🥇Nginx žurnālu analītika, izmantojot Amazon Athena un Cube.js

Parasti Nginx darbības uzraudzībai un analīzei tiek izmantoti komerciāli produkti vai gatavas atvērtā pirmkoda alternatīvas, piemēram, Prometheus + Grafana. Šī ir laba iespēja uzraudzībai vai reāllaika analīzei, taču ne pārāk ērta vēsturiskai analīzei. Jebkurā populārajā resursā nginx žurnālu datu apjoms strauji pieaug, un, lai analizētu lielu datu apjomu, ir loģiski izmantot kaut ko specializētāku.

Šajā rakstā es jums pastāstīšu, kā jūs varat izmantot Athena lai analizētu žurnālus, kā piemēru ņemot Nginx, un es parādīšu, kā no šiem datiem izveidot analītisko informācijas paneli, izmantojot atvērtā koda cube.js ietvaru. Šeit ir visa risinājuma arhitektūra:

TL:DR;
Saite uz gatavo informācijas paneli.

Lai apkopotu informāciju, ko mēs izmantojam tekoši, apstrādei - AWS Kinesis Data Firehose и AWS līme, uzglabāšanai - AWS S3. Izmantojot šo komplektu, varat saglabāt ne tikai nginx žurnālus, bet arī citus notikumus, kā arī citu pakalpojumu žurnālus. Dažas daļas varat aizstāt ar līdzīgām jūsu steka daļām, piemēram, varat rakstīt žurnālus kinesis tieši no nginx, apejot fluentd, vai šim nolūkam izmantot logstash.

Nginx žurnālu vākšana

Pēc noklusējuma Nginx žurnāli izskatās šādi:

4/9/2019 12:58:17 PM1.1.1.1 - - [09/Apr/2019:09:58:17 +0000] "GET /sign-up HTTP/2.0" 200 9168 "https://example.com/sign-in" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
4/9/2019 12:58:17 PM1.1.1.1 - - [09/Apr/2019:09:58:17 +0000] "GET /sign-in HTTP/2.0" 200 9168 "https://example.com/sign-up" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

Tos var parsēt, taču ir daudz vieglāk labot Nginx konfigurāciju, lai tā izveidotu žurnālus JSON:

log_format json_combined escape=json '{ "created_at": "$msec", '
            '"remote_addr": "$remote_addr", '
            '"remote_user": "$remote_user", '
            '"request": "$request", '
            '"status": $status, '
            '"bytes_sent": $bytes_sent, '
            '"request_length": $request_length, '
            '"request_time": $request_time, '
            '"http_referrer": "$http_referer", '
            '"http_x_forwarded_for": "$http_x_forwarded_for", '
            '"http_user_agent": "$http_user_agent" }';

access_log  /var/log/nginx/access.log  json_combined;

S3 uzglabāšanai

Lai saglabātu žurnālus, mēs izmantosim S3. Tas ļauj glabāt un analizēt žurnālus vienuviet, jo Athena var tieši strādāt ar datiem S3. Vēlāk rakstā es jums pastāstīšu, kā pareizi pievienot un apstrādāt žurnālus, taču vispirms mums ir nepieciešams tīrs S3 spainis, kurā nekas cits netiks saglabāts. Ir vērts iepriekš apsvērt, kurā reģionā veidosit savu spaini, jo Athena nav pieejams visos reģionos.

Ķēdes izveide Athena konsolē

Atēnās izveidosim tabulu žurnāliem. Tas ir nepieciešams gan rakstīšanai, gan lasīšanai, ja plānojat izmantot Kinesis Firehose. Atveriet Athena konsoli un izveidojiet tabulu:

