सिस्टम लॉग कलेक्टर म्हणून डॉकरमध्ये स्प्लंक युनिव्हर्सल फॉरवर्डर

स्प्लंक हे अनेक ओळखण्यायोग्य व्यावसायिक लॉग संग्रह आणि विश्लेषण उत्पादनांपैकी एक आहे. आताही, जेव्हा रशियामध्ये यापुढे विक्री केली जात नाही, तेव्हा या उत्पादनासाठी सूचना/कसे करायचे ते न लिहिण्याचे हे कारण नाही.

उद्दिष्ट: होस्ट मशीन कॉन्फिगरेशन न बदलता स्प्लंकमधील डॉकर नोड्समधून सिस्टम लॉग गोळा करा

मला अधिकृत दृष्टिकोनाने सुरुवात करायची आहे, जी डॉकर वापरताना थोडी विचित्र दिसते.
डॉकर हबशी दुवा
आमच्याकडे काय आहे:

1. पुलीम प्रतिमा

$ docker pull splunk/universalforwarder:latest

2. आवश्यक पॅरामीटर्ससह कंटेनर सुरू करा

$ docker run -d  -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=<password>' splunk/universalforwarder:latest

3. आम्ही कंटेनरमध्ये जातो

docker exec -it <container-id> /bin/bash

पुढे, आम्हाला दस्तऐवजीकरणातील ज्ञात पत्त्यावर जाण्यास सांगितले जाते.

आणि कंटेनर सुरू झाल्यानंतर कॉन्फिगर करा:

./splunk add forward-server <host name or ip address>:<listening port>
./splunk add monitor /var/log
./splunk restart

थांबा. काय?

पण आश्चर्य तिथेच संपत नाही. तुम्ही अधिकृत इमेजमधून कंटेनर परस्परसंवादी मोडमध्ये चालवल्यास, तुम्हाला पुढील गोष्टी दिसतील:

थोडी निराशा झाली

$ docker run -it -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=password' splunk/universalforwarder:latest

PLAY [Run default Splunk provisioning] *******************************************************************************************************************************************************************************************************
Tuesday 09 April 2019  13:40:38 +0000 (0:00:00.096)       0:00:00.096 *********

TASK [Gathering Facts] ***********************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:39 +0000 (0:00:01.520)       0:00:01.616 *********

TASK [Get actual hostname] *******************************************************************************************************************************************************************************************************************
changed: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.599)       0:00:02.215 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.054)       0:00:02.270 *********

TASK [set_fact] ******************************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.075)       0:00:02.346 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.067)       0:00:02.413 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.060)       0:00:02.473 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.051)       0:00:02.525 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.056)       0:00:02.582 *********
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.216)       0:00:02.798 *********
included: /opt/ansible/roles/splunk_common/tasks/change_splunk_directory_owner.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.087)       0:00:02.886 *********

TASK [splunk_common : Update Splunk directory owner] *****************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.324)       0:00:03.210 *********
included: /opt/ansible/roles/splunk_common/tasks/get_facts.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.094)       0:00:03.305 *********

ну и так далее...

मस्त. प्रतिमेमध्ये कलाकृती देखील नाही. म्हणजेच, प्रत्येक वेळी तुम्ही प्रारंभ कराल तेव्हा बायनरी, अनपॅक आणि कॉन्फिगरसह संग्रहण डाउनलोड करण्यासाठी वेळ लागेल.
डॉकर-वे आणि त्या सर्वांचे काय?

नको धन्यवाद. आम्ही वेगळा मार्ग घेऊ. असेंब्ली स्टेजवर ही सर्व ऑपरेशन्स केली तर? मग जाऊया!

जास्त उशीर होऊ नये म्हणून, मी लगेच तुम्हाला अंतिम प्रतिमा दाखवतो:

डॉकरफाइल

# Тут у кого какие предпочтения
FROM centos:7

# Задаём переменные, чтобы каждый раз при старте не указывать их
ENV SPLUNK_HOME /splunkforwarder
ENV SPLUNK_ROLE splunk_heavy_forwarder
ENV SPLUNK_PASSWORD changeme
ENV SPLUNK_START_ARGS --accept-license

# Ставим пакеты
# wget - чтобы скачать артефакты
# expect - понадобится для первоначального запуска Splunk на этапе сборки
# jq - используется в скриптах, которые собирают статистику докера
RUN yum install -y epel-release 
    && yum install -y wget expect jq

# Качаем, распаковываем, удаляем
RUN wget -O splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.2.4&product=universalforwarder&filename=splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz&wget=true' 
    && wget -O docker-18.09.3.tgz 'https://download.docker.com/linux/static/stable/x86_64/docker-18.09.3.tgz' 
    && tar -xvf splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && tar -xvf docker-18.09.3.tgz  
    && rm -f splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && rm -f docker-18.09.3.tgz

