໃນບັນຈຸ. ໃນ​ກໍ​ລະ​ນີ​ຂອງ​ພວກ​ເຮົາ, ພວກ​ເຮົາ​ພຽງ​ແຕ່​ຕ້ອງ​ການ​ທີ່​ຈະ​ເປີດ​ຕູ້​ເກັບ​ຮັກ​ສາ​ດັ່ງ​ນັ້ນ​ທຸກ​ສິ່ງ​ທຸກ​ຢ່າງ​ເຮັດ​ວຽກ​ແລະ​ໄມ້​ທ່ອນ​ໄຫລ​ໄປ​ຄື​ນ​້​ໍ​າ. ແນ່ນອນ, ນີ້ແມ່ນ hardcode, ແຕ່ຂ້ອຍບໍ່ພົບວິທີອື່ນ.

ນອກຈາກນັ້ນ, ອີງຕາມການ script ໄດ້ຖືກປະຕິບັດ

/splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme

splunkclouduf.spl — ນີ້ແມ່ນໄຟລ໌ຂໍ້ມູນປະຈໍາຕົວສໍາລັບ Splunk Universal Forwarder, ເຊິ່ງສາມາດດາວໂຫຼດໄດ້ຈາກອິນເຕີເຟດເວັບ.

ຄລິກບ່ອນໃດເພື່ອດາວໂຫລດ (ຢູ່ໃນຮູບ)


ນີ້ແມ່ນບ່ອນເກັບມ້ຽນປົກກະຕິທີ່ສາມາດຖອດອອກໄດ້. ພາຍໃນແມ່ນໃບຢັ້ງຢືນແລະລະຫັດຜ່ານສໍາລັບການເຊື່ອມຕໍ່ກັບ SplunkCloud ຂອງພວກເຮົາແລະ outputs.conf ກັບບັນຊີລາຍຊື່ຂອງ input instance ຂອງພວກເຮົາ. ໄຟລ໌ນີ້ຈະມີຄວາມກ່ຽວຂ້ອງຈົນກ່ວາທ່ານຕິດຕັ້ງການຕິດຕັ້ງ Splunk ຂອງທ່ານຄືນໃຫມ່ຫຼືເພີ່ມໂຫນດປ້ອນຂໍ້ມູນຖ້າການຕິດຕັ້ງຢູ່ໃນສະຖານທີ່. ດັ່ງນັ້ນ, ບໍ່ມີຫຍັງຜິດພາດກັບການເພີ່ມມັນພາຍໃນຖັງ.

ແລະສິ່ງສຸດທ້າຍແມ່ນ restart. ແມ່ນແລ້ວ, ເພື່ອນຳໃຊ້ການປ່ຽນແປງ, ທ່ານຈຳເປັນຕ້ອງຣີສະຕາດມັນ.

ໃນຂອງພວກເຮົາ inputs.conf ພວກເຮົາເພີ່ມບັນທຶກທີ່ພວກເຮົາຕ້ອງການສົ່ງໄປຫາ Splunk. ມັນບໍ່ຈໍາເປັນທີ່ຈະເພີ່ມໄຟລ໌ນີ້ໃສ່ຮູບພາບຖ້າ, ຕົວຢ່າງ, ທ່ານແຈກຢາຍ configs ຜ່ານ puppet. ສິ່ງດຽວແມ່ນວ່າ Forwarder ເຫັນ configs ເມື່ອ daemon ເລີ່ມຕົ້ນ, ຖ້າບໍ່ດັ່ງນັ້ນມັນຈະຕ້ອງການ ./splunk restart.

ປະເພດໃດແດ່ຂອງສະຄິບສະຖິຕິ docker ເຂົາເຈົ້າ? ມີການແກ້ໄຂເກົ່າກ່ຽວກັບ Github ຈາກ outcoldman, ສະຄຣິບໄດ້ຖືກເອົາມາຈາກບ່ອນນັ້ນແລະຖືກດັດແປງເພື່ອເຮັດວຽກກັບ Docker ຮຸ່ນປະຈຸບັນ (ce-17.*) ແລະ Splunk (7.*).

ດ້ວຍຂໍ້ມູນທີ່ໄດ້ຮັບ, ທ່ານສາມາດສ້າງຕໍ່ໄປນີ້

dashboards: (ສອງ​ສາມ​ຮູບ​ພາບ​)


ລະຫັດແຫຼ່ງສໍາລັບ dashes ແມ່ນຢູ່ໃນການເຊື່ອມຕໍ່ທີ່ສະຫນອງໃຫ້ໃນຕອນທ້າຍຂອງບົດຄວາມ. ກະ​ລຸ​ນາ​ສັງ​ເກດ​ວ່າ​ມີ 2 ຊ່ອງ​ທາງ​ເລືອກ​: 1 - ການ​ຄັດ​ເລືອກ​ດັດ​ຊະ​ນີ (ຄົ້ນ​ຫາ​ໂດຍ​ຫນ້າ​ກາກ​)​, ການ​ຄັດ​ເລືອກ​ເຈົ້າ​ພາບ​/container​. ທ່ານອາດຈະຈໍາເປັນຕ້ອງໄດ້ປັບປຸງຫນ້າກາກດັດສະນີ, ຂຶ້ນກັບຊື່ທີ່ທ່ານໃຊ້.

