နိဒါန်း

အခြားစနစ်တစ်ခုကို ဖြန့်ကျက်အသုံးပြုစဉ်တွင် မတူညီသော မှတ်တမ်းအများအပြားကို လုပ်ဆောင်ရန် လိုအပ်မှုနှင့် ရင်ဆိုင်ခဲ့ရသည်။ ELK ကို ကိရိယာအဖြစ် ရွေးချယ်ခဲ့သည်။ ဤဆောင်းပါးတွင် ဤ stack ကိုတည်ဆောက်ရာတွင် ကျွန်ုပ်တို့၏အတွေ့အကြုံကို ဆွေးနွေးပါမည်။

ကျွန်ုပ်တို့သည် ၎င်း၏စွမ်းဆောင်နိုင်ရည်အားလုံးကို ဖော်ပြရန် ပန်းတိုင်ကို မသတ်မှတ်ထားသော်လည်း လက်တွေ့ကျသော ပြဿနာများကို ဖြေရှင်းရာတွင် အထူးအာရုံစိုက်လိုပါသည်။ အကြောင်းကတော့ စာရွက်စာတမ်းနဲ့ အဆင်သင့်လုပ်ထားတဲ့ ပုံတွေ အများကြီးရှိပေမယ့် အမှားအယွင်းတွေ အများကြီးရှိတာကြောင့် အနည်းဆုံးတော့ အဲဒါတွေကို ကျွန်တော်တို့ တွေ့ခဲ့ရပါတယ်။

ကျွန်ုပ်တို့သည် docker-compose မှတစ်ဆင့် stack ကို ဖြန့်ကျက်ထားသည်။ ထို့အပြင်၊ ကျွန်ုပ်တို့တွင် ပြဿနာမရှိသလောက်ဖြစ်သော stack ကို မြှင့်တင်နိုင်စေမည့် ကောင်းမွန်စွာရေးထားသော docker-compose.yml တစ်ခုရှိသည်။ ပြီးတော့ အောင်ပွဲက နီးနေပြီလို့ ထင်ရတယ်၊ အခု ငါတို့ရဲ့ လိုအပ်ချက်နဲ့ ကိုက်ညီအောင် နည်းနည်းလေး ပြင်လိုက်မယ်။

ကံမကောင်းစွာဖြင့်၊ ကျွန်ုပ်တို့၏ အပလီကေးရှင်းမှ မှတ်တမ်းများကို လက်ခံရယူရန်နှင့် လုပ်ဆောင်ရန် စနစ်ကို ပြင်ဆင်သတ်မှတ်ရန် ကျွန်ုပ်တို့၏ကြိုးပမ်းမှုမှာ ချက်ချင်းမအောင်မြင်ခဲ့ပါ။ ထို့ကြောင့်၊ ၎င်းသည် အစိတ်အပိုင်းတစ်ခုစီကို သီးခြားစီလေ့လာပြီး ၎င်းတို့၏ချိတ်ဆက်မှုများသို့ ပြန်သွားသင့်သည်ဟု ကျွန်ုပ်တို့ ဆုံးဖြတ်ခဲ့သည်။

ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် logstash ဖြင့်စတင်ခဲ့သည်။

ပတ်ဝန်းကျင်၊ အသုံးချမှု၊ ကွန်တိန်နာတစ်ခုတွင် Logstash လုပ်ဆောင်ခြင်း။

ဖြန့်ကျက်ရန်အတွက် ကျွန်ုပ်တို့သည် docker-compose ကိုအသုံးပြုသည်၊ ဤနေရာတွင်ဖော်ပြထားသောစမ်းသပ်မှုများကို MacOS နှင့် Ubuntu 18.0.4 တွင်ပြုလုပ်ခဲ့ပါသည်။

ကျွန်ုပ်တို့၏မူရင်း docker-compose.yml တွင် စာရင်းသွင်းထားသည့် logstash ပုံသည် docker.elastic.co/logstash/logstash:6.3.2 ဖြစ်သည်။

စမ်းသပ်မှုတွေအတွက် အသုံးပြုပါမယ်။

logstash လုပ်ဆောင်ရန် သီးခြား docker-compose.yml ကို ရေးခဲ့သည်။ ဟုတ်ပါတယ်၊ ၎င်းသည် command line မှ image ကိုစတင်နိုင်သော်လည်း၊ ကျွန်ုပ်တို့သည် docker-compose မှအရာအားလုံးကို run သည့်တိကျသောပြဿနာတစ်ခုဖြေရှင်းနေသည်။

