ClickHouse datu bāze cilvēkiem vai citplanētiešu tehnoloģijām

Aleksejs Lizunovs, MKB Informācijas tehnoloģiju direkcijas Attālināto pakalpojumu kanālu kompetences centra vadītājs

Kā alternatīvu ELK stekam (ElasticSearch, Logstash, Kibana) mēs veicam pētījumus par ClickHouse datu bāzes izmantošanu kā žurnālu datu krātuvi.

Šajā rakstā vēlamies pastāstīt par mūsu pieredzi ClickHouse datu bāzes izmantošanā un provizoriskajiem pilotoperācijas rezultātiem. Uzreiz jāatzīmē, ka rezultāti bija iespaidīgi.

Tālāk mēs sīkāk aprakstīsim, kā mūsu sistēma ir konfigurēta un no kādiem komponentiem tā sastāv. Bet tagad es gribētu nedaudz parunāt par šo datu bāzi kopumā un to, kāpēc ir vērts pievērst uzmanību. ClickHouse datu bāze ir augstas veiktspējas analītiska kolonnu datubāze no Yandex. To izmanto Yandex pakalpojumos, sākotnēji tā ir galvenā Yandex.Metrica datu krātuve. Atvērtā pirmkoda sistēma, bezmaksas. No izstrādātāju viedokļa vienmēr esmu brīnījies, kā viņi to ieviesuši, jo ir fantastiski lieli dati. Un pati Metrica lietotāja saskarne ir ļoti elastīga un ātra. Pirmo reizi iepazīstoties ar šo datubāzi, rodas iespaids: “Nu beidzot! Radīts cilvēkiem! Sākot no instalēšanas procesa un beidzot ar pieprasījumu nosūtīšanu.

Šai datubāzei ir ļoti zems ieejas slieksnis. Pat vidēji prasmīgs izstrādātājs dažu minūšu laikā var instalēt šo datu bāzi un sākt to lietot. Viss darbojas skaidri. Pat cilvēki, kuri ir jauni Linux lietošanā, var ātri tikt galā ar instalēšanu un veikt visvienkāršākās darbības. Ja agrāk ar vārdiem Big Data, Hadoop, Google BigTable, HDFS parastam izstrādātājam radās idejas, ka runa ir par dažiem terabaitiem, petabaitiem, ka šo sistēmu iestatījumos un izstrādē ir iesaistīti daži pārcilvēki, tad līdz ar ClickHouse parādīšanos. datu bāzē, mēs ieguvām vienkāršu, saprotamu rīku, ar kuru var atrisināt iepriekš nesasniedzamu uzdevumu loku. Instalēšanai nepieciešama tikai viena diezgan vidēja mašīna un piecas minūtes. Tas ir, mēs ieguvām tādu datu bāzi kā, piemēram, MySql, bet tikai miljardu ierakstu glabāšanai! Noteikts superarhivētājs ar SQL valodu. Tas ir tā, it kā cilvēkiem būtu nodoti citplanētiešu ieroči.

Par mūsu reģistrēšanas sistēmu

Informācijas apkopošanai tiek izmantoti standarta formāta tīmekļa lietojumprogrammu IIS žurnālfaili (pašlaik arī parsējam lietojumprogrammu žurnālus, taču galvenais mērķis pilota posmā ir IIS žurnālu apkopošana).

Dažādu iemeslu dēļ mēs nevarējām pilnībā atteikties no ELK steka, un mēs turpinām izmantot LogStash un Filebeat komponentus, kas ir sevi pierādījuši un darbojas diezgan droši un paredzami.

Vispārējā reģistrēšanas shēma ir parādīta attēlā zemāk:

Iezīme datu ierakstīšanai ClickHouse datu bāzē ir reta (reizi sekundē) ierakstu ievietošana lielās partijās. Acīmredzot šī ir “problemātiskākā” daļa, ar kuru jūs saskaraties, pirmo reizi saskaroties ar ClickHouse datu bāzi: shēma kļūst nedaudz sarežģītāka.
Šeit daudz palīdzēja LogStash spraudnis, kas tieši ievieto datus ClickHouse. Šis komponents ir izvietots tajā pašā serverī, kur pati datu bāze. Tātad, vispārīgi runājot, to nav ieteicams darīt, bet gan no praktiskā viedokļa, lai neradītu atsevišķus serverus, kamēr tas tiek izvietots tajā pašā serverī. Mēs nenovērojām nekādas kļūmes vai resursu konfliktus ar datu bāzi. Turklāt jāņem vērā, ka kļūdu gadījumā spraudnim ir atkārtota mēģinājuma mehānisms. Un kļūdu gadījumā spraudnis ieraksta diskā datu partiju, kuru nevarēja ievietot (faila formāts ir ērts: pēc rediģēšanas jūs varat viegli ievietot laboto partiju, izmantojot clickhouse-client).

Pilns shēmā izmantotās programmatūras saraksts ir parādīts tabulā:

Izmantotās programmatūras saraksts

Nosaukums

Apraksts

Izplatīšanas saite

nginx

Apgrieztā starpniekserveris, lai ierobežotu piekļuvi portiem un organizētu autorizāciju

Pašlaik shēmā netiek izmantots

https://nginx.org/ru/download.html

https://nginx.org/download/nginx-1.16.0.tar.gz

FileBeat

Failu žurnālu pārsūtīšana.

https://www.elastic.co/downloads/beats/filebeat (izplatīšanas komplekts operētājsistēmai Windows 64bit).

https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.3.0-windows-x86_64.zip

logstash

Baļķu savācējs.

