FaŹ»atulagaina o faŹ»amaumauga e leŹ»i faŹ»atulagaina ma GROK
Afai o loŹ»o e faŹ»aogaina le Elastic (ELK) stack ma e te manaŹ»o e faŹ»apipiŹ»i faŹ»asologa masani Logstash ogalaau i Elasticsearch, o lenei pou e mo oe.
O le fa'aputuga ELK o se fa'apuupuuga mo galuega fa'alauiloa e tolu: Elasticsearch, Logstash ma Kibana. Fa'atasi latou te fa'atūina se fa'avae fa'afoe o ogalaau.
- Elasticsearch ose faiga su'esu'e ma au'ili'ili.
- Lologa o se laina faŹ»apipiŹ»i faŹ»amaumauga o faŹ»amaumauga e faŹ»aogaina faŹ»amatalaga mai le tele o punaoa i le taimi e tasi, suia, ona tuŹ»uina atu lea i se "stash" pei o Elasticsearch.
- kibana fa'atagaina tagata fa'aoga e va'ava'ai fa'amatalaga e fa'aaoga ai siata ma kalafi ile Elasticsearch.
Puti na o'o mai mulimuli ane ma ose fa'amatalaga mama mama. O le folasaga o Beats na suia ai le Elk Stack i le Elastic Stack, ae e le o le manatu lena.
O lenei tusiga e uiga ia Grok, o se vaega i Logstash e mafai ona suia au ogalaau aŹ»o leŹ»i auina atu i le faŹ»amau. Mo o matou faŹ»amoemoega, o le a ou talanoa e uiga i le gaosiga o faŹ»amaumauga mai Logstash i Elasticsearch.
O le Grok o se faamama i totonu o Logstash lea e faŹ»aaogaina e faŹ»asalalau ai faŹ»amatalaga e leŹ»i faŹ»atulagaina i se mea faŹ»atulagaina ma fesiligia. O loŹ»o nofo i luga o se faŹ»amatalaga masani (regex) ma faŹ»aoga mamanu o tusitusiga e fetaui ma manoa i faila ogalaau.
E pei ona o le a tatou vaŹ»aia i vaega nei, o le faŹ»aaogaina o Grok e faia ai se eseesega tele pe a oŹ»o mai i le puleaina lelei o ogalaau.
A aunoa ma Grok o au faŹ»amaumauga ogalaau e le faŹ»atulagaina
A aunoa ma Grok, pe a lafoina ogalaau mai Logstash i Elasticsearch ma tuŹ»uina atu i Kibana, e naŹ»o le faŹ»aalia o le feŹ»au tau.
O le fesiligia o fa'amatalaga anoa i lenei tulaga e faigata ona o fa'amaumauga uma o fa'amaumauga o lo'o teuina i se ki e tasi. E sili atu pe a sili atu le faŹ»atulagaina o feŹ»au ogalaau.
Fa'amatalaga le fa'atulagaina mai ogalaau
localhost GET /v2/applink/5c2f4bb3e9fda1234edc64d 400 46ms 5bc6e716b5d6cb35fc9687c0Afai e te vaŹ»avaŹ»ai totoŹ»a i faŹ»amatalaga mataŹ»utia, o le a e iloa ai o loŹ»o aofia ai vaega eseese, taŹ»itasi e vaeluaina e se avanoa.
Mo tagata atinaŹ»e sili atu le poto masani, atonu e mafai ona e mateina le uiga o vaega taŹ»itasi ma pe o le a le feŹ»au ogalaau mai le API call. O lo'o fa'amatala atu i lalo le fa'aaliga o mea ta'itasi.
Va'aiga fa'atulagaina o matou fa'amaumauga
- localhost == siosiomaga
- GET == auala
- ā /v2/applink/5c2f4bb3e9fda1234edc64d == url
- 400 == tali_tulaga
- 46ms == tali_taimi
- ā 5bc6e716b5d6cb35fc9687c0 == user_id
E pei ona tatou vaŹ»ai i faŹ»amaumauga faŹ»atulagaina, o loŹ»o i ai se faŹ»atonuga mo ogalaau e leŹ»i faŹ»atulagaina. O le isi laasaga o le faŹ»aogaina o masini komepiuta o faŹ»amatalaga mataŹ»utia. O le mea lea e susulu ai Grok.
Grok Templates
FaŹ»ataŹ»itaŹ»iga Grok faŹ»apipiŹ»iina
Logstash e sau ma sili atu i le 100 faŹ»ataŹ»itaŹ»iga faŹ»apipiŹ»iina mo le faŹ»atulagaina o faŹ»amaumauga e leŹ»i faŹ»atulagaina. E tatau ona e faŹ»aaogaina lenei mea i soŹ»o se taimi e mafai ai mo syslogs lautele e pei o apache, linux, haproxy, aws ma isi.
