fampidirana
Nandritra ny fametrahana rafitra iray hafa, dia niatrika ny filana ny fanodinana logs maro samihafa izahay. ELK no voafidy ho fitaovana. Ity lahatsoratra ity dia hiresaka momba ny traikefantsika amin'ny fametrahana an'io stack io.
Tsy mametraka tanjona hamaritana ny fahaizany rehetra izahay, fa te hifantoka manokana amin'ny famahana olana azo ampiharina. Izany dia noho ny zava-misy fa na dia betsaka aza ny antontan-taratasy sy sary efa vita dia betsaka ny fandrika, fara faharatsiny, hitanay.
Nametraka ny stack tamin'ny alàlan'ny docker-compose izahay. Fanampin'izay, nanana docker-compose.yml nosoratana tsara izahay, izay nahafahan'ny nanangana ny stack saika tsy nisy olana. Ary hitanay fa efa akaiky ny fandresena, ankehitriny dia asianay kely hifanaraka amin'ny filanay ary dia izay.
Indrisy anefa fa tsy nahomby avy hatrany ny fikasana hanitsy ny rafitra handraisana sy hikarakarana ny logs avy amin'ny fampiharanay. Noho izany, nanapa-kevitra izahay fa ilaina ny mianatra misaraka ny singa tsirairay, ary avy eo miverina amin'ny fifandraisany.
Noho izany, nanomboka tamin'ny logstash izahay.
Tontolo iainana, fametrahana, fampandehanana Logstash ao anaty container
Ho an'ny fametrahana dia mampiasa docker-compose izahay;
Ny sary logstash izay voasoratra ao amin'ny docker-compose.yml tany am-boalohany dia docker.elastic.co/logstash/logstash:6.3.2
Hampiasainay hanaovana andrana.
Nanoratra docker-compose.yml misaraka izahay mba hampandehanana logstash. Mazava ho azy fa azo atao ny manomboka ny sary avy amin'ny baikon'ny baiko, saingy namaha olana manokana izahay, izay anaovanay ny zava-drehetra avy amin'ny docker-compose.
Fohy momba ny fichier configuration
Toy izao manaraka izao avy amin'ny famaritana, logstash dia azo atao na ho an'ny fantsona iray, amin'izay dia mila mandalo ny *.conf rakitra, na ho an'ny fantsona maromaro, ary amin'izay dia mila mandalo ny pipelines.yml rakitra, izay, indray mandeha. , dia hifandray amin'ny rakitra .conf ho an'ny fantsona tsirairay.
Nizotra tamin’ny lalana faharoa izahay. Toy ny mahazatra kokoa sy azo scalable ho anay izany. Noho izany, namorona pipelines.yml izahay, ary nanao lahatahiry pipelines izay hametrahana rakitra .conf ho an'ny fantsona tsirairay.
Ao anatin'ilay fitoeran-javatra dia misy rakitra fanamafisana hafa - logstash.yml. Tsy mikasika azy izahay fa mampiasa azy araka ny tokony ho izy.
Noho izany, ny rafitry ny lahatahiry:
Mba hahazoana angon-drakitra fidirana, amin'izao fotoana izao dia heverinay fa tcp amin'ny port 5046 izany, ary ho an'ny vokatra dia hampiasa stdout.
Ity misy fanamafisam-peo tsotra ho an'ny fandefasana voalohany. Satria ny asa voalohany dia ny manomboka.
Noho izany, manana ity docker-compose.yml ity izahay
version: '3'
networks:
elk:
volumes:
elasticsearch:
driver: local
services:
logstash:
container_name: logstash_one_channel
image: docker.elastic.co/logstash/logstash:6.3.2
networks:
- elk
ports:
- 5046:5046
volumes:
- ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
- ./config/pipelines:/usr/share/logstash/config/pipelines:ro
Inona no hitantsika eto?
- Ny tambajotra sy ny boky dia nalaina avy amin'ny docker-compose.yml tany am-boalohany (ilay iray nanombohana ny stack manontolo) ary heveriko fa tsy misy fiantraikany be amin'ny sary ankapobeny eto izany.