Izmanto, lai savāktu žurnālus no FileBeat, kā arī lai savāktu žurnālus no RabbitMQ rindas (serveriem, kas atrodas DMZ.)

https://www.elastic.co/products/logstash

https://artifacts.elastic.co/downloads/logstash/logstash-7.0.1.rpm

Logstash-output-clickhouse

Loagstash spraudnis žurnālu pārsūtīšanai uz ClickHouse datu bāzi partijās

https://github.com/mikechris/logstash-output-clickhouse

/usr/share/logstash/bin/logstash-plugin instalēt logstash-output-clickhouse

/usr/share/logstash/bin/logstash-plugin instalēt logstash-filter-prune

/usr/share/logstash/bin/logstash-plugin instalēt logstash-filter-multiline

Noklikšķiniet uz Māja

Baļķu uzglabāšana https://clickhouse.yandex/docs/ru/

https://packagecloud.io/Altinity/clickhouse/packages/el/7/clickhouse-server-19.5.3.8-1.el7.x86_64.rpm

https://packagecloud.io/Altinity/clickhouse/packages/el/7/clickhouse-client-19.5.3.8-1.el7.x86_64.rpm

Piezīme. Sākot ar 2018. gada augustu, Yandex repozitorijā parādījās “parastās” RHEL apgriezienu versijas, lai jūs varētu mēģināt tās izmantot. Instalēšanas laikā mēs izmantojām Altinity izstrādātās pakotnes.

grafana

Žurnāla vizualizācija. Informācijas paneļu iestatīšana

https://grafana.com/

https://grafana.com/grafana/download

Redhat & Centos (64 bitu) - jaunākā versija

ClickHouse datu avots Grafana 4.6+

Grafana spraudnis ar ClickHouse datu avotu

https://grafana.com/plugins/vertamedia-clickhouse-datasource

https://grafana.com/api/plugins/vertamedia-clickhouse-datasource/versions/1.8.1/download

logstash

Reģistrējiet maršrutētāju no FileBeat uz RabbitMQ rindu.

Piezīme. Diemžēl FileBeat nav izvades tieši uz RabbitMQ, tāpēc ir nepieciešama starpsaite Logstash formā.

https://www.elastic.co/products/logstash

https://artifacts.elastic.co/downloads/logstash/logstash-7.0.1.rpm

RabbitMQ

ziņojumu rinda. Šis ir žurnāla buferis DMZ

https://www.rabbitmq.com/download.html

https://github.com/rabbitmq/rabbitmq-server/releases/download/v3.7.14/rabbitmq-server-3.7.14-1.el7.noarch.rpm

Erlang izpildlaiks (nepieciešams RabbitMQ)

Erlang izpildlaiks. Nepieciešams, lai RabbitMQ darbotos

http://www.erlang.org/download.html

https://www.rabbitmq.com/install-rpm.html#install-erlang http://www.erlang.org/downloads/21.3

Servera konfigurācija ar ClickHouse datu bāzi ir parādīta šajā tabulā:

Nosaukums

Vērtība

Piezīme

Konfigurācija

HDD: 40GB
RAM: 8GB
Procesors: Core 2 2GHz

Ir nepieciešams pievērst uzmanību padomiem ClickHouse datu bāzes lietošanai (https://clickhouse.yandex/docs/ru/operations/tips/)

Vispārējā sistēmas programmatūra

OS: Red Hat Enterprise Linux Server (Maipo)

JRE (Java 8)

 

Kā redzat, šī ir parasta darbstacija.

Baļķu glabāšanas tabulas struktūra ir šāda:

log_web.sql

CREATE TABLE log_web (
  logdate Date,
  logdatetime DateTime CODEC(Delta, LZ4HC),
   
  fld_log_file_name LowCardinality( String ),
  fld_server_name LowCardinality( String ),
  fld_app_name LowCardinality( String ),
  fld_app_module LowCardinality( String ),
  fld_website_name LowCardinality( String ),
 
  serverIP LowCardinality( String ),
  method LowCardinality( String ),
  uriStem String,
  uriQuery String,
  port UInt32,
  username LowCardinality( String ),
  clientIP String,
  clientRealIP String,
  userAgent String,
  referer String,
  response String,
  subresponse String,
  win32response String,
  timetaken UInt64
   
  , uriQuery__utm_medium String
  , uriQuery__utm_source String
  , uriQuery__utm_campaign String
  , uriQuery__utm_term String
  , uriQuery__utm_content String
  , uriQuery__yclid String
  , uriQuery__region String
 
) Engine = MergeTree()
PARTITION BY toYYYYMM(logdate)
ORDER BY (fld_app_name, fld_app_module, logdatetime)
SETTINGS index_granularity = 8192;

Mēs izmantojam noklusējuma sadalīšanu (pēc mēneša) un indeksa precizitāti. Visi lauki praktiski atbilst IIS žurnāla ierakstiem http pieprasījumu reģistrēšanai. Atsevišķi mēs atzīmējam, ka utm-tagu glabāšanai ir atsevišķi lauki (tie tiek parsēti, ievietojot tabulā no vaicājuma virknes lauka).

