ഒരു സിസ്റ്റം ലോഗ് കളക്ടറായി ഡോക്കറിലെ സ്പ്ലങ്ക് യൂണിവേഴ്സൽ ഫോർവേഡർ

ഏറ്റവും തിരിച്ചറിയാവുന്ന വാണിജ്യ ലോഗ് ശേഖരണവും വിശകലന ഉൽപ്പന്നങ്ങളും ഒന്നാണ് സ്പ്ലങ്ക്. ഇപ്പോൾ പോലും, റഷ്യയിൽ വിൽപ്പന നടക്കാത്തപ്പോൾ, ഈ ഉൽപ്പന്നത്തിന് നിർദ്ദേശങ്ങൾ/എങ്ങനെ-എങ്ങനെ എഴുതണം എന്നതിന് ഇത് ഒരു കാരണമല്ല.

ലക്ഷ്യം: ഹോസ്റ്റ് മെഷീൻ കോൺഫിഗറേഷൻ മാറ്റാതെ സ്പ്ലങ്കിലെ ഡോക്കർ നോഡുകളിൽ നിന്ന് സിസ്റ്റം ലോഗുകൾ ശേഖരിക്കുക

ഡോക്കർ ഉപയോഗിക്കുമ്പോൾ അൽപ്പം വിചിത്രമായി തോന്നുന്ന ഔദ്യോഗിക സമീപനത്തിൽ നിന്ന് ആരംഭിക്കാൻ ഞാൻ ആഗ്രഹിക്കുന്നു.
ഡോക്കർ ഹബ്ബിലേക്കുള്ള ലിങ്ക്
നമുക്ക് എന്താണ് ഉള്ളത്:

1. പുള്ളിം ചിത്രം

$ docker pull splunk/universalforwarder:latest

2. ആവശ്യമായ പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് കണ്ടെയ്നർ ആരംഭിക്കുക

$ docker run -d  -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=<password>' splunk/universalforwarder:latest

3. ഞങ്ങൾ കണ്ടെയ്നറിലേക്ക് പോകുന്നു

docker exec -it <container-id> /bin/bash

അടുത്തതായി, ഡോക്യുമെന്റേഷനിലെ അറിയപ്പെടുന്ന വിലാസത്തിലേക്ക് പോകാൻ ഞങ്ങളോട് ആവശ്യപ്പെടുന്നു.

കണ്ടെയ്നർ ആരംഭിച്ചതിന് ശേഷം കോൺഫിഗർ ചെയ്യുക:

./splunk add forward-server <host name or ip address>:<listening port>
./splunk add monitor /var/log
./splunk restart

കാത്തിരിക്കൂ. എന്ത്?

എന്നാൽ ആശ്ചര്യങ്ങൾ അവിടെ അവസാനിക്കുന്നില്ല. നിങ്ങൾ ഇന്ററാക്ടീവ് മോഡിൽ ഔദ്യോഗിക ഇമേജിൽ നിന്ന് കണ്ടെയ്നർ പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, നിങ്ങൾ ഇനിപ്പറയുന്നവ കാണും:

അൽപ്പം നിരാശ

$ docker run -it -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=password' splunk/universalforwarder:latest

PLAY [Run default Splunk provisioning] *******************************************************************************************************************************************************************************************************
Tuesday 09 April 2019  13:40:38 +0000 (0:00:00.096)       0:00:00.096 *********

TASK [Gathering Facts] ***********************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:39 +0000 (0:00:01.520)       0:00:01.616 *********

TASK [Get actual hostname] *******************************************************************************************************************************************************************************************************************
changed: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.599)       0:00:02.215 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.054)       0:00:02.270 *********

TASK [set_fact] ******************************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.075)       0:00:02.346 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.067)       0:00:02.413 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.060)       0:00:02.473 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.051)       0:00:02.525 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.056)       0:00:02.582 *********
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.216)       0:00:02.798 *********
included: /opt/ansible/roles/splunk_common/tasks/change_splunk_directory_owner.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.087)       0:00:02.886 *********

TASK [splunk_common : Update Splunk directory owner] *****************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.324)       0:00:03.210 *********
included: /opt/ansible/roles/splunk_common/tasks/get_facts.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.094)       0:00:03.305 *********

ну и так далее...

