הקדמה

בשעת דיפּלויינג אן אנדער סיסטעם, מיר זענען פייסט מיט די נויט צו פּראָצעס אַ גרויס נומער פון פאַרשידענע לאָגס. ELK איז אויסדערוויילט ווי די געצייַג. דער אַרטיקל וועט דיסקוטירן אונדזער דערפאַרונג אין באַשטעטיקן דעם אָנלייגן.

מיר שטעלן נישט אַ ציל צו באַשרייַבן אַלע זייַן קייפּאַבילאַטיז, אָבער מיר ווילן צו קאַנסאַנטרייט ספּאַסיפיקלי אויף סאַלווינג פּראַקטיש פּראָבלעמס. דאָס איז רעכט צו דעם פאַקט אַז כאָטש עס איז אַ גאַנץ גרויס סומע פון ​​דאַקיומענטיישאַן און פאַרטיק בילדער, עס זענען גאַנץ אַ פּלאַץ פון פּיטפאָלז, אין מינדסטער מיר געפֿונען זיי.

מיר דיפּלויד דעם אָנלייגן דורך docker-compose. דערצו, מיר האָבן אַ געזונט-געשריבן docker-compose.yml, וואָס ערלויבט אונדז צו כאַפּן דעם אָנלייגן כּמעט אָן פראבלעמען. און עס געווען צו אונדז אַז נצחון איז שוין נאָענט, איצט מיר וועט טוויק עס אַ ביסל צו פּאַסן אונדזער באדערפענישן און אַז ס עס.

צום באַדויערן, דער פּרווון צו קאַנפיגיער די סיסטעם צו באַקומען און פּראָצעס לאָגס פֿון אונדזער אַפּלאַקיישאַן איז נישט גלייך געראָטן. דעריבער, מיר באַשלאָסן אַז עס איז ווערט צו לערנען יעדער קאָמפּאָנענט סעפּעראַטלי, און דעמאָלט צוריקקומען צו זייער קאַנעקשאַנז.

אַזוי, מיר אנגעהויבן מיט לאָגסטאַש.

סוויווע, דיפּלוימאַנט, פליסנדיק Logstash אין אַ קאַנטיינער

פֿאַר דיפּלוימאַנט מיר נוצן docker-compose; די יקספּעראַמאַנץ דיסקרייבד דאָ זענען דורכגעקאָכט אויף MacOS און Ubuntu 18.0.4.

די לאָגסטאַש בילד וואָס איז געווען רעגיסטרירט אין אונדזער אָריגינעל docker-compose.yml איז docker.elastic.co/logstash/logstash:6.3.2

מיר וועלן נוצן עס פֿאַר יקספּעראַמאַנץ.

מיר געשריבן אַ באַזונדער docker-compose.yml צו לויפן logstash. דאָך, עס איז מעגלעך צו קאַטער די בילד פֿון די באַפֿעלן שורה, אָבער מיר האָבן סאַלווד אַ ספּעציפיש פּראָבלעם, ווו מיר לויפן אַלץ פֿון דאָקער-קאָמפּאָסע.

בעקיצער וועגן קאַנפיגיעריישאַן טעקעס

ווי גייט פון די באַשרייַבונג, לאָגסטאַש קענען זיין לויפן אָדער פֿאַר איין קאַנאַל, אין וואָס פאַל עס דאַרף צו פאָרן די *.conf טעקע, אָדער פֿאַר עטלעכע טשאַנאַלז, אין וואָס פאַל עס דאַרף צו פאָרן די pipelines.yml טעקע, וואָס, אין קער , וועט לינק צו די טעקעס .conf פֿאַר יעדער קאַנאַל.
מי ר האב ן גענומע ן דע ם צװײט ן װעג . עס געווען צו אונדז מער וניווערסאַל און סקאַלאַבלע. דעריבער, מיר באשאפן pipelines.yml, און געמאכט אַ פּייפּליינז וועגווייַזער אין וואָס מיר וועלן שטעלן .conf טעקעס פֿאַר יעדער קאַנאַל.

ין דער קאַנטיינער עס איז אן אנדער קאַנפיגיעריישאַן טעקע - logstash.yml. מיר אָנרירן עס נישט, מיר נוצן עס ווי עס איז.