ສະຫລຸບລວມແລ້ວ, ຂ້າພະເຈົ້າຢາກຈະດຶງດູດຄວາມສົນໃຈຂອງທ່ານຕໍ່ກັບຫນ້າທີ່ ເລີ່ມ() в

entrypoint.sh

start() {
    trap teardown EXIT
	if [ -z $SPLUNK_INDEX ]; then
	echo "'SPLUNK_INDEX' env variable is empty or not defined. Should be 'dev' or 'prd'." >&2
	exit 1
	else
	sed -e "s/@index@/$SPLUNK_INDEX/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
	fi
	sed -e "s/@hostname@/$(cat /etc/hostname)/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
    sh -c "echo 'starting' > /tmp/splunk-container.state"
	${SPLUNK_HOME}/bin/splunk start
    watch_for_failure
}

ໃນກໍລະນີຂອງຂ້ອຍ, ສໍາລັບແຕ່ລະສະພາບແວດລ້ອມແລະແຕ່ລະຫນ່ວຍງານແຕ່ລະຄົນ, ບໍ່ວ່າຈະເປັນຄໍາຮ້ອງສະຫມັກໃນຖັງຫຼືເຄື່ອງໂຮດ, ພວກເຮົາໃຊ້ດັດສະນີແຍກຕ່າງຫາກ. ວິທີນີ້, ຄວາມໄວໃນການຄົ້ນຫາຈະບໍ່ທົນທຸກເມື່ອມີການສະສົມຂໍ້ມູນຢ່າງຫຼວງຫຼາຍ. ກົດລະບຽບງ່າຍໆແມ່ນໃຊ້ເພື່ອຕັ້ງຊື່ດັດສະນີ: _. ດັ່ງນັ້ນ, ເພື່ອໃຫ້ຕູ້ຄອນເທນເນີເປັນສາກົນ, ກ່ອນທີ່ຈະເປີດຕົວ daemon ຕົວມັນເອງ, ພວກເຮົາປ່ຽນແທນ sed-th wildcard ກັບ​ຊື່​ຂອງ​ສິ່ງ​ແວດ​ລ້ອມ​. ຕົວແປຊື່ສະພາບແວດລ້ອມແມ່ນຜ່ານຕົວແປສະພາບແວດລ້ອມ. ສຽງຕະຫລົກ.

ມັນຍັງເປັນມູນຄ່າທີ່ສັງເກດວ່າສໍາລັບບາງເຫດຜົນ Splunk ບໍ່ໄດ້ຮັບຜົນກະທົບຈາກການມີຕົວກໍານົດການ docker hostname. ລາວຍັງຈະດື້ດຶງສົ່ງບັນທຶກທີ່ມີ ID ຂອງຕູ້ຄອນເທນເນີຂອງລາວຢູ່ໃນສະຫນາມເຈົ້າພາບ. ໃນຖານະເປັນການແກ້ໄຂ, ທ່ານສາມາດ mount / etc / hostname ຈາກເຄື່ອງໂຮດແລະໃນຕອນເລີ່ມຕົ້ນເຮັດໃຫ້ການທົດແທນທີ່ຄ້າຍຄືກັນກັບຊື່ດັດສະນີ.

ຕົວຢ່າງ docker-compose.yml

version: '2'
services:
  splunk-forwarder:
    image: "${IMAGE_REPO}/docker-stats-splunk-forwarder:${IMAGE_VERSION}"
    environment:
      SPLUNK_INDEX: ${ENVIRONMENT}
    volumes:
    - /etc/hostname:/etc/hostname:ro
    - /var/log:/var/log
    - /var/run/docker.sock:/var/run/docker.sock:ro

ຜົນໄດ້ຮັບ

ແມ່ນແລ້ວ, ບາງທີການແກ້ໄຂແມ່ນບໍ່ເຫມາະສົມແລະແນ່ນອນວ່າບໍ່ແມ່ນທົ່ວໄປສໍາລັບທຸກຄົນ, ເນື່ອງຈາກວ່າມີຫຼາຍ "ຮາດໂຄດ". ແຕ່ອີງໃສ່ມັນ, ທຸກຄົນສາມາດສ້າງຮູບພາບຂອງຕົນເອງແລະວາງໄວ້ໃນເຄື່ອງປອມສ່ວນຕົວຂອງພວກເຂົາ, ຖ້າມັນເກີດຂຶ້ນ, ທ່ານຕ້ອງການ Splunk Forwarder ໃນ Docker.

ເອກະສານອ້າງອີງ:

ການແກ້ໄຂຈາກບົດຄວາມ
ການແກ້ໄຂຈາກ outcoldman ທີ່ເປັນແຮງບັນດານໃຈໃຫ້ພວກເຮົາໃຊ້ບາງຫນ້າທີ່ເຮັດວຽກຄືນໃຫມ່
ຂອງ. ເອກະສານສໍາລັບການຕັ້ງຄ່າ Universal Forwarder

ແຫຼ່ງຂໍ້ມູນ: www.habr.com