SQL tabulas izveide

CREATE EXTERNAL TABLE `kinesis_logs_nginx`(
  `created_at` double, 
  `remote_addr` string, 
  `remote_user` string, 
  `request` string, 
  `status` int, 
  `bytes_sent` int, 
  `request_length` int, 
  `request_time` double, 
  `http_referrer` string, 
  `http_x_forwarded_for` string, 
  `http_user_agent` string)
ROW FORMAT SERDE 
  'org.apache.hadoop.hive.ql.io.orc.OrcSerde' 
STORED AS INPUTFORMAT 
  'org.apache.hadoop.hive.ql.io.orc.OrcInputFormat' 
OUTPUTFORMAT 
  'org.apache.hadoop.hive.ql.io.orc.OrcOutputFormat'
LOCATION
  's3://<YOUR-S3-BUCKET>'
TBLPROPERTIES ('has_encrypted_data'='false');

Kinesis Firehose Stream izveide

Kinesis Firehose no Nginx saņemtos datus ierakstīs uz S3 izvēlētajā formātā, sadalot tos direktorijās GGGG/MM/DD/HH formātā. Tas noderēs, lasot datus. Jūs, protams, varat rakstīt tieši uz S3 no fluentd, taču šajā gadījumā jums būs jāraksta JSON, un tas ir neefektīvi failu lielā izmēra dēļ. Turklāt, izmantojot PrestoDB vai Athena, JSON ir lēnākais datu formāts. Tātad atveriet Kinesis Firehose konsoli, noklikšķiniet uz "Izveidot piegādes straumi", laukā "piegāde" atlasiet "tiešais PUT":

Nākamajā cilnē atlasiet “Ieraksta formāta konvertēšana” - “Iespējots” un kā ierakstīšanas formātu atlasiet “Apache ORC”. Saskaņā ar dažiem pētījumiem Ouens O'Malijs, tas ir optimālais formāts PrestoDB un Athena. Mēs izmantojam iepriekš izveidoto tabulu kā shēmu. Lūdzu, ņemiet vērā, ka kinēzē varat norādīt jebkuru S3 atrašanās vietu; no tabulas tiek izmantota tikai shēma. Bet, ja norādāt citu S3 atrašanās vietu, jūs nevarēsit nolasīt šos ierakstus no šīs tabulas.

Mēs izvēlamies S3 glabāšanai un iepriekš izveidoto spaini. Aws Glue Crawler, par kuru es runāšu nedaudz vēlāk, nevar strādāt ar prefiksiem S3 spainī, tāpēc ir svarīgi atstāt to tukšu.

Pārējās opcijas var mainīt atkarībā no slodzes; es parasti izmantoju noklusējuma opcijas. Ņemiet vērā, ka S3 saspiešana nav pieejama, bet ORC pēc noklusējuma izmanto sākotnējo saspiešanu.

tekoši

Tagad, kad esam konfigurējuši žurnālu glabāšanu un saņemšanu, mums ir jākonfigurē sūtīšana. Mēs izmantosim tekoši, jo es mīlu Ruby, bet jūs varat izmantot Logstash vai nosūtīt žurnālus tieši uz kinesis. Fluentd serveri var palaist vairākos veidos, es jums pastāstīšu par docker, jo tas ir vienkārši un ērti.

Pirmkārt, mums ir nepieciešams konfigurācijas fails fluent.conf. Izveidojiet to un pievienojiet avotu:

tips uz priekšu
port 24224
saistīt 0.0.0.0

Tagad varat palaist Fluentd serveri. Ja jums nepieciešama papildu konfigurācija, dodieties uz Dokera centrmezgls Ir detalizēts ceļvedis, tostarp, kā salikt attēlu.

$ docker run 
  -d 
  -p 24224:24224 
  -p 24224:24224/udp 
  -v /data:/fluentd/log 
  -v <PATH-TO-FLUENT-CONF>:/fluentd/etc fluentd 
  -c /fluentd/etc/fluent.conf
  fluent/fluentd:stable

Šajā konfigurācijā tiek izmantots ceļš /fluentd/log kešatmiņā saglabāt žurnālus pirms nosūtīšanas. Jūs varat iztikt bez šī, taču, restartējot, varat zaudēt visu, kas ir saglabāts kešatmiņā, ko izraisa aizkavējošs darbs. Varat arī izmantot jebkuru portu; 24224 ir noklusējuma Fluentd ports.