Ae ui i lea, o le a le mea e tupu pe a iai sau ogalaau masani e pei o le faŹ»ataŹ»itaŹ»iga i luga? E tatau ona e fausia lau lava Grok template.
Custom Grok templates
E tatau ona e taumafai e fausia lau lava Grok template. Sa ou faaaogaina Šø .
Manatua o le Grok template syntax e faŹ»apea: %{SYNTAX:SEMANTIC}
O le mea muamua na ou taumafai e fai o le alu i le tab maua i le Grok debugger. Na ou manatu o le a manaia pe a mafai e lenei meafaigaluega ona otometi lava ona gaosia se mamanu Grok, ae e leŹ»i aoga tele talu ai na maua ai na o le lua afitusi.
I le faŹ»aaogaina o lenei sailiga, na amata ai ona ou fatuina laŹ»u lava faŹ»ataŹ»itaŹ»iga i le Grok debugger e faŹ»aaoga ai le syntax o loŹ»o maua ile itulau Elastic Github.
Ina ua uma ona taŹ»alo faŹ»atasi ma faŹ»asologa eseese, na iu lava ina mafai ona ou faŹ»atulagaina faŹ»amaumauga ogalaau i le auala ou te manaŹ»o ai.
Grok Debugger Link
Uluai tusitusiga:
localhost GET /v2/applink/5c2f4bb3e9fda1234edc64d 400 46ms 5bc6e716b5d6cb35fc9687c0mamanu:
%{WORD:environment} %{WORD:method} %{URIPATH:url} %{NUMBER:response_status} %{WORD:response_time} %{USERNAME:user_id}O le a le mea na tupu i le iuga
{
"environment": [
[
"localhost"
]
],
"method": [
[
"GET"
]
],
"url": [
[
"/v2/applink/5c2f4bb3e9fda1234edc64d"
]
],
"response_status": [
[
"400"
]
],
"BASE10NUM": [
[
"400"
]
],
"response_time": [
[
"46ms"
]
],
"user_id": [
[
"5bc6e716b5d6cb35fc9687c0"
]
]
}Faatasi ai ma le Grok template ma faŹ»afanua faŹ»amaumauga i lima, o le laasaga mulimuli o le faŹ»aopoopo i Logstash.
FaŹ»afouina le faila faŹ»atulagaina Logstash.conf
I luga o le 'auŹ»aunaga na e faŹ»apipiŹ»i ai le ELK stack, alu i le Logstash configuration:
sudo vi /etc/logstash/conf.d/logstash.confFa'amau suiga.
input {
file {
path => "/your_logs/*.log"
}
}
filter{
grok {
match => { "message" => "%{WORD:environment} %{WORD:method} %{URIPATH:url} %{NUMBER:response_status} %{WORD:response_time} %{USERNAME:user_id}"}
}
}
output {
elasticsearch {
hosts => [ "localhost:9200" ]
}
}A uma ona teu au suiga, toe amata Logstash ma siaki lona tulaga ina ia mautinoa o loŹ»o galue pea.
sudo service logstash restart
sudo service logstash statusMulimuli ane, ina ia mautinoa ua aoga suiga, Ia mautinoa e faŹ»afouina lau Elasticsearch index mo Logstash i Kibana!
Faatasi ai ma Grok, ua faŹ»atulagaina au faŹ»amatalaga ogalaau!
E pei ona mafai ona tatou vaŹ»ai i le ata o loŹ»o i luga, e mafai e Grok ona faŹ»afetaui faŹ»amaumauga faŹ»amaumauga ma Elasticsearch. O lea e faafaigofie ai le pulea o ogalaau ma vave ona fesiligia faamatalaga. Nai lo le eliina i faila ogalaau e debug, e mafai ona e faŹ»amama i mea o loŹ»o e sailia, pei o se siosiomaga poŹ»o se url.
Fa'ata'ita'i fa'amatalaga Grok! Afai ei ai se isi auala e fai ai lenei mea pe iai ni faŹ»afitauli i faŹ»ataŹ»itaŹ»iga o loŹ»o i luga, naŹ»o le tusi o se faŹ»amatalaga i lalo e faŹ»ailoa mai ia te aŹ»u.
Fa'afetai mo le faitau-ma fa'amolemole mulimuli mai ia te a'u iinei i luga ole Medium mo nisi fa'amatalaga fa'ainisinia faakomepiuta manaia!
Punaoa
PS
Telegram alaala e
puna: www.habr.com