אַזוי, אונדזער וועגווייַזער סטרוקטור:

צו באַקומען אַרייַנשרייַב דאַטן, איצט מיר יבערנעמען אַז דאָס איז tcp אויף פּאָרט 5046, און פֿאַר פּראָדוקציע מיר וועלן נוצן סטדאָוט.

דאָ איז אַ פּשוט קאַנפיגיעריישאַן פֿאַר דער ערשטער קאַטער. ווייַל די ערשט אַרבעט איז צו קאַטער.

אַזוי, מיר האָבן דעם docker-compose.yml

version: '3'

networks:
  elk:

volumes:
  elasticsearch:
    driver: local

services:

  logstash:
    container_name: logstash_one_channel
    image: docker.elastic.co/logstash/logstash:6.3.2
    networks:
      	- elk
    ports:
      	- 5046:5046
    volumes:
      	- ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
	- ./config/pipelines:/usr/share/logstash/config/pipelines:ro

וואָס טאָן מיר זען דאָ?

1. נעטוואָרקס און וואַליומז זענען גענומען פון דער אָריגינעל docker-compose.yml (דער איינער ווו די גאנצע אָנלייגן איז לאָנטשט) און איך טראַכטן אַז זיי טאָן ניט זייער ווירקן די קוילעלדיק בילד דאָ.
2. מיר שאַפֿן איין לאָגסטאש דינסט (s) פֿון די docker.elastic.co/logstash/logstash:6.3.2 בילד און נאָמען עס logstash_one_channel.
3. מיר פֿאָרווערטס פּאָרט 5046 אין דעם קאַנטיינער, צו דער זעלביקער ינערלעך פּאָרט.
4. מיר מאַפּע אונדזער רער קאַנפיגיעריישאַן טעקע ./config/pipelines.yml צו דער טעקע /usr/share/logstash/config/pipelines.yml אין דעם קאַנטיינער, ווו לאָגסטאַש וועט קלייַבן עס און מאַכן עס בלויז לייענען, אין פאַל.
5. מיר מאַפּס די ./config/pipelines וועגווייַזער, ווו מיר האָבן טעקעס מיט קאַנאַל סעטטינגס, אין די /usr/share/logstash/config/pipelines וועגווייַזער און אויך מאַכן עס לייענען-בלויז.

Pipelines.yml טעקע

- pipeline.id: HABR
  pipeline.workers: 1
  pipeline.batch.size: 1
  path.config: "./config/pipelines/habr_pipeline.conf"

איין קאַנאַל מיט די HABR ידענטיפיער און דער דרך צו זיין קאַנפיגיעריישאַן טעקע זענען דיסקרייבד דאָ.

און לעסאָף די טעקע "./config/pipelines/habr_pipeline.conf"

input {
  tcp {
    port => "5046"
   }
  }
filter {
  mutate {
    add_field => [ "habra_field", "Hello Habr" ]
    }
  }
output {
  stdout {
      
    }
  }

לאָמיר נישט גיין אין זיין באַשרייַבונג פֿאַר איצט, לאָמיר פּרובירן צו לויפן עס:

docker-compose up

וואָס טאָן מיר זען?

דער קאַנטיינער האט אנגעהויבן. מיר קענען קאָנטראָלירן זייַן אָפּעראַציע:

echo '13123123123123123123123213123213' | nc localhost 5046

און מיר זען די ענטפער אין די קאַנטיינער קאַנסאָול:

אָבער אין דער זעלביקער צייט, מיר אויך זען:

logstash_one_channel | [2019-04-29T11:28:59,790][ERROR][logstash.licensechecker.licensereader] ניט געקענט צוריקקריגן דערלויבעניש אינפֿאָרמאַציע פון ​​דער דערלויבעניש סערווער {:message=>“Elasticsearch Unreachable: [http://elasticsearch:9200/][Manticore :: ResolutionFailure] elasticsearch", ...