- Mamorona serivisy logstash iray avy amin'ny docker.elastic.co/logstash/logstash:6.3.2 sary izahay ary nomena anarana hoe logstash_one_channel.
- Mandefa port 5046 ao anatin'ilay kaontenera mankany amin'ny seranana anatiny mitovy izahay.
- Sarintany ny fichier configuration pipe ./config/pipelines.yml amin'ny fichier /usr/share/logstash/config/pipelines.yml ao anatin'ilay fitoeran-javatra, izay haka azy io ny logstash ary hanao azy ho vakiana fotsiny, raha sanatria.
- Sarintany ao amin'ny lahatahiry /usr/share/logstash/config/pipelines ny lahatahiry ./config/pipelines, izay ananantsika rakitra misy firafitry ny fantsona ary ataontsika vakina ihany koa.
Pipelines.yml rakitra
- pipeline.id: HABR
pipeline.workers: 1
pipeline.batch.size: 1
path.config: "./config/pipelines/habr_pipeline.conf"
Fantsona iray miaraka amin'ny famantarana HABR sy ny lalana mankany amin'ny fichier configuration dia voalaza eto.
Ary farany ny rakitra "./config/pipelines/habr_pipeline.conf"
input {
tcp {
port => "5046"
}
}
filter {
mutate {
add_field => [ "habra_field", "Hello Habr" ]
}
}
output {
stdout {
}
}
Aoka isika tsy hiditra amin'ny famaritana azy amin'izao fotoana izao, andeha hojerentsika:
docker-compose up
Inona no hitantsika?
Nanomboka ny kaontenera. Afaka manamarina ny fiasan'izy io isika:
echo '13123123123123123123123213123213' | nc localhost 5046
Ary hitantsika ny valiny ao amin'ny console container:
Saingy miaraka amin'izay koa isika dia mahita:
logstash_one_channel | [2019-04-29T11:28:59,790][ERROR][logstash.licensechecker.licensereader] Tsy afaka maka fampahalalana momba ny fahazoan-dàlana avy amin'ny mpizara fahazoan-dàlana {:message=>“Elasticsearch Unreachable: [http://elasticsearch:9200/][Manticore ::ResolutionFailure] elasticsearch", ...
logstash_one_channel | [2019-04-29T11:28:59,894][INFO ][logstash.pipeline ] Natomboka soa aman-tsara ny fantsona {:pipeline_id=>".monitoring-logstash", :thread=>"# "}
logstash_one_channel | [2019-04-29T11:28:59,988][INFO ][logstash.agent ] Pipelines mandeha {:count=>2, :running_pipelines=>[:HABR, :".monitoring-logstash"], :non_running_pipelines=>[ ]}
logstash_one_channel | [2019-04-29T11:29:00,015][ERROR][logstash.inputs.metrics] X-Pack dia napetraka ao amin'ny Logstash fa tsy amin'ny Elasticsearch. Azafady asio X-Pack amin'ny Elasticsearch hampiasa ny endri-panaraha-maso. Mety misy endri-javatra hafa.
logstash_one_channel | [2019-04-29T11:29:00,526][INFO ][logstash.agent ] Vita soa aman-tsara ny Logstash API endpoint {:port=>9600}
logstash_one_channel | [2019-04-29T11:29:04,478][INFO ][logstash.outputs.elasticsearch] Manao fitsirihana ara-pahasalamana hahitana raha mandeha ny fifandraisana Elasticsearch {:healthcheck_url=>http://elasticsearch:9200/, :path=> "/"}
logstash_one_channel | [2019-04-29T11:29:04,487][WARN] [logstash.outputs.elasticsearch] Nanandrana nanangana fifandraisana tamin'ny ohatra ES maty, saingy nisy hadisoana. {:url =>":9200/", :error_type=>LogStash::Outputs::ElasticSearch::HttpClient::Pool::HostUnreachableError, :error=>"Elasticsearch Unreachable: [http://elasticsearch:9200/][Manticore::ResolutionFailure] elasticsearch"}
logstash_one_channel | [2019-04-29T11:29:04,704][INFO ][logstash.licensechecker.licensereader] Manao fitsirihana ara-pahasalamana hahitana raha mandeha ny fifandraisana Elasticsearch {:healthcheck_url=>http://elasticsearch:9200/, :path=> "/"}
logstash_one_channel | [2019-04-29T11:29:04,710][WARN][logstash.licensechecker.licensereader] Nanandrana namerina ny fifandraisana tamin'ny ohatra ES maty, saingy nisy hadisoana. {:url =>":9200/", :error_type=>LogStash::Outputs::ElasticSearch::HttpClient::Pool::HostUnreachableError, :error=>"Elasticsearch Unreachable: [http://elasticsearch:9200/][Manticore::ResolutionFailure] elasticsearch"}
Ary ny dianay dia mandady amin'ny fotoana rehetra.