Tāpat tabulai ir pievienoti vairāki sistēmas lauki, lai saglabātu informāciju par sistēmām, komponentiem, serveriem. Šo lauku aprakstu skatiet tālāk esošajā tabulā. Vienā tabulā mēs glabājam žurnālus vairākām sistēmām.

Nosaukums

Apraksts

Piemērs

fld_app_name

Lietojumprogrammas/sistēmas nosaukums
Derīgas vērtības:

• site1.domain.com Ārējā vietne 1
• site2.domain.com Ārējā vietne 2
• internal-site1.domain.local 1. iekšējā vietne

vietne1.domēns.com

fld_app_module

Sistēmas modulis
Derīgas vērtības:

• tīmekļa vietne
• svc — vietnes pakalpojums
• intgr — integrācijas tīmekļa pakalpojums
• bo — administrators (BackOffice)

web

fld_website_name

Vietnes nosaukums IIS

Vienā serverī var izvietot vairākas sistēmas vai pat vairākus viena sistēmas moduļa gadījumus

tīmekļa galvenā

fld_servera_nosaukums

Servera nosaukums

web1.domain.com

fld_log_file_name

Ceļš uz žurnāla failu serverī

C:inetpublogsLogFiles
W3SVC1u_ex190711.log

Tas ļauj efektīvi izveidot grafikus programmā Grafana. Piemēram, skatiet pieprasījumus no noteiktas sistēmas priekšgala. Tas ir līdzīgs vietņu skaitītājam pakalpojumā Yandex.Metrica.

Šeit ir daži statistikas dati par datu bāzes izmantošanu divu mēnešu laikā.

Ierakstu skaits, kas sadalīts pa sistēmām un to sastāvdaļām

SELECT
    fld_app_name,
    fld_app_module,
    count(fld_app_name) AS rows_count
FROM log_web
GROUP BY
    fld_app_name,
    fld_app_module
    WITH TOTALS
ORDER BY
    fld_app_name ASC,
    rows_count DESC
 
┌─fld_app_name─────┬─fld_app_module─┬─rows_count─┐
│ site1.domain.ru  │ web            │     131441 │
│ site2.domain.ru  │ web            │    1751081 │
│ site3.domain.ru  │ web            │  106887543 │
│ site3.domain.ru  │ svc            │   44908603 │
│ site3.domain.ru  │ intgr          │    9813911 │
│ site4.domain.ru  │ web            │     772095 │
│ site5.domain.ru  │ web            │   17037221 │
│ site5.domain.ru  │ intgr          │     838559 │
│ site5.domain.ru  │ bo             │       7404 │
│ site6.domain.ru  │ web            │     595877 │
│ site7.domain.ru  │ web            │   27778858 │
└──────────────────┴────────────────┴────────────┘
 
Totals:
┌─fld_app_name─┬─fld_app_module─┬─rows_count─┐
│              │                │  210522593 │
└──────────────┴────────────────┴────────────┘
 
11 rows in set. Elapsed: 4.874 sec. Processed 210.52 million rows, 421.67 MB (43.19 million rows/s., 86.51 MB/s.)

Datu apjoms diskā

SELECT
    formatReadableSize(sum(data_uncompressed_bytes)) AS uncompressed,
    formatReadableSize(sum(data_compressed_bytes)) AS compressed,
    sum(rows) AS total_rows
FROM system.parts
WHERE table = 'log_web'
 
┌─uncompressed─┬─compressed─┬─total_rows─┐
│ 54.50 GiB    │ 4.86 GiB   │  211427094 │
└──────────────┴────────────┴────────────┘
 
1 rows in set. Elapsed: 0.035 sec.

Datu saspiešanas pakāpe kolonnās

SELECT
    name,
    formatReadableSize(data_uncompressed_bytes) AS uncompressed,
    formatReadableSize(data_compressed_bytes) AS compressed,
    data_uncompressed_bytes / data_compressed_bytes AS compress_ratio
FROM system.columns
WHERE table = 'log_web'
 