logstash_one_channel | [2019-04-29T11:28:59,894][INFO ][logstash.pipeline ] פּייפּליין סטאַרטעד הצלחה {:pipeline_id=>.monitoring-logstash", :thread=>"# "}

logstash_one_channel | [2019-04-29T11:28:59,988][INFO ][logstash.agent ] פּייפּליינז פליסנדיק {:count=>2, :running_pipelines=>[:HABR,:.monitoring-logstash"], :non_running_pipelines=>[ ]}
logstash_one_channel | [2019-04-29T11:29:00,015][ERROR][logstash.inputs.metrics] X-Pack איז אינסטאַלירן אויף Logstash אָבער נישט אויף Elasticsearch. ביטע ינסטאַלירן X-Pack אויף Elasticsearch צו נוצן די מאָניטאָרינג שטריך. אנדערע פֿעיִקייטן קען זיין בארעכטיגט.
logstash_one_channel | [2019-04-29T11:29:00,526][INFO ][logstash.agent] הצלחה סטאַרטעד Logstash API ענדפּוינט {:port=>9600}
logstash_one_channel | [2019-04-29T11:29:04,478][INFO ][logstash.outputs.elasticsearch] פליסנדיק געזונט טשעק צו זען אויב אַן Elasticsearch קשר איז ארבעטן {:healthcheck_url=>http://elasticsearch:9200/, :path=> "/"}
logstash_one_channel | [2019-04-29T11:29:04,487][WARN ][logstash.outputs.elasticsearch] פּרווון צו רעזערעקט די קשר צו טויט ES בייַשפּיל, אָבער אַ טעות. {: URL=>"גומע זוכן:9200/", :error_type=>LogStash::Outputs::ElasticSearch::HttpClient::Pool::HostUnreachableError, :error=>"Elasticsearch Unreachable: [http://elasticsearch:9200/][Manticore::ResolutionFailure] elasticsearch"}
logstash_one_channel | [2019-04-29T11:29:04,704][INFO ][logstash.licensechecker.licensereader] פליסנדיק געזונט טשעק צו זען אויב אַן Elasticsearch קשר איז ארבעטן {:healthcheck_url=>http://elasticsearch:9200/, :path=> "/"}
logstash_one_channel | [2019-04-29T11:29:04,710][WARN ][logstash.licensechecker.licensereader] פּרווון צו רעזערעקט די קשר צו טויט ES בייַשפּיל, אָבער אַ טעות. {: URL=>"גומע זוכן:9200/", :error_type=>LogStash::Outputs::ElasticSearch::HttpClient::Pool::HostUnreachableError, :error=>"Elasticsearch Unreachable: [http://elasticsearch:9200/][Manticore::ResolutionFailure] elasticsearch"}

און אונדזער קלאָץ איז קריפּינג אַרויף אַלע די צייַט.

דאָ איך כיילייטיד אין גרין די אָנזאָג אַז די רערנ - ליניע איז לאָנטשט הצלחה, אין רויט די טעות אָנזאָג און אין געל די אָנזאָג וועגן אַן פּרווון צו קאָנטאַקט גומע זוכן: קסנומקס.
דאָס כאַפּאַנז ווייַל logstash.conf, אַרייַנגערעכנט אין די בילד, כּולל אַ טשעק פֿאַר אַוויילאַבילאַטי פון Elasticsearch. נאָך אַלע, לאָגסטאַש אַסומז אַז עס אַרבעט ווי אַ טייל פון די עלק אָנלייגן, אָבער מיר אפגעשיידט עס.

עס איז מעגלעך צו אַרבעטן, אָבער עס איז נישט באַקוועם.

די לייזונג איז צו דיסייבאַל דעם טשעק דורך די XPACK_MONITORING_ENABLED סוויווע בייַטעוודיק.

לאָמיר מאַכן אַ ענדערונג צו docker-compose.yml און לויפן עס ווידער:

version: '3'

networks:
  elk:

volumes:
  elasticsearch:
    driver: local

services:

  logstash:
    container_name: logstash_one_channel
    image: docker.elastic.co/logstash/logstash:6.3.2
    networks:
      - elk
    environment:
      XPACK_MONITORING_ENABLED: "false"
    ports:
      - 5046:5046
   volumes:
      - ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
      - ./config/pipelines:/usr/share/logstash/config/pipelines:ro

איצט, אַלץ איז גוט. דער קאַנטיינער איז גרייט פֿאַר יקספּעראַמאַנץ.

מיר קענען דרוקן ווידער אין דער ווייַטער קאַנסאָול:

echo '13123123123123123123123213123213' | nc localhost 5046

און זען:

logstash_one_channel | {
logstash_one_channel |         "message" => "13123123123123123123123213123213",
logstash_one_channel |      "@timestamp" => 2019-04-29T11:43:44.582Z,
logstash_one_channel |        "@version" => "1",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |            "host" => "gateway",
logstash_one_channel |            "port" => 49418
logstash_one_channel | }

אַרבעט אין איין קאַנאַל

אַזוי מיר לאָנטשט. איצט איר קענען טאַקע נעמען די צייט צו קאַנפיגיער לאָגסטאַש זיך. לאָמיר נישט אָנרירן די pipelines.yml טעקע פֿאַר איצט, לאָמיר זען וואָס מיר קענען באַקומען דורך ארבעטן מיט איין קאַנאַל.