Eto aho dia nanasongadina tamin'ny maitso ny hafatra fa natomboka tamim-pahombiazana ny fantsona, mena ny hafatra diso ary amin'ny mavo ny hafatra momba ny fikasana hifandray. : 9200.
Mitranga izany satria ny logstash.conf, tafiditra ao amin'ny sary, dia misy fanamarinana ny fisian'ny elasticsearch. Rehefa dinihina tokoa, ny logstash dia mihevitra fa miasa amin'ny ampahany amin'ny stack Elk izy, saingy nosarahinay.
Azo atao ny miasa, saingy tsy mety.
Ny vahaolana dia ny manafoana ity fanamarinana ity amin'ny alàlan'ny fari-piainana XPACK_MONITORING_ENABLED.
Andao hanao fanovana amin'ny docker-compose.yml ary hamerina azy indray:
version: '3'
networks:
elk:
volumes:
elasticsearch:
driver: local
services:
logstash:
container_name: logstash_one_channel
image: docker.elastic.co/logstash/logstash:6.3.2
networks:
- elk
environment:
XPACK_MONITORING_ENABLED: "false"
ports:
- 5046:5046
volumes:
- ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
- ./config/pipelines:/usr/share/logstash/config/pipelines:ro
Ankehitriny, milamina ny zava-drehetra. Efa vonona amin'ny andrana ny kaontenera.
Afaka manoratra indray amin'ny console manaraka isika:
echo '13123123123123123123123213123213' | nc localhost 5046
Ary jereo:
logstash_one_channel | {
logstash_one_channel | "message" => "13123123123123123123123213123213",
logstash_one_channel | "@timestamp" => 2019-04-29T11:43:44.582Z,
logstash_one_channel | "@version" => "1",
logstash_one_channel | "habra_field" => "Hello Habr",
logstash_one_channel | "host" => "gateway",
logstash_one_channel | "port" => 49418
logstash_one_channel | }
Miasa ao anatin'ny fantsona iray
Noho izany dia nanomboka. Ankehitriny dia afaka maka fotoana ianao handrindrana ny logstash. Aoka tsy hikasika ny fisie pipelines.yml isika izao, hojerentsika izay ho azontsika amin'ny fiaraha-miasa amin'ny fantsona iray.
Tsy maintsy milaza aho fa ny fitsipika ankapobeny amin'ny fiasana amin'ny fisie fanamafisana ny fantsona dia voafaritra tsara ao amin'ny boky ofisialy, eto
Raha te hamaky amin'ny teny Rosiana ianao dia nampiasa ity iray ity izahay (fa ny syntax query any dia efa antitra, mila raisina an-tsaina izany).
Andeha hojerentsika avy amin'ny fizarana Input. Efa nahita asa momba ny TCP izahay. Inona koa no mety hahaliana eto?
Andrana hafatra amin'ny fampiasana fitepon'ny fo
Misy fahafahana mahaliana toy izany hamoronana hafatra fitsapana mandeha ho azy.
Mba hanaovana izany dia mila mamela ny plugin heartbean ianao ao amin'ny fizarana fampidirana.
input {
heartbeat {
message => "HeartBeat!"
}
}
Avereno izany, manomboka mandray indray mandeha isa-minitra
logstash_one_channel | {
logstash_one_channel | "@timestamp" => 2019-04-29T13:52:04.567Z,
logstash_one_channel | "habra_field" => "Hello Habr",
logstash_one_channel | "message" => "HeartBeat!",
logstash_one_channel | "@version" => "1",
logstash_one_channel | "host" => "a0667e5c57ec"
logstash_one_channel | }
Raha te-hahazo matetika kokoa isika dia mila ampiana ny paramètre intervale.