┌─name───────────────────┬─uncompressed─┬─compressed─┬─────compress_ratio─┐
│ logdate                │ 401.53 MiB   │ 1.80 MiB   │ 223.16665968777315 │
│ logdatetime            │ 803.06 MiB   │ 35.91 MiB  │ 22.363966401202305 │
│ fld_log_file_name      │ 220.66 MiB   │ 2.60 MiB   │  84.99905736932571 │
│ fld_server_name        │ 201.54 MiB   │ 50.63 MiB  │  3.980924816977078 │
│ fld_app_name           │ 201.17 MiB   │ 969.17 KiB │ 212.55518183686877 │
│ fld_app_module         │ 201.17 MiB   │ 968.60 KiB │ 212.67805817411906 │
│ fld_website_name       │ 201.54 MiB   │ 1.24 MiB   │  162.7204926761546 │
│ serverIP               │ 201.54 MiB   │ 50.25 MiB  │  4.010824061219731 │
│ method                 │ 201.53 MiB   │ 43.64 MiB  │  4.617721053304486 │
│ uriStem                │ 5.13 GiB     │ 832.51 MiB │  6.311522291936919 │
│ uriQuery               │ 2.58 GiB     │ 501.06 MiB │  5.269731450124478 │
│ port                   │ 803.06 MiB   │ 3.98 MiB   │ 201.91673864241824 │
│ username               │ 318.08 MiB   │ 26.93 MiB  │ 11.812513794583598 │
│ clientIP               │ 2.35 GiB     │ 82.59 MiB  │ 29.132328640073343 │
│ clientRealIP           │ 2.49 GiB     │ 465.05 MiB │  5.478382297052563 │
│ userAgent              │ 18.34 GiB    │ 764.08 MiB │  24.57905114484208 │
│ referer                │ 14.71 GiB    │ 1.37 GiB   │ 10.736792723669906 │
│ response               │ 803.06 MiB   │ 83.81 MiB  │  9.582334090987247 │
│ subresponse            │ 399.87 MiB   │ 1.83 MiB   │  218.4831068635027 │
│ win32response          │ 407.86 MiB   │ 7.41 MiB   │ 55.050315514606815 │
│ timetaken              │ 1.57 GiB     │ 402.06 MiB │ 3.9947395692010637 │
│ uriQuery__utm_medium   │ 208.17 MiB   │ 12.29 MiB  │ 16.936148912472955 │
│ uriQuery__utm_source   │ 215.18 MiB   │ 13.00 MiB  │ 16.548367623199912 │
│ uriQuery__utm_campaign │ 381.46 MiB   │ 37.94 MiB  │ 10.055156353418509 │
│ uriQuery__utm_term     │ 231.82 MiB   │ 10.78 MiB  │ 21.502540454070672 │
│ uriQuery__utm_content  │ 441.34 MiB   │ 87.60 MiB  │  5.038260760449327 │
│ uriQuery__yclid        │ 216.88 MiB   │ 16.58 MiB  │  13.07721335008116 │
│ uriQuery__region       │ 204.35 MiB   │ 9.49 MiB   │  21.52661903446796 │
└────────────────────────┴──────────────┴────────────┴────────────────────┘
 
28 rows in set. Elapsed: 0.005 sec.

Izmantoto komponentu apraksts

FileBeat. Failu žurnālu pārsūtīšana

Šis komponents izseko diskā esošo žurnālfailu izmaiņas un nodod informāciju žurnālam LogStash. Instalēta visos serveros, kur tiek rakstīti žurnālfaili (parasti IIS). Darbojas astes režīmā (t.i., failā pārsūta tikai pievienotos ierakstus). Bet atsevišķi to var konfigurēt, lai pārsūtītu visus failus. Tas ir noderīgi, ja nepieciešams lejupielādēt datus no iepriekšējiem mēnešiem. Vienkārši ievietojiet žurnālfailu mapē, un tas nolasīs to pilnībā.

Kad pakalpojums tiek apturēts, dati vairs netiek pārsūtīti tālāk uz krātuvi.

Konfigurācijas piemērs izskatās šādi:

filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - C:/inetpub/logs/LogFiles/W3SVC1/*.log
  exclude_files: ['.gz$','.zip$']
  tail_files: true
  ignore_older: 24h
  fields:
    fld_server_name: "site1.domain.ru"
    fld_app_name: "site1.domain.ru"
    fld_app_module: "web"
    fld_website_name: "web-main"
 
- type: log
  enabled: true
  paths:
    - C:/inetpub/logs/LogFiles/__Import/access_log-*
  exclude_files: ['.gz$','.zip$']
  tail_files: false
  fields:
    fld_server_name: "site2.domain.ru"
    fld_app_name: "site2.domain.ru"
    fld_app_module: "web"
    fld_website_name: "web-main"
    fld_logformat: "logformat__apache"
 
 
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
  reload.period: 2s
 
output.logstash:
  hosts: ["log.domain.com:5044"]
 
  ssl.enabled: true
  ssl.certificate_authorities: ["C:/filebeat/certs/ca.pem", "C:/filebeat/certs/ca-issuing.pem"]
  ssl.certificate: "C:/filebeat/certs/site1.domain.ru.cer"
  ssl.key: "C:/filebeat/certs/site1.domain.ru.key"
 
#================================ Processors =====================================
 
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~

logstash. Baļķu savācējs

Šis komponents ir paredzēts žurnāla ierakstu saņemšanai no FileBeat (vai caur RabbitMQ rindu), analizējot un ievietojot partijas ClickHouse datu bāzē.

Ievietošanai ClickHouse tiek izmantots spraudnis Logstash-output-clickhouse. Logstash spraudnim ir pieprasījuma atkārtošanas mehānisms, taču ar regulāru izslēgšanu labāk ir apturēt pašu pakalpojumu. Apturot, ziņojumi tiks uzkrāti RabbitMQ rindā, tāpēc, ja apstāšanās ir uz ilgu laiku, labāk ir apturēt Filebeats serveros. Shēmā, kurā netiek izmantots RabbitMQ (lokālajā tīklā Filebeat tieši nosūta žurnālus uz Logstash), Filebeats darbojas diezgan pieņemami un droši, tāpēc viņiem izvades nepieejamība paiet bez sekām.