איך מוזן זאָגן אַז דער גענעראַל פּרינציפּ פון ארבעטן מיט די קאַנאַל קאַנפיגיעריישאַן טעקע איז געזונט דיסקרייבד אין דער באַאַמטער מאַנואַל דאָ דאָ
אויב איר ווילט לייענען אויף רוסיש, מיר געוויינט דעם אַרטיקל(אָבער די אָנפֿרעג סינטאַקס דאָרט איז אַלט, מיר דאַרפֿן צו נעמען דעם אין חשבון).

זאל ס גיין סאַקווענטשאַלי פון די אַרייַנשרייַב אָפּטיילונג. מיר האָבן שוין געזען אַרבעט אויף TCP. וואָס אַנדערש קען זיין טשיקאַווע דאָ?

פּרובירן אַרטיקלען ניצן כאַרטביט

עס איז אַזאַ אַ טשיקאַווע געלעגנהייט צו דזשענערייט אָטאַמאַטיק פּרובירן אַרטיקלען.
צו טאָן דאָס, איר דאַרפֿן צו געבן די העאַרטבעאַן פּלוגין אין די אַרייַנשרייַב אָפּטיילונג.

input {
  heartbeat {
    message => "HeartBeat!"
   }
  } 

קער עס אויף, אָנהייב ריסיווינג אַמאָל אַ מינוט

logstash_one_channel | {
logstash_one_channel |      "@timestamp" => 2019-04-29T13:52:04.567Z,
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |         "message" => "HeartBeat!",
logstash_one_channel |        "@version" => "1",
logstash_one_channel |            "host" => "a0667e5c57ec"
logstash_one_channel | }

אויב מיר ווילן צו באַקומען מער אָפט, מיר דאַרפֿן צו לייגן די ינטערוואַל פּאַראַמעטער.
אַזוי מיר וועלן באַקומען אַ אָנזאָג יעדער 10 סעקונדעס.

input {
  heartbeat {
    message => "HeartBeat!"
    interval => 10
   }
  }

ריטריווינג דאַטן פון אַ טעקע

מיר אויך באַשלאָסן צו קוקן אין די טעקע מאָדע. אויב עס אַרבעט פייַן מיט דער טעקע, טאָמער קיין אַגענט איז דארף, לפּחות פֿאַר היגע נוצן.

לויט די באַשרייַבונג, די אַפּערייטינג מאָדע זאָל זיין ענלעך צו עק -f, י.ע. לייענט נייַע שורות אָדער, ווי אַן אָפּציע, לייענט די גאנצע טעקע.

אַזוי וואָס מיר ווילן צו באַקומען:

1. מיר ווילן צו באַקומען שורות וואָס זענען אַפּפּענדעד צו איין קלאָץ טעקע.
2. מיר ווילן צו באַקומען דאַטן וואָס זענען געשריבן צו עטלעכע לאָג טעקעס, בשעת מיר קענען אָפּטיילן וואָס איז באקומען פון ווו.
3. מיר ווילן צו מאַכן זיכער אַז ווען לאָגסטאַש איז ריסטאַרטיד, עס וועט נישט באַקומען די דאַטן ווידער.
4. מיר ווילן צו קאָנטראָלירן אַז אויב לאָגסטאַש איז אויסגעדרייט אַוועק און דאַטן פאָרזעצן צו זיין געשריבן צו טעקעס, ווען מיר לויפן עס, מיר וועלן באַקומען די דאַטן.