configuration ဖိုင်များအကြောင်း အကျဉ်းချုပ်ပါ။

ဖော်ပြချက်မှ အောက်ပါအတိုင်း logstash ကို ချန်နယ်တစ်ခုအတွက် သော်လည်းကောင်း လုပ်ဆောင်နိုင်သည်၊ ယင်းအခြေအနေတွင်၊ ၎င်းသည် *.conf ဖိုင်၊ သို့မဟုတ် ချန်နယ်များစွာအတွက်၊ ၎င်းသည် pipelines.yml ဖိုင်ကို ဖြတ်သန်းရန် လိုအပ်ပြီး ယင်းအခြေအနေတွင်၊ ချန်နယ်တစ်ခုစီအတွက် .conf ဖိုင်များသို့ လင့်ခ်ပေးပါမည်။
ဒုတိယလမ်းကို လျှောက်ခဲ့ကြတယ်။ ၎င်းသည် ကျွန်ုပ်တို့အတွက် ပို၍ သာလွန်ကောင်းမွန်ပြီး အရွယ်အစားရှိပုံရသည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် pipelines.yml ကို ဖန်တီးပြီး ချန်နယ်တစ်ခုစီအတွက် .conf ဖိုင်များကို ထည့်မည့် ပိုက်လိုင်းများ လမ်းညွှန်တစ်ခု ပြုလုပ်ခဲ့သည်။

ကွန်တိန်နာအတွင်းတွင် အခြားဖွဲ့စည်းပုံဖိုင် - logstash.yml ရှိသည်။ ငါတို့က အဲဒါကို မထိဘူး၊ ငါတို့က အဲဒါကို သုံးတယ်။

ထို့ကြောင့် ကျွန်ုပ်တို့၏ လမ်းညွှန်ဖွဲ့စည်းပုံ-

input data ကိုလက်ခံရရှိရန်၊ ၎င်းသည် port 5046 တွင် tcp ဖြစ်သည်ဟုကျွန်ုပ်တို့ယူဆပြီး output အတွက် stdout ကိုအသုံးပြုပါမည်။

ဤသည်မှာ ပထမဆုံး လွှင့်တင်မှုအတွက် ရိုးရှင်းသော ဖွဲ့စည်းမှုတစ်ခုဖြစ်သည်။ ဘာကြောင့်လဲဆိုတော့ ကနဦးတာဝန်က လွှင့်တင်ဖို့ပါ။

ထို့ကြောင့်၊ ကျွန်ုပ်တို့တွင် ဤ docker-compose.yml ရှိသည်။

version: '3'

networks:
  elk:

volumes:
  elasticsearch:
    driver: local

services:

  logstash:
    container_name: logstash_one_channel
    image: docker.elastic.co/logstash/logstash:6.3.2
    networks:
      	- elk
    ports:
      	- 5046:5046
    volumes:
      	- ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
	- ./config/pipelines:/usr/share/logstash/config/pipelines:ro

ငါတို့ ဒီမှာ ဘာမြင်လဲ။

1. ကွန်ရက်များနှင့် အသံအတိုးအကျယ်များကို မူရင်း docker-compose.yml ( stack တစ်ခုလုံးကို စတင်သည့်နေရာ) မှ ထုတ်ယူထားပြီး ဤနေရာတွင် ၎င်းတို့သည် အလုံးစုံရုပ်ပုံလွှာကို ကြီးကြီးမားမား မထိခိုက်စေဟု ကျွန်ုပ်ထင်ပါတယ်။
2. ကျွန်ုပ်တို့သည် docker.elastic.co/logstash/logstash:6.3.2 ပုံမှ logstash ဝန်ဆောင်မှု(များ) တစ်ခုကို ဖန်တီးပြီး ၎င်းကို logstash_one_channel ဟု အမည်ပေးပါသည်။
3. ကျွန်ုပ်တို့သည် ကွန်တိန်နာအတွင်း၌ ဆိပ်ကမ်း 5046 ကို တူညီသော အတွင်းဝင်ပေါက်သို့ ပေးပို့ပါသည်။
4. ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ ပိုက်ဖွဲ့စည်းမှုပုံစံ ဖိုင် ./config/pipelines.yml ကို ကွန်တိန်နာအတွင်း /usr/share/logstash/config/pipelines.yml ဖိုင်သို့ မြေပုံဆွဲထားပြီး၊ logstash က ၎င်းကို ကောက်ယူပြီး ဖတ်ရှုရန်သာ ပြုလုပ်ပေးမည် ဖြစ်သည်။
5. ကျွန်ုပ်တို့တွင် ချန်နယ်ဆက်တင်များပါသည့် ဖိုင်များရှိသည့် ./config/pipelines လမ်းညွှန်ကို /usr/share/logstash/config/pipelines လမ်းညွှန်သို့ မြေပုံဆွဲပြီး ၎င်းကို ဖတ်ရန်သာ ပြုလုပ်ထားသည်။

Pipelines.yml ဖိုင်

- pipeline.id: HABR
  pipeline.workers: 1
  pipeline.batch.size: 1
  path.config: "./config/pipelines/habr_pipeline.conf"

HABR အမှတ်အသားပါရှိသော ချန်နယ်တစ်ခုနှင့် ၎င်း၏ ဖွဲ့စည်းမှုပုံစံဖိုင်သို့ လမ်းကြောင်းကို ဤနေရာတွင် ဖော်ပြထားပါသည်။