Konfigurācijas piemērs izskatās šādi:

log_web__filebeat_clickhouse.conf

input {
 
    beats {
        port => 5044
        type => 'iis'
        ssl => true
        ssl_certificate_authorities => ["/etc/logstash/certs/ca.cer", "/etc/logstash/certs/ca-issuing.cer"]
        ssl_certificate => "/etc/logstash/certs/server.cer"
        ssl_key => "/etc/logstash/certs/server-pkcs8.key"
        ssl_verify_mode => "peer"
 
            add_field => {
                "fld_server_name" => "%{[fields][fld_server_name]}"
                "fld_app_name" => "%{[fields][fld_app_name]}"
                "fld_app_module" => "%{[fields][fld_app_module]}"
                "fld_website_name" => "%{[fields][fld_website_name]}"
                "fld_log_file_name" => "%{source}"
                "fld_logformat" => "%{[fields][fld_logformat]}"
            }
    }
 
    rabbitmq {
        host => "queue.domain.com"
        port => 5671
        user => "q-reader"
        password => "password"
        queue => "web_log"
        heartbeat => 30
        durable => true
        ssl => true
        #ssl_certificate_path => "/etc/logstash/certs/server.p12"
        #ssl_certificate_password => "password"
 
        add_field => {
            "fld_server_name" => "%{[fields][fld_server_name]}"
            "fld_app_name" => "%{[fields][fld_app_name]}"
            "fld_app_module" => "%{[fields][fld_app_module]}"
            "fld_website_name" => "%{[fields][fld_website_name]}"
            "fld_log_file_name" => "%{source}"
            "fld_logformat" => "%{[fields][fld_logformat]}"
        }
    }
 
}
 
filter { 
 
      if [message] =~ "^#" {
        drop {}
      }
 
      if [fld_logformat] == "logformat__iis_with_xrealip" {
     
          grok {
            match => ["message", "%{TIMESTAMP_ISO8601:log_timestamp} %{IP:serverIP} %{WORD:method} %{NOTSPACE:uriStem} %{NOTSPACE:uriQuery} %{NUMBER:port} %{NOTSPACE:username} %{IPORHOST:clientIP} %{NOTSPACE:userAgent} %{NOTSPACE:referer} %{NUMBER:response} %{NUMBER:subresponse} %{NUMBER:win32response} %{NUMBER:timetaken} %{NOTSPACE:xrealIP} %{NOTSPACE:xforwarderfor}"]
          }
      } else {
   
          grok {
             match => ["message", "%{TIMESTAMP_ISO8601:log_timestamp} %{IP:serverIP} %{WORD:method} %{NOTSPACE:uriStem} %{NOTSPACE:uriQuery} %{NUMBER:port} %{NOTSPACE:username} %{IPORHOST:clientIP} %{NOTSPACE:userAgent} %{NOTSPACE:referer} %{NUMBER:response} %{NUMBER:subresponse} %{NUMBER:win32response} %{NUMBER:timetaken}"]
          }
 
      }
 
      date {
        match => [ "log_timestamp", "YYYY-MM-dd HH:mm:ss" ]
          timezone => "Etc/UTC"
        remove_field => [ "log_timestamp", "@timestamp" ]
        target => [ "log_timestamp2" ]
      }
 
        ruby {
            code => "tstamp = event.get('log_timestamp2').to_i
                        event.set('logdatetime', Time.at(tstamp).strftime('%Y-%m-%d %H:%M:%S'))
                        event.set('logdate', Time.at(tstamp).strftime('%Y-%m-%d'))"
        }
 
      if [bytesSent] {
        ruby {
          code => "event['kilobytesSent'] = event['bytesSent'].to_i / 1024.0"
        }
      }
 
 
      if [bytesReceived] {
        ruby {
          code => "event['kilobytesReceived'] = event['bytesReceived'].to_i / 1024.0"
        }
      }
 
   
        ruby {
            code => "event.set('clientRealIP', event.get('clientIP'))"
        }
        if [xrealIP] {
            ruby {
                code => "event.set('clientRealIP', event.get('xrealIP'))"
            }
        }
        if [xforwarderfor] {
            ruby {
                code => "event.set('clientRealIP', event.get('xforwarderfor'))"
            }
        }
 
      mutate {
        convert => ["bytesSent", "integer"]
        convert => ["bytesReceived", "integer"]
        convert => ["timetaken", "integer"] 
        convert => ["port", "integer"]
 
        add_field => {
            "clientHostname" => "%{clientIP}"
        }
      }
 
        useragent {
            source=> "useragent"
            prefix=> "browser"
        }
 
        kv {
            source => "uriQuery"
            prefix => "uriQuery__"
            allow_duplicate_values => false
            field_split => "&"
            include_keys => [ "utm_medium", "utm_source", "utm_campaign", "utm_term", "utm_content", "yclid", "region" ]
        }
 
        mutate {
            join => { "uriQuery__utm_source" => "," }
            join => { "uriQuery__utm_medium" => "," }
            join => { "uriQuery__utm_campaign" => "," }
            join => { "uriQuery__utm_term" => "," }
            join => { "uriQuery__utm_content" => "," }
            join => { "uriQuery__yclid" => "," }
            join => { "uriQuery__region" => "," }
        }
 