Toy izany no handraisana hafatra isaky ny 10 segondra.
input {
heartbeat {
message => "HeartBeat!"
interval => 10
}
}
Maka angona avy amin'ny rakitra
Nanapa-kevitra ny hijery ny fomba fichier koa izahay. Raha miasa tsara amin'ny rakitra izany, dia mety tsy ilaina ny mpandraharaha, farafaharatsiny ho an'ny fampiasana eo an-toerana.
Araka ny famaritana, ny fomba fiasa dia tokony hitovy amin'ny rambony -f, i.e. mamaky andalana vaovao na, toy ny safidy, mamaky ny rakitra manontolo.
Ka ny tiana ho azo:
- Te-hahazo andalana izay ampiarahina amin'ny rakitra log iray izahay.
- Te-hahazo angon-drakitra voasoratra amin'ny rakitra lozisialy maromaro izahay, sady afaka manasaraka izay azo avy aiza.
- Tianay ho azo antoka fa rehefa averina indray ny logstash dia tsy mahazo ity data ity intsony izy.
- Te-hanamarina izahay fa raha toa ka tapaka ny logstash, ary mitohy ny fanoratana amin'ny rakitra ny data, dia horaisinay izany data izany rehefa mihazakazaka izany.
Mba hanaovana ilay andrana, andeha isika hanampy andalana hafa amin'ny docker-compose.yml, hanokafana ny lahatahiry izay ametrahanay ireo rakitra.
version: '3'
networks:
elk:
volumes:
elasticsearch:
driver: local
services:
logstash:
container_name: logstash_one_channel
image: docker.elastic.co/logstash/logstash:6.3.2
networks:
- elk
environment:
XPACK_MONITORING_ENABLED: "false"
ports:
- 5046:5046
volumes:
- ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
- ./config/pipelines:/usr/share/logstash/config/pipelines:ro
- ./logs:/usr/share/logstash/input
Ary ovay ny fizarana fampidirana ao amin'ny habr_pipeline.conf
input {
file {
path => "/usr/share/logstash/input/*.log"
}
}
Andeha isika hanomboka:
docker-compose up
Mba hamoronana sy hanoratana rakitra log dia hampiasa ny baiko izahay:
echo '1' >> logs/number1.log
{
logstash_one_channel | "host" => "ac2d4e3ef70f",
logstash_one_channel | "habra_field" => "Hello Habr",
logstash_one_channel | "@timestamp" => 2019-04-29T14:28:53.876Z,
logstash_one_channel | "@version" => "1",
logstash_one_channel | "message" => "1",
logstash_one_channel | "path" => "/usr/share/logstash/input/number1.log"
logstash_one_channel | }
Eny, mandaitra izany!
Amin'izay fotoana izay ihany koa dia hitantsika fa nampidirinay ho azy ny saha lalana. Midika izany fa amin'ny ho avy dia ho afaka hanivana ireo rakitra amin'ny alalan'izany isika.
Andeha indray isika:
echo '2' >> logs/number1.log
{
logstash_one_channel | "host" => "ac2d4e3ef70f",
logstash_one_channel | "habra_field" => "Hello Habr",
logstash_one_channel | "@timestamp" => 2019-04-29T14:28:59.906Z,
logstash_one_channel | "@version" => "1",
logstash_one_channel | "message" => "2",
logstash_one_channel | "path" => "/usr/share/logstash/input/number1.log"
logstash_one_channel | }
Ary izao amin'ny rakitra iray hafa:
echo '1' >> logs/number2.log
{
logstash_one_channel | "host" => "ac2d4e3ef70f",
logstash_one_channel | "habra_field" => "Hello Habr",
logstash_one_channel | "@timestamp" => 2019-04-29T14:29:26.061Z,
logstash_one_channel | "@version" => "1",
logstash_one_channel | "message" => "1",
logstash_one_channel | "path" => "/usr/share/logstash/input/number2.log"
logstash_one_channel | }
Mahafinaritra! Noraisina ny rakitra, voafaritra tsara ny lalana, milamina ny zava-drehetra.