နောက်ဆုံးတော့ “./config/pipelines/habr_pipeline.conf” ဖိုင်၊

input {
  tcp {
    port => "5046"
   }
  }
filter {
  mutate {
    add_field => [ "habra_field", "Hello Habr" ]
    }
  }
output {
  stdout {
      
    }
  }

လောလောဆယ်တော့ သူ့ရဲ့ဖော်ပြချက်ကို မကြည့်ရအောင်၊ အဲဒါကို သုံးကြည့်ရအောင်။

docker-compose up

ငါတို့ ဘာကိုမြင်လဲ။

ကွန်တိန်နာ စတင်ပါပြီ။ ၎င်း၏လုပ်ဆောင်ချက်ကို ကျွန်ုပ်တို့ စစ်ဆေးနိုင်သည်-

echo '13123123123123123123123213123213' | nc localhost 5046

ကွန်တိန်နာ ကွန်ဆိုးလ်တွင် တုံ့ပြန်မှုကို ကျွန်ုပ်တို့ မြင်တွေ့ရသည်-

ဒါပေမယ့်လည်း တစ်ချိန်တည်းမှာပဲ၊

logstash_one_channel | [2019-04-29T11:28:59,790][ERROR][logstash.licensechecker.licensereader] လိုင်စင်အချက်အလက်ကို လိုင်စင်ဆာဗာမှ ထုတ်ယူ၍မရပါ {:message=>“Elasticsearch Unreachable: [http://elasticsearch:9200/][Manticore ::ResolutionFailure] elasticsearch",...

logstash_one_channel | [2019-04-29T11:28:59,894][INFO ][logstash.pipeline ] ပိုက်လိုင်း {:pipeline_id=>".monitoring-logstash", :thread=>"# "}

logstash_one_channel | [2019-04-29T11:28:59,988][INFO ][logstash.agent] ပြေးဆွဲနေသည့် ပိုက်လိုင်းများ {:count=>2, :running_pipelines=>[:HABR, :"monitoring-logstash"], :non_running_pipelines=>[ ]}
logstash_one_channel | [2019-04-29T11:29:00,015][ERROR][logstash.inputs.metrics] X-Pack ကို Logstash တွင် ထည့်သွင်းထားသော်လည်း Elasticsearch တွင် မပါဝင်ပါ။ စောင့်ကြည့်ရေးအင်္ဂါရပ်ကိုအသုံးပြုရန် Elasticsearch တွင် X-Pack ကိုထည့်သွင်းပါ။ အခြားအင်္ဂါရပ်များ ရရှိနိုင်ပါသည်။
logstash_one_channel | [2019-04-29T11:29:00,526][INFO ][logstash.agent ] Logstash API အဆုံးမှတ် {:port=>9600} ကို အောင်မြင်စွာ စတင်ခဲ့သည်
logstash_one_channel | [2019-04-29T11:29:04,478][INFO ][logstash.outputs.elasticsearch] Elasticsearch ချိတ်ဆက်မှု အလုပ်လုပ်ခြင်းရှိမရှိ ကြည့်ရှုရန် ကျန်းမာရေးစစ်ဆေးမှုကို လုပ်ဆောင်နေသည် {:healthcheck_url=>http://elasticsearch:9200/, :path=> "/"}
logstash_one_channel | [2019-04-29T11:29:04,487][WARN ][logstash.outputs.elasticsearch] သေဆုံးသွားသော ES သာဓကသို့ ချိတ်ဆက်မှုကို ပြန်လည်အသက်သွင်းရန် ကြိုးပမ်းခဲ့သော်လည်း အမှားအယွင်းရှိခဲ့သည်။ {:url=>“elasticsearch ကိုရှာပါ:9200/", :error_type=>LogStash::Outputs::ElasticSearch::HttpClient::Pool::HostUnreachableError၊ :error=>"Elasticsearch Unreachable- [http://elasticsearch:9200/][Manticore::ResolutionFailure] elasticsearch"}
logstash_one_channel | [2019-04-29T11:29:04,704][INFO ][logstash.licensechecker.licensereader] Elasticsearch ချိတ်ဆက်မှု အလုပ်လုပ်ခြင်းရှိမရှိ ကြည့်ရှုရန် ကျန်းမာရေးစစ်ဆေးမှုကို လုပ်ဆောင်နေသည် {:healthcheck_url=>http://elasticsearch:9200/, :path=> "/"}
logstash_one_channel | [2019-04-29T11:29:04,710][WARN ][logstash.licensechecker.licensereader] သေဆုံးသွားသော ES စံနမူနာသို့ ချိတ်ဆက်မှုကို ပြန်လည်အသက်သွင်းရန် ကြိုးပမ်းခဲ့သော်လည်း အမှားအယွင်းရှိခဲ့သည်။ {:url=>“elasticsearch ကိုရှာပါ:9200/", :error_type=>LogStash::Outputs::ElasticSearch::HttpClient::Pool::HostUnreachableError၊ :error=>"Elasticsearch Unreachable- [http://elasticsearch:9200/][Manticore::ResolutionFailure] elasticsearch"}