}
 
output { 
  #stdout {codec => rubydebug}
    clickhouse {
      headers => ["Authorization", "Basic abcdsfks..."]
      http_hosts => ["http://127.0.0.1:8123"]
      save_dir => "/etc/logstash/tmp"
      table => "log_web"
      request_tolerance => 1
      flush_size => 10000
      idle_flush_time => 1
        mutations => {
            "fld_log_file_name" => "fld_log_file_name"
            "fld_server_name" => "fld_server_name"
            "fld_app_name" => "fld_app_name"
            "fld_app_module" => "fld_app_module"
            "fld_website_name" => "fld_website_name"
 
            "logdatetime" => "logdatetime"
            "logdate" => "logdate"
            "serverIP" => "serverIP"
            "method" => "method"
            "uriStem" => "uriStem"
            "uriQuery" => "uriQuery"
            "port" => "port"
            "username" => "username"
            "clientIP" => "clientIP"
            "clientRealIP" => "clientRealIP"
            "userAgent" => "userAgent"
            "referer" => "referer"
            "response" => "response"
            "subresponse" => "subresponse"
            "win32response" => "win32response"
            "timetaken" => "timetaken"
             
            "uriQuery__utm_medium" => "uriQuery__utm_medium"
            "uriQuery__utm_source" => "uriQuery__utm_source"
            "uriQuery__utm_campaign" => "uriQuery__utm_campaign"
            "uriQuery__utm_term" => "uriQuery__utm_term"
            "uriQuery__utm_content" => "uriQuery__utm_content"
            "uriQuery__yclid" => "uriQuery__yclid"
            "uriQuery__region" => "uriQuery__region"
        }
    }
 
}

cauruļvadi.yml

# This file is where you define your pipelines. You can define multiple.
# For more information on multiple pipelines, see the documentation:
#   https://www.elastic.co/guide/en/logstash/current/multiple-pipelines.html
 
- pipeline.id: log_web__filebeat_clickhouse
  path.config: "/etc/logstash/log_web__filebeat_clickhouse.conf"

Clickhouse. Baļķu uzglabāšana

Visu sistēmu žurnāli tiek glabāti vienā tabulā (skatiet raksta sākumā). Tas ir paredzēts, lai saglabātu informāciju par pieprasījumiem: visi parametri ir līdzīgi dažādiem formātiem, piemēram, IIS žurnāliem, apache un nginx žurnāliem. Lietojumprogrammu žurnāliem, kuros, piemēram, tiek fiksētas kļūdas, informatīvie ziņojumi, brīdinājumi, tiks nodrošināta atsevišķa tabula ar atbilstošu struktūru (šobrīd projektēšanas stadijā).

Veidojot tabulu, ir ļoti svarīgi izlemt par primāro atslēgu (pēc kuras dati tiks kārtoti uzglabāšanas laikā). No tā ir atkarīga datu saspiešanas pakāpe un vaicājuma ātrums. Mūsu piemērā galvenais ir
ORDER BY (fld_app_name, fld_app_module, logdatetime)
Tas ir, pēc sistēmas nosaukuma, sistēmas komponenta nosaukuma un notikuma datuma. Sākotnēji pirmajā vietā bija notikuma datums. Pārvietojot to uz pēdējo vietu, vaicājumi sāka darboties apmēram divreiz ātrāk. Lai mainītu primāro atslēgu, būs atkārtoti jāizveido tabula un jāielādē dati, lai ClickHouse atkārtoti kārtotu datus diskā. Šī ir smaga darbība, tāpēc ir lietderīgi daudz domāt par to, kas jāiekļauj kārtošanas atslēgā.

Jāpiebilst arī, ka LowCardinality datu tips ir salīdzinoši parādījies jaunākajās versijās. Izmantojot to, saspiesto datu lielums tiek krasi samazināts tiem laukiem, kuriem ir zema kardinalitāte (maz iespēju).

Pašlaik tiek izmantota versija 19.6, un mēs plānojam mēģināt atjaunināt uz jaunāko versiju. Tām ir tādas brīnišķīgas funkcijas kā, piemēram, Adaptive Granularity, Skipping indeksi un DoubleDelta kodeks.

Pēc noklusējuma instalēšanas laikā reģistrēšanas līmenis ir iestatīts uz izsekošanu konfigurācijā. Žurnāli tiek pagriezti un arhivēti, bet tajā pašā laikā tie paplašinās līdz gigabaitam. Ja nav vajadzības, tad var iestatīt brīdinājuma līmeni, tad baļķa izmērs tiek krasi samazināts. Reģistrācijas iestatījums ir iestatīts failā config.xml:

<!-- Possible levels: https://github.com/pocoproject/poco/blob/develop/Foundation/include/Poco/Logger. h#L105 -->
<level>warning</level>

Dažas noderīgas komandas

Поскольку оригинальные пакеты установки собираются по Debian, то для других версий Linux необходимо использовать пакеты собранные компанией Altinity.
 