Tagad, kad darbojas Fluentd, mēs varam tur nosūtīt Nginx žurnālus. Mēs parasti palaižam Nginx Docker konteinerā, un tādā gadījumā Docker ir vietējais Fluentd reģistrēšanas draiveris:

$ docker run 
--log-driver=fluentd 
--log-opt fluentd-address=<FLUENTD-SERVER-ADDRESS>
--log-opt tag="{{.Name}}" 
-v /some/content:/usr/share/nginx/html:ro 
-d 
nginx

Ja palaižat Nginx citādi, varat izmantot žurnālfailus, ko piedāvā Fluentd faila astes spraudnis.

Pievienosim iepriekš konfigurēto žurnāla parsēšanu Fluent konfigurācijai:

<filter YOUR-NGINX-TAG.*>
  @type parser
  key_name log
  emit_invalid_record_to_error false
  <parse>
    @type json
  </parse>
</filter>

Un žurnālu nosūtīšana uz Kinesis, izmantojot kinesis firehose spraudnis:

<match YOUR-NGINX-TAG.*>
    @type kinesis_firehose
    region region
    delivery_stream_name <YOUR-KINESIS-STREAM-NAME>
    aws_key_id <YOUR-AWS-KEY-ID>
    aws_sec_key <YOUR_AWS-SEC_KEY>
</match>

Athena

Ja esat visu pareizi konfigurējis, tad pēc kāda laika (pēc noklusējuma Kinesis reģistrē saņemtos datus reizi 10 minūtēs) jums vajadzētu redzēt žurnāla failus S3. Kinesis Firehose izvēlnē “Uzraudzība” varat redzēt, cik daudz datu ir ierakstīts S3, kā arī kļūdas. Neaizmirstiet piešķirt Kinesis lomai rakstīšanas piekļuvi S3 spainim. Ja Kinesis nevarēja kaut ko parsēt, tas pievienos kļūdas tam pašam segmentam.

Tagad jūs varat skatīt datus pakalpojumā Atēna. Atradīsim jaunākos pieprasījumus, par kuriem atgriezām kļūdas:

SELECT * FROM "db_name"."table_name" WHERE status > 499 ORDER BY created_at DESC limit 10;

Skenē visus ierakstus katram pieprasījumam

Tagad mūsu žurnāli ir apstrādāti un saglabāti S3 ORC, saspiesti un gatavi analīzei. Kinesis Firehose pat organizēja tos direktorijos katrai stundai. Tomēr, kamēr tabula nav sadalīta, Athena ielādēs visu laiku datus par katru pieprasījumu, ar retiem izņēmumiem. Tā ir liela problēma divu iemeslu dēļ:

Datu apjoms nepārtraukti pieaug, palēninot vaicājumus;
Maksa par Athena tiek iekasēta, pamatojoties uz skenēto datu apjomu, vismaz 10 MB vienam pieprasījumam.

Lai to novērstu, mēs izmantojam AWS Glue Crawler, kas pārmeklēs datus S3 un ierakstīs nodalījuma informāciju Glue metastore. Tas ļaus mums izmantot nodalījumus kā filtru, veicot vaicājumu Athena, un tas skenēs tikai vaicājumā norādītos direktorijus.

Amazon Glue Crawler iestatīšana

Amazon Glue Crawler skenē visus S3 spainī esošos datus un izveido tabulas ar nodalījumiem. Izveidojiet Glue Crawler no AWS Glue konsoles un pievienojiet spaini, kurā glabājat datus. Varat izmantot vienu rāpuļprogrammu vairākiem segmentiem, un tādā gadījumā tas izveidos tabulas norādītajā datu bāzē ar nosaukumiem, kas atbilst segmentu nosaukumiem. Ja plānojat regulāri izmantot šos datus, noteikti konfigurējiet rāpuļprogrammas palaišanas grafiku atbilstoši savām vajadzībām. Mēs izmantojam vienu rāpuļprogrammu visiem galdiem, kas darbojas katru stundu.