ပြီးတော့ ကျွန်တော်တို့ရဲ့ မှတ်တမ်းက တစ်ချိန်လုံး လွင့်နေတယ်။

ဤနေရာတွင် ပိုက်လိုင်း အောင်မြင်စွာ စတင်နိုင်ခဲ့သည်ဟူသော မက်ဆေ့ချ်ကို အစိမ်းရောင်ဖြင့် မီးမောင်းထိုးပြထားပြီး၊ အနီရောင်ဖြင့် ဆက်သွယ်ရန် ကြိုးပမ်းမှုအကြောင်း မက်ဆေ့ဂျ် အဝါရောင်ဖြင့် မီးမောင်းထိုးပြထားပါသည်။ elasticsearch ကိုရှာပါ: 9200 ။
ပုံတွင်ပါရှိသော logstash.conf တွင် elasticsearch ရရှိနိုင်မှုစစ်ဆေးချက်ပါရှိသောကြောင့် ထိုသို့ဖြစ်ရခြင်းဖြစ်ပါသည်။ နောက်ဆုံးတွင်၊ logstash သည် Elk stack ၏တစ်စိတ်တစ်ပိုင်းအဖြစ်အလုပ်လုပ်သည်ဟုယူဆသည်၊ သို့သော်ကျွန်ုပ်တို့သည်၎င်းကိုခွဲခြားထားသည်။

အလုပ်ဖြစ်နိုင်ပေမယ့် အဆင်မပြေပါဘူး။

ဖြေရှင်းချက်မှာ XPACK_MONITORING_ENABLED ပတ်၀န်းကျင် ပြောင်းလဲနိုင်သော မှတဆင့် ဤစစ်ဆေးမှုကို ပိတ်ရန်ဖြစ်သည်။

docker-compose.yml သို့ ပြောင်းလဲပြီး ၎င်းကို ထပ်မံလုပ်ဆောင်ကြပါစို့။

version: '3'

networks:
  elk:

volumes:
  elasticsearch:
    driver: local

services:

  logstash:
    container_name: logstash_one_channel
    image: docker.elastic.co/logstash/logstash:6.3.2
    networks:
      - elk
    environment:
      XPACK_MONITORING_ENABLED: "false"
    ports:
      - 5046:5046
   volumes:
      - ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
      - ./config/pipelines:/usr/share/logstash/config/pipelines:ro

အခုတော့ အားလုံးအဆင်ပြေပါတယ်။ ကွန်တိန်နာသည် စမ်းသပ်မှုများအတွက် အဆင်သင့်ဖြစ်နေပါပြီ။

နောက် console တွင် ထပ်ရိုက်နိုင်သည်-

echo '13123123123123123123123213123213' | nc localhost 5046

ကြည့်ပါ-

logstash_one_channel | {
logstash_one_channel |         "message" => "13123123123123123123123213123213",
logstash_one_channel |      "@timestamp" => 2019-04-29T11:43:44.582Z,
logstash_one_channel |        "@version" => "1",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |            "host" => "gateway",
logstash_one_channel |            "port" => 49418
logstash_one_channel | }

ချန်နယ်တစ်ခုအတွင်း အလုပ်လုပ်သည်။

ဒါကြောင့် ကျွန်တော်တို့ စတင်ခဲ့တာပါ။ ယခု သင်သည် logstash ကိုယ်တိုင် configure လုပ်ရန် အချိန်ယူနိုင်သည်။ လောလောဆယ် pipelines.yml ဖိုင်ကို မထိရအောင်၊ ချန်နယ်တစ်ခုဖြင့် လုပ်ဆောင်ခြင်းဖြင့် ကျွန်ုပ်တို့ ဘာရနိုင်သည်ကို ကြည့်ကြပါစို့။

ချန်နယ်ဖွဲ့စည်းပုံဖိုင်နှင့် လုပ်ဆောင်ခြင်းဆိုင်ရာ ယေဘူယျနိယာမကို ဤနေရာတွင် တရားဝင်လက်စွဲတွင် ကောင်းစွာဖော်ပြထားကြောင်း၊ ဒီမှာ
ရုရှားလိုဖတ်ချင်ရင်တော့ ဒါကိုသုံးပါတယ်။ ဆောင်းပါး(ဒါပေမယ့် အဲဒီမှာ query syntax က ဟောင်းနေပြီ၊ ဒါကို ထည့်သွင်းစဉ်းစားဖို့ လိုပါတယ်)။

Input ကဏ္ဍကနေ အဆင့်ဆင့်သွားကြရအောင်။ TCP တွင်အလုပ်လုပ်သည်ကိုကျွန်ုပ်တို့မြင်ပြီးဖြစ်သည်။ ဒီမှာ တခြားဘာတွေ စိတ်ဝင်စားစရာ ရှိနိုင်မလဲ။