Вот по этой ссылке есть инструкции с ссылками на их репозиторий: https://www.altinity.com/blog/2017/12/18/logstash-with-clickhouse
sudo yum search clickhouse-server
sudo yum install clickhouse-server.noarch
  
1. проверка статуса
sudo systemctl status clickhouse-server
 
2. остановка сервера
sudo systemctl stop clickhouse-server
 
3. запуск сервера
sudo systemctl start clickhouse-server
 
Запуск для выполнения запросов в многострочном режиме (выполнение после знака ";")
clickhouse-client --multiline
clickhouse-client --multiline --host 127.0.0.1 --password pa55w0rd
clickhouse-client --multiline --host 127.0.0.1 --port 9440 --secure --user default --password pa55w0rd
 
Плагин кликлауза для логстеш в случае ошибки в одной строке сохраняет всю пачку в файл /tmp/log_web_failed.json
Можно вручную исправить этот файл и попробовать залить его в БД вручную:
clickhouse-client --host 127.0.0.1 --password password --query="INSERT INTO log_web FORMAT JSONEachRow" < /tmp/log_web_failed__fixed.json
 
sudo mv /etc/logstash/tmp/log_web_failed.json /etc/logstash/tmp/log_web_failed__fixed.json
sudo chown user_dev /etc/logstash/tmp/log_web_failed__fixed.json
sudo clickhouse-client --host 127.0.0.1 --password password --query="INSERT INTO log_web FORMAT JSONEachRow" < /etc/logstash/tmp/log_web_failed__fixed.json
sudo mv /etc/logstash/tmp/log_web_failed__fixed.json /etc/logstash/tmp/log_web_failed__fixed_.json
 
выход из командной строки
quit;
## Настройка TLS
https://www.altinity.com/blog/2019/3/5/clickhouse-networking-part-2
 
openssl s_client -connect log.domain.com:9440 < /dev/null

logstash. Reģistrējiet maršrutētāju no FileBeat uz RabbitMQ rindu

Šis komponents tiek izmantots, lai maršrutētu žurnālus, kas nāk no FileBeat uz RabbitMQ rindu. Šeit ir divi punkti:

1. Diemžēl FileBeat nav izvades spraudņa, lai rakstītu tieši uz RabbitMQ. Un šāda funkcionalitāte, spriežot pēc problēmas viņu githubā, nav paredzēta ieviešanai. Kafkai ir spraudnis, taču kaut kādu iemeslu dēļ mēs to nevaram izmantot mājās.
2. DMZ ir noteiktas prasības baļķu savākšanai. Pamatojoties uz tiem, žurnāli vispirms jāpievieno rindai un pēc tam LogStash nolasa ierakstus no rindas no ārpuses.

Tāpēc gadījumā, ja serveri atrodas DMZ, ir jāizmanto šāda nedaudz sarežģīta shēma. Konfigurācijas piemērs izskatās šādi:

iis_w3c_logs__filebeat_rabbitmq.conf

input {
 
    beats {
        port => 5044
        type => 'iis'
        ssl => true
        ssl_certificate_authorities => ["/etc/pki/tls/certs/app/ca.pem", "/etc/pki/tls/certs/app/ca-issuing.pem"]
        ssl_certificate => "/etc/pki/tls/certs/app/queue.domain.com.cer"
        ssl_key => "/etc/pki/tls/certs/app/queue.domain.com-pkcs8.key"
        ssl_verify_mode => "peer"
    }
 
}
 
output { 
  #stdout {codec => rubydebug}
 
    rabbitmq {
        host => "127.0.0.1"
        port => 5672
        exchange => "monitor.direct"
        exchange_type => "direct"
        key => "%{[fields][fld_app_name]}"
        user => "q-writer"
        password => "password"
        ssl => false
    }
}

RabbitMQ. ziņojumu rinda

Šis komponents tiek izmantots, lai buferētu žurnāla ierakstus DMZ. Ierakstīšana tiek veikta, izmantojot virkni Filebeat → LogStash. Lasīšana tiek veikta ārpus DMZ, izmantojot LogStash. Darbojoties ar RabboitMQ, tiek apstrādāti aptuveni 4 tūkstoši ziņojumu sekundē.

Ziņojumu maršrutēšana tiek konfigurēta pēc sistēmas nosaukuma, t.i., pamatojoties uz FileBeat konfigurācijas datiem. Visi ziņojumi nonāk vienā rindā. Ja kāda iemesla dēļ rindas pakalpojums tiek apturēts, tas neizraisīs ziņojumu zudumu: FileBeats saņems savienojuma kļūdas un uz laiku aptur sūtīšanu. Un LogStash, kas nolasa no rindas, arī saņems tīkla kļūdas un gaidīs, kad savienojums tiks atjaunots. Šajā gadījumā dati, protams, vairs netiks ierakstīti datu bāzē.

Lai izveidotu un konfigurētu rindas, tiek izmantoti šādi norādījumi:

sudo /usr/local/bin/rabbitmqadmin/rabbitmqadmin declare exchange --vhost=/ name=monitor.direct type=direct sudo /usr/local/bin/rabbitmqadmin/rabbitmqadmin declare queue --vhost=/ name=web_log durable=true
sudo /usr/local/bin/rabbitmqadmin/rabbitmqadmin --vhost="/" declare binding source="monitor.direct" destination_type="queue" destination="web_log" routing_key="site1.domain.ru"
sudo /usr/local/bin/rabbitmqadmin/rabbitmqadmin --vhost="/" declare binding source="monitor.direct" destination_type="queue" destination="web_log" routing_key="site2.domain.ru"

Grafana. Informācijas paneļi

Šo komponentu izmanto, lai vizualizētu uzraudzības datus. Šajā gadījumā jums jāinstalē ClickHouse datu avots Grafana 4.6+ spraudnim. Mums tas bija nedaudz jāpielāgo, lai uzlabotu SQL filtru apstrādes efektivitāti informācijas panelī.