കൊള്ളാം. ചിത്രത്തിൽ ഒരു പുരാവസ്തു പോലും അടങ്ങിയിട്ടില്ല. അതായത്, നിങ്ങൾ ആരംഭിക്കുന്ന ഓരോ തവണയും ബൈനറികൾ ഉപയോഗിച്ച് ആർക്കൈവ് ഡൗൺലോഡ് ചെയ്യാനും അൺപാക്ക് ചെയ്യാനും കോൺഫിഗർ ചെയ്യാനും സമയമെടുക്കും.
ഡോക്കർ-വേയും അതെല്ലാം സംബന്ധിച്ചെന്ത്?

വേണ്ട, നന്ദി. ഞങ്ങൾ മറ്റൊരു വഴി സ്വീകരിക്കും. ഈ പ്രവർത്തനങ്ങളെല്ലാം ഞങ്ങൾ അസംബ്ലി ഘട്ടത്തിൽ നടത്തിയാലോ? എങ്കിൽ നമുക്ക് പോകാം!

അധികം താമസിക്കാതിരിക്കാൻ, അന്തിമ ചിത്രം ഉടൻ തന്നെ ഞാൻ നിങ്ങൾക്ക് കാണിച്ചുതരാം:

Dockerfile

# Тут у кого какие предпочтения
FROM centos:7

# Задаём переменные, чтобы каждый раз при старте не указывать их
ENV SPLUNK_HOME /splunkforwarder
ENV SPLUNK_ROLE splunk_heavy_forwarder
ENV SPLUNK_PASSWORD changeme
ENV SPLUNK_START_ARGS --accept-license

# Ставим пакеты
# wget - чтобы скачать артефакты
# expect - понадобится для первоначального запуска Splunk на этапе сборки
# jq - используется в скриптах, которые собирают статистику докера
RUN yum install -y epel-release 
    && yum install -y wget expect jq

# Качаем, распаковываем, удаляем
RUN wget -O splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.2.4&product=universalforwarder&filename=splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz&wget=true' 
    && wget -O docker-18.09.3.tgz 'https://download.docker.com/linux/static/stable/x86_64/docker-18.09.3.tgz' 
    && tar -xvf splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && tar -xvf docker-18.09.3.tgz  
    && rm -f splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && rm -f docker-18.09.3.tgz

# С shell скриптами всё понятно, а вот inputs.conf, splunkclouduf.spl и first_start.sh нуждаются в пояснении. Об этом расскажу после source тэга.
COPY [ "inputs.conf", "docker-stats/props.conf", "/splunkforwarder/etc/system/local/" ]
COPY [ "docker-stats/docker_events.sh", "docker-stats/docker_inspect.sh", "docker-stats/docker_stats.sh", "docker-stats/docker_top.sh", "/splunkforwarder/bin/scripts/" ]
COPY splunkclouduf.spl /splunkclouduf.spl
COPY first_start.sh /splunkforwarder/bin/

#  Даём права на исполнение, добавляем пользователя и выполняем первоначальную настройку
RUN chmod +x /splunkforwarder/bin/scripts/*.sh 
    && groupadd -r splunk 
    && useradd -r -m -g splunk splunk 
    && echo "%sudo ALL=NOPASSWD:ALL" >> /etc/sudoers 
    && chown -R splunk:splunk $SPLUNK_HOME 
    && /splunkforwarder/bin/first_start.sh 
    && /splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme 
    && /splunkforwarder/bin/splunk restart

# Копируем инит скрипты
COPY [ "init/entrypoint.sh", "init/checkstate.sh", "/sbin/" ]

# По желанию. Кому нужно локально иметь конфиги/логи, кому нет.
VOLUME [ "/splunkforwarder/etc", "/splunkforwarder/var" ]

HEALTHCHECK --interval=30s --timeout=30s --start-period=3m --retries=5 CMD /sbin/checkstate.sh || exit 1

ENTRYPOINT [ "/sbin/entrypoint.sh" ]
CMD [ "start-service" ]