# С shell скриптами всё понятно, а вот inputs.conf, splunkclouduf.spl и first_start.sh нуждаются в пояснении. Об этом расскажу после source тэга.
COPY [ "inputs.conf", "docker-stats/props.conf", "/splunkforwarder/etc/system/local/" ]
COPY [ "docker-stats/docker_events.sh", "docker-stats/docker_inspect.sh", "docker-stats/docker_stats.sh", "docker-stats/docker_top.sh", "/splunkforwarder/bin/scripts/" ]
COPY splunkclouduf.spl /splunkclouduf.spl
COPY first_start.sh /splunkforwarder/bin/

#  Даём права на исполнение, добавляем пользователя и выполняем первоначальную настройку
RUN chmod +x /splunkforwarder/bin/scripts/*.sh 
    && groupadd -r splunk 
    && useradd -r -m -g splunk splunk 
    && echo "%sudo ALL=NOPASSWD:ALL" >> /etc/sudoers 
    && chown -R splunk:splunk $SPLUNK_HOME 
    && /splunkforwarder/bin/first_start.sh 
    && /splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme 
    && /splunkforwarder/bin/splunk restart

# Копируем инит скрипты
COPY [ "init/entrypoint.sh", "init/checkstate.sh", "/sbin/" ]

# По желанию. Кому нужно локально иметь конфиги/логи, кому нет.
VOLUME [ "/splunkforwarder/etc", "/splunkforwarder/var" ]

HEALTHCHECK --interval=30s --timeout=30s --start-period=3m --retries=5 CMD /sbin/checkstate.sh || exit 1

ENTRYPOINT [ "/sbin/entrypoint.sh" ]
CMD [ "start-service" ]

तर त्यात काय समाविष्ट आहे

first_start.sh

#!/usr/bin/expect -f
set timeout -1
spawn /splunkforwarder/bin/splunk start --accept-license
expect "Please enter an administrator username: "
send -- "adminr"
expect "Please enter a new password: "
send -- "changemer"
expect "Please confirm new password: "
send -- "changemer"
expect eof

पहिल्या सुरवातीला, स्प्लंक तुम्हाला लॉगिन/पासवर्ड देण्यास सांगतो, परंतु हा डेटा वापरला जातो. फक्त त्या विशिष्ट स्थापनेसाठी प्रशासकीय आदेश कार्यान्वित करण्यासाठी, म्हणजेच कंटेनरच्या आत. आमच्या बाबतीत, आम्ही फक्त कंटेनर लाँच करू इच्छितो जेणेकरून सर्वकाही कार्य करेल आणि लॉग नदीसारखे वाहतील. अर्थात, हा हार्डकोड आहे, परंतु मला इतर कोणतेही मार्ग सापडले नाहीत.

पुढे स्क्रिप्टनुसार कार्यान्वित केले जाते

/splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme

splunkclouduf.spl — ही स्प्लंक युनिव्हर्सल फॉरवर्डरसाठी क्रेडेन्शियल फाइल आहे, जी वेब इंटरफेसवरून डाउनलोड केली जाऊ शकते.

डाउनलोड करण्यासाठी कुठे क्लिक करावे (चित्रांमध्ये)


हे एक नियमित संग्रहण आहे जे अनपॅक केले जाऊ शकते. आमच्या स्प्लंकक्लाउडशी कनेक्ट करण्यासाठी आत प्रमाणपत्रे आणि पासवर्ड आहे outputs.conf आमच्या इनपुट उदाहरणांच्या सूचीसह. तुम्ही तुमची स्प्लंक इंस्टॉलेशन पुन्हा इंस्टॉल करेपर्यंत किंवा इंस्टॉलेशन ऑन-प्रिमाइस असल्यास इनपुट नोड जोडेपर्यंत ही फाइल संबंधित असेल. म्हणून, ते कंटेनरच्या आत जोडण्यात काहीही चुकीचे नाही.

आणि शेवटची गोष्ट म्हणजे रीस्टार्ट. होय, बदल लागू करण्यासाठी, तुम्हाला ते रीस्टार्ट करावे लागेल.

आमच्यामध्ये inputs.conf आम्ही स्प्लंकला पाठवू इच्छित लॉग जोडतो. ही फाईल प्रतिमेमध्ये जोडणे आवश्यक नाही, उदाहरणार्थ, आपण कठपुतळीद्वारे कॉन्फिगचे वितरण करत असल्यास. फक्त एक गोष्ट अशी आहे की फॉरवर्डर डिमन सुरू झाल्यावर कॉन्फिगस पाहतो, अन्यथा त्याची आवश्यकता असेल ./splunk रीस्टार्ट करा.