နှလုံးခုန်သံကို အသုံးပြု၍ မက်ဆေ့ချ်များကို စမ်းသပ်ပါ။

အလိုအလျောက် စမ်းသပ်မှု မက်ဆေ့ချ်များ ထုတ်ပေးရန် ဤမျှ စိတ်ဝင်စားဖွယ် အခွင့်အရေး ရှိပါသည်။
၎င်းကိုလုပ်ဆောင်ရန်၊ ထည့်သွင်းမှုအပိုင်းရှိ heartbean ပလပ်အင်ကို ဖွင့်ထားရန် လိုအပ်သည်။

input {
  heartbeat {
    message => "HeartBeat!"
   }
  } 

၎င်းကိုဖွင့်ပါ၊ တစ်မိနစ်လျှင်တစ်ကြိမ်စတင်လက်ခံပါ။

logstash_one_channel | {
logstash_one_channel |      "@timestamp" => 2019-04-29T13:52:04.567Z,
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |         "message" => "HeartBeat!",
logstash_one_channel |        "@version" => "1",
logstash_one_channel |            "host" => "a0667e5c57ec"
logstash_one_channel | }

ကျွန်ုပ်တို့ မကြာခဏ လက်ခံလိုပါက၊ ကြားကာလ ဘောင်ကို ထည့်ရန် လိုအပ်သည်။
ဤနည်းဖြင့် ကျွန်ုပ်တို့သည် 10 စက္ကန့်တိုင်း မက်ဆေ့ခ်ျကို လက်ခံရရှိမည်ဖြစ်သည်။

input {
  heartbeat {
    message => "HeartBeat!"
    interval => 10
   }
  }

ဖိုင်တစ်ခုမှဒေတာကိုရယူခြင်း။

ဖိုင်မုဒ်ကိုလည်း ကြည့်ရန် ဆုံးဖြတ်ခဲ့သည်။ အကယ်၍ ၎င်းသည် ဖိုင်နှင့် အဆင်ပြေပါက၊ အနည်းဆုံး ဒေသသုံးအတွက် အေးဂျင့်မလိုအပ်ပါ။

ဖော်ပြချက်အရ၊ လည်ပတ်မှုမုဒ်သည် tail -f၊ i.e. လိုင်းအသစ်များဖတ်ခြင်း သို့မဟုတ် ရွေးချယ်မှုတစ်ခုအနေဖြင့် ဖိုင်တစ်ခုလုံးကို ဖတ်သည်။

ဒီတော့ ကျွန်တော်တို့ လိုချင်တာက

1. မှတ်တမ်းဖိုင်တစ်ခုတွင် ထည့်သွင်းထားသော လိုင်းများကို ကျွန်ုပ်တို့ လက်ခံရယူလိုပါသည်။
2. မည်သည့်နေရာမှ လက်ခံရရှိသည်ကို ခွဲခြားသိမြင်နိုင်သော်လည်း မှတ်တမ်းဖိုင်များစွာတွင် ရေးမှတ်ထားသည့် ဒေတာကို ကျွန်ုပ်တို့ လက်ခံရယူလိုပါသည်။
3. logstash ကို ပြန်လည်စတင်သောအခါ၊ ၎င်းသည် ဤဒေတာကို ထပ်မံရရှိမည်မဟုတ်ကြောင်း သေချာစေလိုပါသည်။
4. logstash ကိုပိတ်ထားပါက၊ ဒေတာများကိုဖိုင်များသို့ဆက်လက်ရေးသားနေပါကကျွန်ုပ်တို့၎င်းကို run သောအခါကျွန်ုပ်တို့ဤဒေတာကိုရရှိလိမ့်မည်ဖြစ်ကြောင်းစစ်ဆေးလိုပါသည်။

စမ်းသပ်မှုပြုလုပ်ရန်၊ ကျွန်ုပ်တို့ထည့်ထားသောဖိုင်များထည့်သည့်လမ်းညွှန်ကိုဖွင့်ပြီး docker-compose.yml တွင် နောက်ထပ်စာကြောင်းတစ်ခုထည့်ကြပါစို့။

version: '3'

networks:
  elk:

volumes:
  elasticsearch:
    driver: local

services:

  logstash:
    container_name: logstash_one_channel
    image: docker.elastic.co/logstash/logstash:6.3.2
    networks:
      - elk
    environment:
      XPACK_MONITORING_ENABLED: "false"
    ports:
      - 5046:5046
   volumes:
      - ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
      - ./config/pipelines:/usr/share/logstash/config/pipelines:ro
      - ./logs:/usr/share/logstash/input

habr_pipeline.conf တွင် ထည့်သွင်းမှုအပိုင်းကို ပြောင်းပါ။

input {
  file {
    path => "/usr/share/logstash/input/*.log"
   }
  }

စလိုက်ရအောင်-

docker-compose up

မှတ်တမ်းဖိုင်များဖန်တီးရန်နှင့်ရေးသားရန်ကျွန်ုပ်တို့သည် command ကိုအသုံးပြုပါမည်:


echo '1' >> logs/number1.log

{
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:28:53.876Z,
logstash_one_channel |        "@version" => "1",
logstash_one_channel |         "message" => "1",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number1.log"
logstash_one_channel | }