അതിനാൽ എന്താണ് അടങ്ങിയിരിക്കുന്നത്

first_start.sh

#!/usr/bin/expect -f
set timeout -1
spawn /splunkforwarder/bin/splunk start --accept-license
expect "Please enter an administrator username: "
send -- "adminr"
expect "Please enter a new password: "
send -- "changemer"
expect "Please confirm new password: "
send -- "changemer"
expect eof

ആദ്യ തുടക്കത്തിൽ, സ്പ്ലങ്ക് നിങ്ങളോട് ഒരു ലോഗിൻ/പാസ്വേഡ് നൽകാൻ ആവശ്യപ്പെടുന്നു, എന്നാൽ ഈ ഡാറ്റ ഉപയോഗിക്കുന്നു മാത്രം ആ പ്രത്യേക ഇൻസ്റ്റാളേഷനായി അഡ്മിനിസ്ട്രേറ്റീവ് കമാൻഡുകൾ എക്സിക്യൂട്ട് ചെയ്യാൻ, അതായത് കണ്ടെയ്നറിനുള്ളിൽ. ഞങ്ങളുടെ കാര്യത്തിൽ, കണ്ടെയ്നർ വിക്ഷേപിക്കാൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നു, അങ്ങനെ എല്ലാം പ്രവർത്തിക്കുകയും ലോഗുകൾ ഒരു നദി പോലെ ഒഴുകുകയും ചെയ്യും. തീർച്ചയായും, ഇത് ഹാർഡ്‌കോഡാണ്, പക്ഷേ ഞാൻ മറ്റ് വഴികളൊന്നും കണ്ടെത്തിയില്ല.

പിന്നീട് സ്ക്രിപ്റ്റ് അനുസരിച്ച് എക്സിക്യൂട്ട് ചെയ്യുന്നു

/splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme

splunkclouduf.spl — ഇത് സ്പ്ലങ്ക് യൂണിവേഴ്സൽ ഫോർവേഡറിനായുള്ള ഒരു ക്രെഡൻഷ്യൽ ഫയലാണ്, ഇത് വെബ് ഇന്റർഫേസിൽ നിന്ന് ഡൗൺലോഡ് ചെയ്യാം.

ഡൗൺലോഡ് ചെയ്യാൻ എവിടെ ക്ലിക്ക് ചെയ്യണം (ചിത്രങ്ങളിൽ)


ഇത് അൺപാക്ക് ചെയ്യാവുന്ന ഒരു സാധാരണ ആർക്കൈവാണ്. അതിനുള്ളിൽ ഞങ്ങളുടെ SplunkCloud-ലേക്ക് കണക്‌റ്റ് ചെയ്യുന്നതിനുള്ള സർട്ടിഫിക്കറ്റുകളും പാസ്‌വേഡും ഉണ്ട് outputs.conf ഞങ്ങളുടെ ഇൻപുട്ട് സംഭവങ്ങളുടെ ഒരു ലിസ്റ്റ് സഹിതം. നിങ്ങളുടെ സ്പ്ലങ്ക് ഇൻസ്റ്റാളേഷൻ വീണ്ടും ഇൻസ്റ്റാൾ ചെയ്യുന്നത് വരെയോ അല്ലെങ്കിൽ ഇൻസ്റ്റലേഷൻ ഓൺ-പ്രെമൈസ് ആണെങ്കിൽ ഒരു ഇൻപുട്ട് നോഡ് ചേർക്കുന്നത് വരെയോ ഈ ഫയൽ പ്രസക്തമായിരിക്കും. അതുകൊണ്ട് തന്നെ കണ്ടെയ്നറിനുള്ളിൽ ചേർക്കുന്നതിൽ തെറ്റില്ല.

പിന്നെ അവസാനത്തെ കാര്യം പുനരാരംഭിക്കുക എന്നതാണ്. അതെ, മാറ്റങ്ങൾ പ്രയോഗിക്കാൻ, നിങ്ങൾ അത് പുനരാരംഭിക്കേണ്ടതുണ്ട്.