ते कोणत्या प्रकारचे डॉकर आकडेवारी स्क्रिप्ट आहेत? पासून Github वर एक जुना उपाय आहे outcoldman, स्क्रिप्ट्स तिथून घेतल्या आणि डॉकर (ce-17. * आणि स्प्लंक (7*) च्या वर्तमान आवृत्त्यांसह कार्य करण्यासाठी सुधारित केल्या.

प्राप्त डेटासह, आपण खालील तयार करू शकता

डॅशबोर्ड: (दोन चित्रे)


डॅशसाठी स्त्रोत कोड लेखाच्या शेवटी दिलेल्या लिंकमध्ये आहे. कृपया लक्षात घ्या की 2 निवडक फील्ड आहेत: 1 - अनुक्रमणिका निवड (मास्कद्वारे शोधलेले), होस्ट/कंटेनर निवड. तुम्ही वापरत असलेल्या नावांवर अवलंबून, तुम्हाला कदाचित इंडेक्स मास्क अपडेट करावा लागेल.

शेवटी, मी कार्याकडे आपले लक्ष वेधू इच्छितो प्रारंभ() в

entrypoint.sh

start() {
    trap teardown EXIT
	if [ -z $SPLUNK_INDEX ]; then
	echo "'SPLUNK_INDEX' env variable is empty or not defined. Should be 'dev' or 'prd'." >&2
	exit 1
	else
	sed -e "s/@index@/$SPLUNK_INDEX/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
	fi
	sed -e "s/@hostname@/$(cat /etc/hostname)/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
    sh -c "echo 'starting' > /tmp/splunk-container.state"
	${SPLUNK_HOME}/bin/splunk start
    watch_for_failure
}

माझ्या बाबतीत, प्रत्येक वातावरणासाठी आणि प्रत्येक वैयक्तिक घटकासाठी, मग ते कंटेनरमधील अनुप्रयोग असो किंवा होस्ट मशीन, आम्ही स्वतंत्र अनुक्रमणिका वापरतो. अशा प्रकारे, जेव्हा डेटाचा महत्त्वपूर्ण संचय होतो तेव्हा शोध गतीला त्रास होणार नाही. निर्देशांकांना नाव देण्यासाठी एक साधा नियम वापरला जातो: _. म्हणून, कंटेनर सार्वत्रिक होण्यासाठी, डिमन स्वतः लाँच करण्यापूर्वी, आम्ही बदलतो sed- पर्यावरणाच्या नावाचे वाइल्डकार्ड. पर्यावरण नाव व्हेरिएबल पर्यावरणीय चलांमधून पार केले जाते. गंमत वाटते.

हे देखील लक्षात घेण्यासारखे आहे की काही कारणास्तव डॉकर पॅरामीटरच्या उपस्थितीमुळे स्प्लंक प्रभावित होत नाही होस्टनाव. तो अजूनही जिद्दीने होस्ट फील्डमध्ये त्याच्या कंटेनरच्या आयडीसह लॉग पाठवेल. एक उपाय म्हणून, आपण माउंट करू शकता / etc / hostname होस्ट मशीनवरून आणि स्टार्टअपवर अनुक्रमणिकेच्या नावांप्रमाणे बदल करा.

उदाहरण docker-compose.yml

version: '2'
services:
  splunk-forwarder:
    image: "${IMAGE_REPO}/docker-stats-splunk-forwarder:${IMAGE_VERSION}"
    environment:
      SPLUNK_INDEX: ${ENVIRONMENT}
    volumes:
    - /etc/hostname:/etc/hostname:ro
    - /var/log:/var/log
    - /var/run/docker.sock:/var/run/docker.sock:ro

परिणाम

होय, कदाचित उपाय आदर्श नाही आणि प्रत्येकासाठी नक्कीच सार्वत्रिक नाही, कारण बरेच आहेत "हार्डकोड". परंतु त्यावर आधारित, प्रत्येकजण त्यांची स्वतःची प्रतिमा तयार करू शकतो आणि ती त्यांच्या खाजगी आर्टिफॅक्टरीमध्ये ठेवू शकतो, जर तसे घडते, तर तुम्हाला डॉकरमध्ये स्प्लंक फॉरवर्डरची आवश्यकता असेल.

दुवे:

लेखातून उपाय
आउटकॉल्डमॅनचे एक समाधान ज्याने आम्हाला काही कार्यक्षमता पुन्हा वापरण्यास प्रेरित केले
च्या. युनिव्हर्सल फॉरवर्डर सेट करण्यासाठी दस्तऐवजीकरण

स्त्रोत: www.habr.com