צו אָנפירן דעם עקספּערימענט, לאָזן אונדז לייגן אן אנדער שורה צו docker-compose.yml, עפן די וועגווייַזער אין וואָס מיר שטעלן די טעקעס.

version: '3'

networks:
  elk:

volumes:
  elasticsearch:
    driver: local

services:

  logstash:
    container_name: logstash_one_channel
    image: docker.elastic.co/logstash/logstash:6.3.2
    networks:
      - elk
    environment:
      XPACK_MONITORING_ENABLED: "false"
    ports:
      - 5046:5046
   volumes:
      - ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
      - ./config/pipelines:/usr/share/logstash/config/pipelines:ro
      - ./logs:/usr/share/logstash/input

און טוישן די אַרייַנשרייַב אָפּטיילונג אין habr_pipeline.conf

input {
  file {
    path => "/usr/share/logstash/input/*.log"
   }
  }

לאמיר אנהייבן:

docker-compose up

צו שאַפֿן און שרייַבן קלאָץ טעקעס מיר וועלן נוצן דעם באַפֿעל:


echo '1' >> logs/number1.log

{
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:28:53.876Z,
logstash_one_channel |        "@version" => "1",
logstash_one_channel |         "message" => "1",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number1.log"
logstash_one_channel | }

יאָ, עס אַרבעט!

אין דער זעלביקער צייט, מיר זען אַז מיר האָבן אויטאָמאַטיש צוגעגעבן דעם דרך פעלד. דאָס מיינט אַז אין דער צוקונפֿט, מיר וועלן קענען צו פילטער רעקאָרדס דורך עס.

לאמיר פרובירן נאכאמאל:

echo '2' >> logs/number1.log

{
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:28:59.906Z,
logstash_one_channel |        "@version" => "1",
logstash_one_channel |         "message" => "2",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number1.log"
logstash_one_channel | }

און איצט צו אן אנדער טעקע:

 echo '1' >> logs/number2.log

{
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:29:26.061Z,
logstash_one_channel |        "@version" => "1",
logstash_one_channel |         "message" => "1",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number2.log"
logstash_one_channel | }

גרויס! דער טעקע איז פּיקט זיך, דער דרך איז געווען ריכטיק ספּעסיפיעד, אַלץ איז גוט.

האַלטן לאָגסטאַש און אָנהייב ווידער. לאָמיר וואַרטן. שטילקייַט. יענע. מיר באַקומען נישט די רעקאָרדס ווידער.

און איצט די מערסט דערינג עקספּערימענט.

ינסטאַלירן לאָגסטאש און ויספירן:

echo '3' >> logs/number2.log
echo '4' >> logs/number1.log

לויפן לאָגסטאַס ווידער און זען:

logstash_one_channel | {
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |         "message" => "3",
logstash_one_channel |        "@version" => "1",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number2.log",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:48:50.589Z
logstash_one_channel | }
logstash_one_channel | {
logstash_one_channel |            "host" => "ac2d4e3ef70f",
logstash_one_channel |     "habra_field" => "Hello Habr",
logstash_one_channel |         "message" => "4",
logstash_one_channel |        "@version" => "1",
logstash_one_channel |            "path" => "/usr/share/logstash/input/number1.log",
logstash_one_channel |      "@timestamp" => 2019-04-29T14:48:50.856Z
logstash_one_channel | }

האריי! אלעס איז אויפגענומען געווארן.

אבער מיר מוזן וואָרענען איר וועגן די פאלגענדע. אויב די לאָגסטאַש קאַנטיינער איז אויסגעמעקט (דאָקקער האַלטן logstash_one_channel && docker rm logstash_one_channel), גאָרנישט וועט זיין פּיקט אַרויף. די שטעלע פון ​​דער טעקע צו וואָס עס איז געווען לייענען איז סטאָרד אין דעם קאַנטיינער. אויב איר לויפן עס פֿון קראַצן, עס וועט נאָר אָננעמען נייַע שורות.

לייענען יגזיסטינג טעקעס

זאל ס זאָגן מיר זענען לאָנטשינג לאָגסטאַש פֿאַר די ערשטער מאָל, אָבער מיר האָבן שוין לאָגס און מיר וואָלט ווי צו פּראָצעס זיי.
אויב מיר לויפן לאָגסטאש מיט די אַרייַנשרייַב אָפּטיילונג וואָס מיר געוויינט אויבן, מיר וועלן באַקומען גאָרנישט. בלויז נייַע שורות וועט זיין פּראַסעסט דורך לאָגסטאַש.