Atsaharo ny logstash ary manomboka indray. Andraso aloha. Mangina. Ireo. Tsy mahazo ireo firaketana ireo indray izahay.
Ary ankehitriny ny fanandramana sahy indrindra.
Mametraka logstash ary manatanteraka:
echo '3' >> logs/number2.log
echo '4' >> logs/number1.log
Alefaso indray ny logstash ary jereo:
logstash_one_channel | {
logstash_one_channel | "host" => "ac2d4e3ef70f",
logstash_one_channel | "habra_field" => "Hello Habr",
logstash_one_channel | "message" => "3",
logstash_one_channel | "@version" => "1",
logstash_one_channel | "path" => "/usr/share/logstash/input/number2.log",
logstash_one_channel | "@timestamp" => 2019-04-29T14:48:50.589Z
logstash_one_channel | }
logstash_one_channel | {
logstash_one_channel | "host" => "ac2d4e3ef70f",
logstash_one_channel | "habra_field" => "Hello Habr",
logstash_one_channel | "message" => "4",
logstash_one_channel | "@version" => "1",
logstash_one_channel | "path" => "/usr/share/logstash/input/number1.log",
logstash_one_channel | "@timestamp" => 2019-04-29T14:48:50.856Z
logstash_one_channel | }
Hooray! Noraisina ny zava-drehetra.
Saingy tsy maintsy mampitandrina anao izahay momba ireto manaraka ireto. Raha voafafa ny kaontenera logstash (docker stop logstash_one_channel && docker rm logstash_one_channel), dia tsy misy azo alaina. Ny toeran'ny rakitra hatramin'ny namakiany azy dia voatahiry ao anaty fitoeran-javatra. Raha fehezinao hatrany am-boalohany dia tsipika vaovao ihany no hanaiky azy.
Mamaky ny rakitra efa misy
Andao atao hoe sambany vao manomboka ny logstash, saingy efa manana logs izahay ary te-hikarakara azy ireo.
Raha mihazakazaka logstash miaraka amin'ny fizarana fampidirana izay nampiasainay etsy ambony izahay dia tsy hahazo na inona na inona. Ny tsipika vaovao ihany no hokarakarain'ny logstash.
Mba hisintonana andalana avy amin'ny rakitra efa misy dia tokony hampiditra tsipika fanampiny amin'ny fizarana fampidirana ianao:
input {
file {
start_position => "beginning"
path => "/usr/share/logstash/input/*.log"
}
}
Ankoatra izany, misy ny nuance: misy fiantraikany amin'ny rakitra vaovao izay mbola tsy hitan'ny logstash. Ho an'ireo rakitra izay efa teo amin'ny sehatry ny fijerena ny logstash, dia efa nahatsiaro ny habeny izy ary izao dia tsy handray afa-tsy fidirana vaovao ao aminy.
Andao hijanona eto ary handalina ny fizarana fampidirana. Mbola misy safidy maro, saingy ampy ho antsika izany amin'ny fanandramana fanampiny amin'izao fotoana izao.
Routing sy ny fanovana angona
Andao hiezaka hamaha ity olana manaraka ity, andao atao hoe manana hafatra avy amin'ny fantsona iray isika, ny sasany amin'izy ireo dia fampahalalana, ary ny sasany dia hafatra diso. Tsy mitovy amin'ny tag izy ireo. Ny sasany dia INFO, ny hafa dia ERROR.
Mila manasaraka azy ireo isika amin'ny fivoahana. Ireo. Manoratra hafatra fampahalalana izahay amin'ny fantsona iray, ary hafatra diso amin'ny hafa.
Mba hanaovana izany, miala amin'ny fizarana fampidirana mankany amin'ny sivana sy ny famoahana.
Amin'ny fampiasana ny fizarana sivana, dia hamakafaka ny hafatra ho avy isika, hahazoany hash (paoram-bidy manan-danja) avy aminy, izay efa azontsika iaraha-miasa, i.e. disassemble araka ny fepetra. Ary ao amin'ny fizarana famoahana dia hifidy hafatra isika ary handefa ny tsirairay amin'ny fantsona misy azy.