ഞങ്ങളുടെ inputs.conf ഞങ്ങൾ സ്പ്ലങ്കിലേക്ക് അയയ്ക്കാൻ ആഗ്രഹിക്കുന്ന ലോഗുകൾ ചേർക്കുന്നു. ഉദാഹരണത്തിന്, നിങ്ങൾ പപ്പറ്റ് വഴി കോൺഫിഗറുകൾ വിതരണം ചെയ്യുകയാണെങ്കിൽ, ചിത്രത്തിൽ ഈ ഫയൽ ചേർക്കേണ്ട ആവശ്യമില്ല. ഡെമൺ ആരംഭിക്കുമ്പോൾ ഫോർവേഡർ കോൺഫിഗറേഷനുകൾ കാണുന്നു എന്നതാണ് ഏക കാര്യം, അല്ലാത്തപക്ഷം അത് ആവശ്യമായി വരും ./സ്പ്ലങ്ക് പുനരാരംഭിക്കുക.

ഏത് തരത്തിലുള്ള ഡോക്കർ സ്ഥിതിവിവരക്കണക്കുകളാണ് അവ? Github-ൽ നിന്ന് ഒരു പഴയ പരിഹാരമുണ്ട് outcoldman, സ്ക്രിപ്റ്റുകൾ അവിടെ നിന്ന് എടുത്ത് ഡോക്കറിന്റെ (ce-17.*), സ്പ്ലങ്ക് (7.*) എന്നിവയുടെ നിലവിലെ പതിപ്പുകൾക്കൊപ്പം പ്രവർത്തിക്കാൻ പരിഷ്കരിച്ചു.

ലഭിച്ച ഡാറ്റ ഉപയോഗിച്ച്, നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ നിർമ്മിക്കാൻ കഴിയും

ഡാഷ്ബോർഡുകൾ: (രണ്ടു ചിത്രങ്ങൾ)


ലേഖനത്തിന്റെ അവസാനം നൽകിയിരിക്കുന്ന ലിങ്കിലാണ് ഡാഷുകളുടെ സോഴ്സ് കോഡ്. തിരഞ്ഞെടുത്ത 2 ഫീൽഡുകൾ ഉണ്ടെന്നത് ശ്രദ്ധിക്കുക: 1 - സൂചിക തിരഞ്ഞെടുക്കൽ (മാസ്ക് ഉപയോഗിച്ച് തിരഞ്ഞത്), ഹോസ്റ്റ്/കണ്ടെയ്നർ തിരഞ്ഞെടുക്കൽ. നിങ്ങൾ ഉപയോഗിക്കുന്ന പേരുകൾ അനുസരിച്ച് ഇൻഡെക്സ് മാസ്ക് അപ്ഡേറ്റ് ചെയ്യേണ്ടി വരും.

ഉപസംഹാരമായി, പ്രവർത്തനത്തിലേക്ക് നിങ്ങളുടെ ശ്രദ്ധ ആകർഷിക്കാൻ ഞാൻ ആഗ്രഹിക്കുന്നു ആരംഭിക്കുക() в

entrypoint.sh

start() {
    trap teardown EXIT
	if [ -z $SPLUNK_INDEX ]; then
	echo "'SPLUNK_INDEX' env variable is empty or not defined. Should be 'dev' or 'prd'." >&2
	exit 1
	else
	sed -e "s/@index@/$SPLUNK_INDEX/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
	fi
	sed -e "s/@hostname@/$(cat /etc/hostname)/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
    sh -c "echo 'starting' > /tmp/splunk-container.state"
	${SPLUNK_HOME}/bin/splunk start
    watch_for_failure
}