Piemēram, mēs izmantojam mainīgos, un, ja tie nav iestatīti filtra laukā, mēs vēlamies, lai tas neģenerētu nosacījumu formas WHERE ( uriStem = » UN uriStem != » ). Šajā gadījumā ClickHouse nolasīs kolonnu uriStem. Kopumā mēs izmēģinājām dažādas iespējas un galu galā izlabojām spraudni (makro $valueIfEmpty), lai tukšas vērtības gadījumā tas atgrieztu 1, neminot pašu kolonnu.

Un tagad jūs varat izmantot šo vaicājumu diagrammai

$columns(response, count(*) c) from $table where $adhoc
and $valueIfEmpty($fld_app_name, 1, fld_app_name = '$fld_app_name')
and $valueIfEmpty($fld_app_module, 1, fld_app_module = '$fld_app_module') and $valueIfEmpty($fld_server_name, 1, fld_server_name = '$fld_server_name') and $valueIfEmpty($uriStem, 1, uriStem like '%$uriStem%')
and $valueIfEmpty($clientRealIP, 1, clientRealIP = '$clientRealIP')

kas nozīmē šo SQL (ņemiet vērā, ka tukšie uriStem lauki ir pārveidoti tikai par 1)

SELECT
t,
groupArray((response, c)) AS groupArr
FROM (
SELECT
(intDiv(toUInt32(logdatetime), 60) * 60) * 1000 AS t, response,
count(*) AS c FROM default.log_web
WHERE (logdate >= toDate(1565061982)) AND (logdatetime >= toDateTime(1565061982)) AND 1 AND (fld_app_name = 'site1.domain.ru') AND (fld_app_module = 'web') AND 1 AND 1 AND 1
GROUP BY
t, response
ORDER BY
t ASC,
response ASC
)
GROUP BY t ORDER BY t ASC

Secinājums

ClickHouse datu bāzes parādīšanās ir kļuvusi par nozīmīgu notikumu tirgū. Bija grūti iedomāties, ka pilnīgi bez maksas vienā mirklī bijām bruņoti ar jaudīgu un praktisku rīku darbam ar lielajiem datiem. Protams, pieaugot vajadzībām (piemēram, sadalīšana un replikācija uz vairākiem serveriem), shēma kļūs sarežģītāka. Bet pēc pirmajiem iespaidiem darbs ar šo datubāzi ir ļoti patīkams. Var redzēt, ka produkts ir radīts "cilvēkiem".

Salīdzinot ar ElasticSearch, tiek lēsts, ka žurnālu glabāšanas un apstrādes izmaksas samazināsies piecas līdz desmit reizes. Proti, ja pie pašreizējā datu apjoma mums būtu jāizveido vairāku mašīnu klasteris, tad, izmantojot ClickHouse, mums pietiek ar vienu mazjaudas mašīnu. Jā, protams, ElasticSearch ir arī diska datu saspiešanas mehānismi un citas iespējas, kas var būtiski samazināt resursu patēriņu, taču, salīdzinot ar ClickHouse, tas izmaksās dārgāk.

Bez īpašas optimizācijas no mūsu puses, pēc noklusējuma iestatījumiem datu ielāde un atlase no datu bāzes darbojas pārsteidzošā ātrumā. Mums vēl nav daudz datu (apmēram 200 miljoni ierakstu), bet pats serveris ir vājš. Šo rīku nākotnē varēsim izmantot citiem mērķiem, kas nav saistīti ar žurnālu glabāšanu. Piemēram, pilnīgai analīzei drošības jomā, mašīnmācībai.

Nobeigumā nedaudz par plusiem un mīnusiem.

Mīnusi

1. Ierakstu ielāde lielās partijās. No vienas puses, tā ir funkcija, taču ierakstu buferēšanai joprojām ir jāizmanto papildu komponenti. Šis uzdevums ne vienmēr ir viegls, bet tomēr atrisināms. Un es gribētu vienkāršot shēmu.
2. Dažas eksotiskas funkcijas vai jaunas funkcijas bieži sabojājas jaunās versijās. Tas rada bažas, samazinot vēlmi jaunināt uz jaunu versiju. Piemēram, Kafka tabulas dzinējs ir ļoti noderīga funkcija, kas ļauj tieši lasīt notikumus no Kafka, neieviešot patērētājus. Bet, spriežot pēc github problēmu skaita, mēs joprojām esam uzmanīgi, lai neizmantotu šo dzinēju ražošanā. Taču, ja neveicat pēkšņus žestus uz sāniem un izmantojat galveno funkcionalitāti, tad tas darbojas stabili.

Plusi

1. Nebremzē.
2. Zems ieejas slieksnis.
3. Atvērtais avots.
4. Bezmaksas.
5. Labi mērogojas (sadalīšana/replicēšana no iepakojuma)
6. Iekļauts Sakaru ministrijas ieteiktajā Krievijas programmatūras reģistrā.
7. Oficiālā atbalsta klātbūtne no Yandex.

Avots: www.habr.com