Sadalītas tabulas

Pēc pirmās rāpuļprogrammas palaišanas iestatījumos norādītajā datu bāzē jāparādās katra skenētā segmenta tabulām. Atveriet Athena konsoli un atrodiet tabulu ar Nginx žurnāliem. Mēģināsim kaut ko izlasīt:

SELECT * FROM "default"."part_demo_kinesis_bucket"
WHERE(
  partition_0 = '2019' AND
  partition_1 = '04' AND
  partition_2 = '08' AND
  partition_3 = '06'
  );

Šajā vaicājumā tiks atlasīti visi ieraksti, kas saņemti no 6. gada 7. aprīļa plkst. 8:2019 līdz plkst. XNUMX:XNUMX. Bet cik daudz efektīvāk tas ir nekā tikai lasīšana no nesadalītas tabulas? Noskaidrosim un atlasīsim tos pašus ierakstus, filtrējot tos pēc laikspiedola:

3.59 sekundes un 244.34 megabaiti datu datu kopā ar tikai nedēļas žurnāliem. Izmēģināsim filtru pēc nodalījuma:

Nedaudz ātrāk, bet pats galvenais – tikai 1.23 megabaiti datu! Tas būtu daudz lētāk, ja ne minimālie 10 megabaiti vienam pieprasījumam cenā. Bet tas joprojām ir daudz labāks, un lielās datu kopās atšķirība būs daudz iespaidīgāka.

Informācijas paneļa izveide, izmantojot Cube.js

Lai saliktu informācijas paneli, mēs izmantojam Cube.js analītisko sistēmu. Tam ir diezgan daudz funkciju, taču mūs interesē divas: iespēja automātiski izmantot nodalījumu filtrus un datu iepriekšēja apkopošana. Tas izmanto datu shēmu datu shēma, kas rakstīts Javascript, lai ģenerētu SQL un izpildītu datu bāzes vaicājumu. Mums tikai jānorāda, kā datu shēmā izmantot nodalījuma filtru.

Izveidosim jaunu Cube.js lietojumprogrammu. Tā kā mēs jau izmantojam AWS steku, ir loģiski izmantot Lambda izvietošanai. Varat izmantot ātrās veidnes ģenerēšanai, ja plānojat mitināt Cube.js aizmugursistēmu Heroku vai Docker. Dokumentācijā ir aprakstīti citi hostinga metodes.

$ npm install -g cubejs-cli
$ cubejs create nginx-log-analytics -t serverless -d athena

Vides mainīgie tiek izmantoti, lai konfigurētu piekļuvi datubāzei failā cube.js. Ģenerators izveidos .env failu, kurā varēsiet norādīt savas atslēgas Athena.

Tagad mums vajag datu shēma, kurā mēs precīzi norādīsim, kā tiek glabāti mūsu žurnāli. Tur varat arī norādīt, kā aprēķināt metriku informācijas paneļiem.

Direktorijā schema, izveidojiet failu Logs.js. Šeit ir nginx datu modeļa piemērs:

Modeļa kods

const partitionFilter = (from, to) => `
    date(from_iso8601_timestamp(${from})) <= date_parse(partition_0 || partition_1 || partition_2, '%Y%m%d') AND
    date(from_iso8601_timestamp(${to})) >= date_parse(partition_0 || partition_1 || partition_2, '%Y%m%d')
    `

cube(`Logs`, {
  sql: `
  select * from part_demo_kinesis_bucket
  WHERE ${FILTER_PARAMS.Logs.createdAt.filter(partitionFilter)}
  `,

  measures: {
    count: {
      type: `count`,
    },

    errorCount: {
      type: `count`,
      filters: [
        { sql: `${CUBE.isError} = 'Yes'` }
      ]
    },

    errorRate: {
      type: `number`,
      sql: `100.0 * ${errorCount} / ${count}`,
      format: `percent`
    }
  },

  dimensions: {
    status: {
      sql: `status`,
      type: `number`
    },

    isError: {
      type: `string`,
      case: {
        when: [{
          sql: `${CUBE}.status >= 400`, label: `Yes`
        }],
        else: { label: `No` }
      }
    },

    createdAt: {
      sql: `from_unixtime(created_at)`,
      type: `time`
    }
  }
});

Šeit mēs izmantojam mainīgo FILTER_PARAMSlai ģenerētu SQL vaicājumu ar nodalījuma filtru.