എന്റെ കാര്യത്തിൽ, ഓരോ പരിതസ്ഥിതിക്കും ഓരോ വ്യക്തിഗത എന്റിറ്റിക്കും, അത് ഒരു കണ്ടെയ്‌നറിലോ ഹോസ്റ്റ് മെഷീനിലോ ഉള്ള ആപ്ലിക്കേഷനോ ആകട്ടെ, ഞങ്ങൾ ഒരു പ്രത്യേക സൂചിക ഉപയോഗിക്കുന്നു. ഈ രീതിയിൽ, ഡാറ്റയുടെ ഗണ്യമായ ശേഖരണം ഉണ്ടാകുമ്പോൾ തിരയൽ വേഗത ബാധിക്കില്ല. സൂചികകൾക്ക് പേരിടാൻ ലളിതമായ ഒരു നിയമം ഉപയോഗിക്കുന്നു: _. അതിനാൽ, കണ്ടെയ്നർ സാർവത്രികമാകുന്നതിന്, ഡെമൺ തന്നെ സമാരംഭിക്കുന്നതിന് മുമ്പ്, ഞങ്ങൾ മാറ്റിസ്ഥാപിക്കുന്നു sedപരിസ്ഥിതിയുടെ പേരിലുള്ള വൈൽഡ്കാർഡ്. പരിസ്ഥിതി നാമ വേരിയബിൾ പരിസ്ഥിതി വേരിയബിളുകളിലൂടെ കടന്നുപോകുന്നു. തമാശയായി തോന്നുന്നു.

ചില കാരണങ്ങളാൽ ഡോക്കർ പാരാമീറ്ററിന്റെ സാന്നിധ്യം സ്പ്ലങ്കിനെ ബാധിക്കുന്നില്ല എന്നതും ശ്രദ്ധിക്കേണ്ടതാണ് ഹോസ്റ്റ്നാമം. ഹോസ്റ്റ് ഫീൽഡിൽ തന്റെ കണ്ടെയ്‌നറിന്റെ ഐഡി സഹിതം അവൻ ശാഠ്യത്തോടെ ലോഗുകൾ അയയ്‌ക്കും. ഒരു പരിഹാരമായി, നിങ്ങൾക്ക് മൌണ്ട് ചെയ്യാൻ കഴിയും / etc / hostname ഹോസ്റ്റ് മെഷീനിൽ നിന്നും സ്റ്റാർട്ടപ്പിൽ നിന്നും ഇൻഡെക്സ് പേരുകൾക്ക് സമാനമായ മാറ്റിസ്ഥാപിക്കൽ നടത്തുക.

ഉദാഹരണം docker-compose.yml

version: '2'
services:
  splunk-forwarder:
    image: "${IMAGE_REPO}/docker-stats-splunk-forwarder:${IMAGE_VERSION}"
    environment:
      SPLUNK_INDEX: ${ENVIRONMENT}
    volumes:
    - /etc/hostname:/etc/hostname:ro
    - /var/log:/var/log
    - /var/run/docker.sock:/var/run/docker.sock:ro

ഫലം

അതെ, ഒരുപക്ഷേ പരിഹാരം അനുയോജ്യമല്ല, തീർച്ചയായും എല്ലാവർക്കും സാർവത്രികവുമല്ല, കാരണം ധാരാളം ഉണ്ട് "ഹാർഡ്കോഡ്". എന്നാൽ അതിന്റെ അടിസ്ഥാനത്തിൽ, ഓരോരുത്തർക്കും അവരുടെ സ്വന്തം ഇമേജ് നിർമ്മിക്കാനും അത് അവരുടെ സ്വകാര്യ ആർട്ടിഫാക്‌ടറിയിൽ ഇടാനും കഴിയും, അത് സംഭവിക്കുമ്പോൾ, നിങ്ങൾക്ക് ഡോക്കറിൽ സ്പ്ലങ്ക് ഫോർവേഡർ ആവശ്യമുണ്ടെങ്കിൽ.

റെഫറൻസുകൾ:

ലേഖനത്തിൽ നിന്നുള്ള പരിഹാരം
ഔട്ട്‌കോൾഡ്മാനിൽ നിന്നുള്ള ഒരു പരിഹാരം, ചില പ്രവർത്തനങ്ങൾ വീണ്ടും ഉപയോഗിക്കാൻ ഞങ്ങളെ പ്രചോദിപ്പിച്ചു
ഓഫ്. യൂണിവേഴ്സൽ ഫോർവേഡർ സജ്ജീകരിക്കുന്നതിനുള്ള ഡോക്യുമെന്റേഷൻ

അവലംബം: www.habr.com