ဟုတ်ကဲ့၊ အဆင်ပြေပါတယ်။

တစ်ချိန်တည်းမှာပင်၊ ကျွန်ုပ်တို့သည် လမ်းကြောင်းအကွက်ကို အလိုအလျောက်ထည့်ထားကြောင်း ကျွန်ုပ်တို့တွေ့မြင်ရပါသည်။ ဆိုလိုသည်မှာ အနာဂတ်တွင် ကျွန်ုပ်တို့သည် ၎င်းဖြင့် မှတ်တမ်းများကို စစ်ထုတ်နိုင်မည်ဖြစ်သည်။

ထပ်စမ်းကြည့်ရအောင်-

echo '2' >> logs/number1.log

{
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:28:59.906Z,
logstash_one_channel |        "@version" => "1",
logstash_one_channel |         "message" => "2",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number1.log"
logstash_one_channel | }

ယခု အခြားဖိုင်သို့

 echo '1' >> logs/number2.log

{
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:29:26.061Z,
logstash_one_channel |        "@version" => "1",
logstash_one_channel |         "message" => "1",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number2.log"
logstash_one_channel | }

မိုက်တယ်! ဖိုင်ကို ကောက်ယူပြီးပြီ၊ လမ်းကြောင်းကို မှန်ကန်စွာ သတ်မှတ်ပေးခဲ့သည်၊ အားလုံး အဆင်ပြေပါသည်။

logstash ရပ်ပြီး ပြန်စပါ။ စောင့်ရအောင်။ တိတ်တိတ်နေ။ အဲဒါတွေ။ ဤမှတ်တမ်းများကို ကျွန်ုပ်တို့ ထပ်၍မရပါ။

ယခုလည်း အရဲရင့်ဆုံး စမ်းသပ်ချက်။

logstash ကို install လုပ်ပြီး execute:

echo '3' >> logs/number2.log
echo '4' >> logs/number1.log

logstash ကိုပြန်ဖွင့်ပြီးကြည့်ပါ-

logstash_one_channel | {
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |         "message" => "3",
logstash_one_channel |        "@version" => "1",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number2.log",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:48:50.589Z
logstash_one_channel | }
logstash_one_channel | {
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |         "message" => "4",
logstash_one_channel |        "@version" => "1",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number1.log",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:48:50.856Z
logstash_one_channel | }

ဟူး! အရာအားလုံးကို ကောက်ယူခဲ့သည်။

သို့သော် အောက်ပါတို့ကို ကျွန်ုပ်တို့သတိပေးရပါမည်။ logstash ကွန်တိန်နာကို ဖျက်လိုက်လျှင် (docker stop logstash_one_channel && docker rm logstash_one_channel)၊ ထို့နောက် မည်သည့်အရာကိုမှ ကောက်ယူမည်မဟုတ်ပါ။ ဖတ်ပြီးသောဖိုင်၏ အနေအထားကို ကွန်တိန်နာအတွင်း သိမ်းဆည်းထားသည်။ ၎င်းကို အစမှ စတင်လုပ်ဆောင်ပါက လိုင်းအသစ်များကိုသာ လက်ခံမည်ဖြစ်သည်။

ရှိပြီးသားဖိုင်များကိုဖတ်ခြင်း။

ကျွန်ုပ်တို့သည် logstash ကို ပထမဆုံးအကြိမ် စတင်လုပ်ဆောင်နေသည်ဟု ဆိုကြပါစို့၊ သို့သော် ကျွန်ုပ်တို့တွင် မှတ်တမ်းများရှိပြီး ၎င်းတို့ကို လုပ်ဆောင်လိုပါသည်။
အထက်တွင်အသုံးပြုခဲ့သည့် input ကဏ္ဍဖြင့် logstash ကို run ပါက၊ မည်သည့်အရာမှ ရရှိမည်မဟုတ်ပါ။ logstash ဖြင့် လိုင်းအသစ်များကိုသာ လုပ်ဆောင်ပါမည်။

ရှိပြီးသားဖိုင်များမှ လိုင်းများကို ဆွဲယူနိုင်ရန်၊ ထည့်သွင်းမှုကဏ္ဍတွင် နောက်ထပ်စာကြောင်းတစ်ခု ထည့်သင့်သည်-

input {
  file {
    start_position => "beginning"
    path => "/usr/share/logstash/input/*.log"
   }
  }

ထို့အပြင်၊ ကွဲပြားချက်တစ်ခုရှိသည်- ၎င်းသည် logstash မမြင်ရသေးသောဖိုင်အသစ်များကိုသာအကျိုးသက်ရောက်သည်။ logstash ၏မြင်ကွင်းနယ်ပယ်တွင်ရှိနှင့်ပြီးသားတူညီသောဖိုင်များအတွက်၎င်းသည်၎င်းတို့၏အရွယ်အစားကိုမှတ်မိနေပြီးယခု၎င်းတို့ထဲတွင်အသစ်များကိုသာယူလိမ့်မည်။