Mēs arī iestatām metriku un parametrus, ko vēlamies parādīt informācijas panelī, un norādām iepriekšēju apkopojumu. Cube.js izveidos papildu tabulas ar iepriekš apkopotiem datiem un automātiski atjauninās datus, tiklīdz tie tiks saņemti. Tas ne tikai paātrina vaicājumu izpildi, bet arī samazina Athena lietošanas izmaksas.

Pievienosim šo informāciju datu shēmas failam:

preAggregations: {
  main: {
    type: `rollup`,
    measureReferences: [count, errorCount],
    dimensionReferences: [isError, status],
    timeDimensionReference: createdAt,
    granularity: `day`,
    partitionGranularity: `month`,
    refreshKey: {
      sql: FILTER_PARAMS.Logs.createdAt.filter((from, to) => 
        `select
           CASE WHEN from_iso8601_timestamp(${to}) + interval '3' day > now()
           THEN date_trunc('hour', now()) END`
      )
    }
  }
}

Šajā modelī mēs norādām, ka ir nepieciešams iepriekš apkopot datus par visiem izmantotajiem rādītājiem un izmantot sadalījumu pa mēnešiem. Sadalīšana pirms apkopošanas var ievērojami paātrināt datu vākšanu un atjaunināšanu.

Tagad mēs varam salikt informācijas paneli!

Cube.js aizmugure nodrošina REST API un klientu bibliotēku kopa populārām priekšgala ietvariem. Lai izveidotu informācijas paneli, mēs izmantosim klienta React versiju. Cube.js nodrošina tikai datus, tāpēc mums būs nepieciešama vizualizācijas bibliotēka — man tā patīk atkārtotas diagrammas, bet jūs varat izmantot jebkuru.

Cube.js serveris pieņem pieprasījumu JSON formātā, kas norāda nepieciešamos rādītājus. Piemēram, lai aprēķinātu, cik kļūdu Nginx sniedza dienā, jums jānosūta šāds pieprasījums:

{
  "measures": ["Logs.errorCount"],
  "timeDimensions": [
    {
      "dimension": "Logs.createdAt",
      "dateRange": ["2019-01-01", "2019-01-07"],
      "granularity": "day"
    }
  ]
}

Instalēsim Cube.js klientu un React komponentu bibliotēku, izmantojot NPM:

$ npm i --save @cubejs-client/core @cubejs-client/react

Mēs importējam komponentus cubejs и QueryRendererlai lejupielādētu datus un apkopotu informācijas paneli:

Informācijas paneļa kods

import React from 'react';
import { LineChart, Line, XAxis, YAxis } from 'recharts';
import cubejs from '@cubejs-client/core';
import { QueryRenderer } from '@cubejs-client/react';

const cubejsApi = cubejs(
  'YOUR-CUBEJS-API-TOKEN',
  { apiUrl: 'http://localhost:4000/cubejs-api/v1' },
);

export default () => {
  return (
    <QueryRenderer
      query={{
        measures: ['Logs.errorCount'],
        timeDimensions: [{
            dimension: 'Logs.createdAt',
            dateRange: ['2019-01-01', '2019-01-07'],
            granularity: 'day'
        }]
      }}
      cubejsApi={cubejsApi}
      render={({ resultSet }) => {
        if (!resultSet) {
          return 'Loading...';
        }

        return (
          <LineChart data={resultSet.rawData()}>
            <XAxis dataKey="Logs.createdAt"/>
            <YAxis/>
            <Line type="monotone" dataKey="Logs.errorCount" stroke="#8884d8"/>
          </LineChart>
        );
      }}
    />
  )
}

Informācijas paneļa avoti ir pieejami vietnē koda smilškaste.

Avots: www.habr.com

Nginx žurnāla analītika, izmantojot Amazon Athena un Cube.js