Mamadika hafatra amin'ny grok
Mba hamaritana ny tady lahatsoratra sy hahazoana sehatra maromaro avy amin'izy ireo, dia misy plugin manokana ao amin'ny fizarana sivana - grok.
Raha tsy mametraka ny tenako ny tanjona dia ny hanome famaritana amin'ny antsipiriany momba izany eto (izany no resahiko ), Hanome ohatra tsotra aho.
Mba hanaovana izany dia mila manapa-kevitra amin'ny endriky ny tady fampidirana ianao. Manana azy ireo toy izao aho:
1 Hafatra INFO1
2 Hafatra ERROR2
Ireo. Ny famantarana dia tonga aloha, avy eo INFO/ERROR, avy eo ny teny sasany tsy misy toerana.
Tsy sarotra izany, fa ampy ny mahatakatra ny fitsipiky ny asa.
Noho izany, ao amin'ny fizarana sivana amin'ny plugin grok, dia tsy maintsy mamaritra ny lamina amin'ny fanaparitahana ny tadintsika isika.
Ho toy izao izany:
filter {
grok {
match => { "message" => ["%{INT:message_id} %{LOGLEVEL:message_type} %{WORD:message_text}"] }
}
}
Amin'ny ankapobeny dia fomba fiteny mahazatra izany. Ny lamina efa vita dia ampiasaina, toy ny INT, LOGLEVEL, WORD. Ny famaritana azy ireo, ary koa ny lamina hafa, dia azo jerena eto
Ankehitriny, rehefa mandalo an'io sivana io, dia hivadika ho hash misy saha telo ny tadintsika: message_id, message_type, message_text.
Izy ireo dia haseho ao amin'ny fizarana vokatra.
Mandeha hafatra mankany amin'ny fizarana vokatra amin'ny alàlan'ny baiko if
Ao amin'ny fizarana famoahana, araka ny tsaroantsika, dia hozarainay amin'ny renirano roa ireo hafatra. Ny sasany - izay iNFO, dia havoaka amin'ny console, ary miaraka amin'ny hadisoana dia hamoaka rakitra iray izahay.
Ahoana no hanavahana ireo hafatra ireo? Ny toetry ny olana dia efa manolotra vahaolana - na izany aza, efa manana saha manokana message_type isika, izay tsy afaka maka sanda roa ihany: INFO sy ERROR. Amin'io fototra io no hanaovantsika safidy amin'ny fampiasana ny fanambarana if.
if [message_type] == "ERROR" {
# Здесь выводим в файл
} else
{
# Здесь выводим в stdout
}
Ny famaritana ny fiaraha-miasa amin'ny saha sy ny mpandraharaha dia azo jerena ato amin'ity fizarana ity .
Ankehitriny, momba ny tena fehin-kevitra mihitsy.
Output Console, mazava ny zava-drehetra eto - stdout {}
Fa ny vokatra ho an'ny rakitra iray - tadidio fa mihazakazaka izany rehetra izany avy amin'ny kaontenera ary mba hahafahan'ilay rakitra anoratantsika ny valiny ho azo avy any ivelany, dia mila manokatra ity lahatahiry ity amin'ny docker-compose.yml.
Total:
Toy izao ny fizarana mivoaka amin'ny rakitray:
output {
if [message_type] == "ERROR" {
file {
path => "/usr/share/logstash/output/test.log"
codec => line { format => "custom format: %{message}"}
}
} else
{stdout {
}
}
}
Ao amin'ny docker-compose.yml dia manampy boky hafa ho an'ny famoahana izahay:
version: '3'
networks:
elk:
volumes:
elasticsearch:
driver: local
services:
logstash:
container_name: logstash_one_channel
image: docker.elastic.co/logstash/logstash:6.3.2
networks:
- elk
environment:
XPACK_MONITORING_ENABLED: "false"
ports:
- 5046:5046
volumes:
- ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
- ./config/pipelines:/usr/share/logstash/config/pipelines:ro
- ./logs:/usr/share/logstash/input
- ./output:/usr/share/logstash/output
Mandeha izany izahay, andramo ary mahita fizarana roa.
Source: www.habr.com