ဒီမှာရပ်ပြီး ထည့်သွင်းမှုအပိုင်းကို လေ့လာကြည့်ရအောင်။ ရွေးချယ်စရာများစွာရှိပါသေးသည်၊ သို့သော် ယခုလက်ရှိ နောက်ထပ်စမ်းသပ်မှုများအတွက် ကျွန်ုပ်တို့အတွက် လုံလောက်ပါသည်။

Routing နှင့် Data Transformation

အောက်ပါပြဿနာကို ဖြေရှင်းကြည့်ရအောင်၊ ကျွန်ုပ်တို့တွင် ချန်နယ်တစ်ခုမှ မက်ဆေ့ဂျ်များ ရှိသည်၊ အချို့မှာ သတင်းအချက်အလက်ဖြစ်ပြီး အချို့မှာ အမှားမက်ဆေ့ချ်များဖြစ်သည်ဟု ဆိုကြပါစို့။ ၎င်းတို့သည် tag အားဖြင့်ကွဲပြားသည်။ အချို့သည် INFO ဖြစ်ပြီး အချို့မှာ ERROR ဖြစ်သည်။

ထွက်ပေါက်မှာ သူတို့ကို ခွဲထားရမယ်။ အဲဒါတွေ။ ကျွန်ုပ်တို့သည် ချန်နယ်တစ်ခုတွင် အချက်အလက်မက်ဆေ့ချ်များကို ရေးသားကြပြီး အခြားတစ်ခုတွင် အမှားအယွင်းမက်ဆေ့ချ်များ ရေးကြသည်။

ဒါကိုလုပ်ဖို့၊ ထည့်သွင်းမှုအပိုင်းကနေ စစ်ထုတ်ပြီး အထွက်ကို ရွှေ့ပါ။

စစ်ထုတ်ခြင်းကဏ္ဍကိုအသုံးပြုခြင်းဖြင့် ကျွန်ုပ်တို့သည် ၎င်းနှင့်အလုပ်လုပ်နိုင်သည့် hash (သော့တန်ဖိုးအတွဲများ) ကိုရယူပြီး အဝင်မက်ဆေ့ချ်ကို ခွဲခြမ်းစိပ်ဖြာပါမည်။ အခြေအနေအရ disassemble ။ အထွက်အပိုင်းတွင်၊ ကျွန်ုပ်တို့သည် မက်ဆေ့ချ်များကို ရွေးချယ်ပြီး တစ်ခုချင်းစီကို ၎င်း၏ကိုယ်ပိုင်ချန်နယ်သို့ ပေးပို့ပါမည်။

မက်ဆေ့ခ်ျကို grok ဖြင့် ပိုင်းခြားထားသည်။

စာသားကြိုးများကို ခွဲခြမ်းစိပ်ဖြာပြီး ၎င်းတို့ထံမှ နယ်ပယ်အစုံကို ရယူရန်အတွက်၊ စစ်ထုတ်ခြင်းကဏ္ဍ - grok တွင် အထူးပလပ်အင်တစ်ခု ရှိပါသည်။

ဤနေရာတွင် အသေးစိတ်ဖော်ပြချက်ပေးခြင်းကို ကျွန်ုပ်ကိုယ်တိုင် မသတ်မှတ်ဘဲ (ဒါအတွက် ကျွန်ုပ်ရည်ညွှန်းပါသည်။ တရားဝင်စာရွက်စာတမ်း) ကျွန်တော် ရိုးရိုးရှင်းရှင်း ဥပမာပေးမယ်။

ထိုသို့လုပ်ဆောင်ရန်၊ သင်သည် input strings ၏ format ကိုဆုံးဖြတ်ရန်လိုအပ်သည်။ ငါ့မှာ ဒီလိုမျိုး ရှိတယ်

1 အချက်အလက် မက်ဆေ့ချ် ၁
2 ERROR မက်ဆေ့ချ် ၂

အဲဒါတွေ။ identifier သည် ဦးစွာလာပြီး၊ ထို့နောက် INFO/ERROR၊ ထို့နောက် နေရာလွတ်မရှိသော စကားလုံးအချို့။
မခက်ခဲပေမယ့် လည်ပတ်မှုသဘောတရားကို နားလည်ဖို့ လုံလောက်ပါတယ်။

ထို့ကြောင့်၊ grok plugin ၏ filter အပိုင်းတွင်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏စာကြောင်းများကို ပိုင်းခြားရန် ပုံစံတစ်ခုကို သတ်မှတ်ရပါမည်။

ဤကဲ့သို့ပုံပေါ်လိမ့်မည်-

filter {
  grok {
    match => { "message" => ["%{INT:message_id} %{LOGLEVEL:message_type} %{WORD:message_text}"] }
   }
  } 

အခြေခံအားဖြင့် ၎င်းသည် ပုံမှန်အသုံးအနှုန်းဖြစ်သည်။ အဆင်သင့်လုပ်ထားသော ပုံစံများကို INT၊ LOGLEVEL၊ WORD ကဲ့သို့ အသုံးပြုသည်။ ၎င်းတို့၏ဖော်ပြချက်အပြင် အခြားပုံစံများကို ဤနေရာတွင် တွေ့နိုင်ပါသည်။ ဒီမှာ

ယခု ဤစစ်ထုတ်မှုကို ဖြတ်ကျော်ခြင်းဖြင့်၊ ကျွန်ုပ်တို့၏ စာကြောင်းသည် message_id၊ message_type၊ message_text နယ်ပယ်သုံးခု၏ hash အဖြစ်သို့ ပြောင်းလဲသွားပါမည်။

၎င်းတို့ကို output ကဏ္ဍတွင်ပြသလိမ့်မည်။

if command ကို အသုံးပြု၍ အထွက်အပိုင်းသို့ မက်ဆေ့ချ်များကို လမ်းကြောင်းပေးခြင်း။

အထွက်အပိုင်းတွင်၊ ကျွန်ုပ်တို့မှတ်မိသကဲ့သို့၊ ကျွန်ုပ်တို့သည် မက်ဆေ့ချ်များကို လမ်းကြောင်းနှစ်ခုအဖြစ် ခွဲသွားမည်ဖြစ်သည်။ iNFO ဖြစ်သည့် အချို့သည် ကွန်ဆိုးလ်သို့ ထုတ်ပေးမည်ဖြစ်ပြီး အမှားအယွင်းများဖြင့် ကျွန်ုပ်တို့သည် ဖိုင်တစ်ခုသို့ ထုတ်ပေးမည်ဖြစ်သည်။

ဤမက်ဆေ့ချ်များကို ကျွန်ုပ်တို့ မည်သို့ခွဲခြားမည်နည်း။ ပြဿနာ၏အခြေအနေသည် အဖြေတစ်ခုကို အကြံပြုထားပြီးဖြစ်သည်- အမှန်တော့၊ ကျွန်ုပ်တို့တွင် တန်ဖိုးနှစ်ခုသာယူနိုင်သည့် သီးခြား message_type အကွက်တစ်ခုရှိပြီးဖြစ်သည်- INFO နှင့် ERROR။ ဤအခြေခံပေါ်တွင် if statement ကိုအသုံးပြု၍ ရွေးချယ်မှုပြုလုပ်မည်ဖြစ်ပါသည်။

if [message_type] == "ERROR" {
        # Здесь выводим в файл
       } else
     {
      # Здесь выводим в stdout
    }

အကွက်များနှင့် အော်ပရေတာများဖြင့် လုပ်ဆောင်ခြင်းအကြောင်း ဖော်ပြချက်ကို ဤကဏ္ဍတွင် တွေ့နိုင်ပါသည်။ တရားဝင်လက်စွဲစာအုပ်.

အခု တကယ့် နိဂုံးက သူ့ဟာသူနဲ့ ပတ်သက်တယ်။

Console output၊ အားလုံးရှင်းပါတယ် - stdout {}

သို့သော် ဖိုင်တစ်ခုသို့ ထွက်လာသည် - ကျွန်ုပ်တို့သည် ဤအရာအားလုံးကို ကွန်တိန်နာတစ်ခုမှ လုပ်ဆောင်နေပြီး ကျွန်ုပ်တို့ရေးသားထားသော ရလဒ်ကို ပြင်ပမှ ဝင်ရောက်ကြည့်ရှုနိုင်စေရန်အတွက် ဤလမ်းညွှန်ချက်ကို docker-compose.yml တွင် ဖွင့်ရန် လိုအပ်ပါသည်။

စုစုပေါင်း:

ကျွန်ုပ်တို့၏ဖိုင်၏ အထွက်အပိုင်းသည် ဤကဲ့သို့ဖြစ်သည်-


output {
  if [message_type] == "ERROR" {
    file {
          path => "/usr/share/logstash/output/test.log"
          codec => line { format => "custom format: %{message}"}
         }
    } else
     {stdout {
             }
     }
  }

docker-compose.yml တွင် ကျွန်ုပ်တို့သည် အထွက်အတွက် အခြား volume ကို ထည့်သည်-

version: '3'

networks:
  elk:

volumes:
  elasticsearch:
    driver: local

services:

  logstash:
    container_name: logstash_one_channel
    image: docker.elastic.co/logstash/logstash:6.3.2
    networks:
      - elk
    environment:
      XPACK_MONITORING_ENABLED: "false"
    ports:
      - 5046:5046
   volumes:
      - ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
      - ./config/pipelines:/usr/share/logstash/config/pipelines:ro
      - ./logs:/usr/share/logstash/input
      - ./output:/usr/share/logstash/output

ကျွန်ုပ်တို့သည် ၎င်းကို စတင်လိုက်သည်၊ စမ်းကြည့်ကြပြီး အပိုင်းနှစ်ပိုင်းသို့ အပိုင်းခွဲကြည့်ကြသည်။

source: www.habr.com