כּדי די שורות פון יגזיסטינג טעקעס זאָל זיין פּולד אַרויף, איר זאָל לייגן אַן נאָך שורה צו די אַרייַנשרייַב אָפּטיילונג:

input {
  file {
    start_position => "beginning"
    path => "/usr/share/logstash/input/*.log"
   }
  }

דערצו, עס איז אַ נואַנס: דאָס בלויז אַפעקץ נייַע טעקעס וואָס לאָגסטאַש האט נישט נאָך געזען. פֿאַר די זעלבע טעקעס וואָס זענען שוין אין די פעלד פון מיינונג פון לאָגסטאַש, עס האט שוין דערמאנט זייער גרייס און וועט איצט נאָר נעמען נייַ איינסן אין זיי.

זאל ס האַלטן דאָ און לערנען די אַרייַנשרייַב אָפּטיילונג. עס זענען נאָך פילע אָפּציעס, אָבער דאָס איז גענוג פֿאַר אונדז פֿאַר ווייַטער יקספּעראַמאַנץ איצט.

רוטינג און דאַטאַ טראַנספאָרמאַציע

זאל ס פּרובירן צו סאָלווע די פאלגענדע פּראָבלעם, לאָזן ס זאָגן מיר האָבן אַרטיקלען פון איין קאַנאַל, עטלעכע פון ​​זיי זענען ינפאָרמאַטיוו, און עטלעכע זענען טעות אַרטיקלען. זיי אַנדערש דורך קוויטל. עטלעכע זענען אינפֿאָרמאַציע, אנדערע זענען טעות.

מיר דאַרפֿן צו באַזונדער זיי בייַ די אַרויסגאַנג. יענע. מיר שרייַבן אינפֿאָרמאַציע אַרטיקלען אין איין קאַנאַל, און טעות אַרטיקלען אין אנדערן.

צו טאָן דאָס, מאַך פון די אַרייַנשרייַב אָפּטיילונג צו פילטער און רעזולטאַט.

ניצן די פילטער אָפּטיילונג, מיר וועלן פּאַרס די ינקאַמינג אָנזאָג, קריגן אַ האַש (שליסל-ווערט פּערז), וואָס מיר קענען שוין אַרבעטן מיט, ד.ה. דיסאַסעמבאַל לויט צו באדינגונגען. און אין דער רעזולטאַט אָפּטיילונג, מיר וועלן אויסקלייַבן אַרטיקלען און שיקן יעדער צו זיין אייגענע קאַנאַל.

פּאַרסינג אַ אָנזאָג מיט גראָק

אין סדר צו פּאַרס טעקסט סטרינגס און באַקומען אַ סכום פון פעלדער פֿון זיי, עס איז אַ ספּעציעל פּלוגין אין די פילטער אָפּטיילונג - grok.

אָן באַשטעטיקן זיך דעם ציל צו געבן אַ דיטיילד באַשרייַבונג פון עס דאָ (פֿאַר דעם איך אָפּשיקן צו באַאַמטער דאַקיומענטיישאַן), איך וועל געבן מיין פּשוט בייַשפּיל.

צו טאָן דאָס, איר דאַרפֿן צו באַשליסן די פֿאָרמאַט פון די אַרייַנשרייַב סטרינגס. איך האָבן זיי ווי דאָס:

1 אינפֿאָרמאַציע אָנזאָג 1
2 טעות אָנזאָג 2

יענע. דער אידענטיפיצער קומט ערשטער, דעמאָלט INFO / טעות, און עטלעכע וואָרט אָן ספּייסאַז.
עס איז נישט שווער, אָבער עס איז גענוג צו פֿאַרשטיין דעם פּרינציפּ פון אָפּעראַציע.

אַזוי, אין די פילטער אָפּטיילונג פון די גראָק פּלוגין, מיר מוזן דעפינירן אַ מוסטער פֿאַר פּאַרסינג אונדזער סטרינגס.

עס וועט קוקן ווי דאָס:

filter {
  grok {
    match => { "message" => ["%{INT:message_id} %{LOGLEVEL:message_type} %{WORD:message_text}"] }
   }
  } 

יסענשאַלי עס ס אַ רעגולער אויסדרוק. גרייט-געמאכט פּאַטערנז זענען געניצט, אַזאַ ווי INT, LOGLEVEL, WORD. זייער באַשרייַבונג, ווי געזונט ווי אנדערע פּאַטערנז, קענען זיין געפֿונען דאָ דאָ

איצט, דורכגעגאנגען דורך דעם פילטער, אונדזער שטריקל וועט זיין אַ האַש פון דריי פעלדער: message_id, message_type, message_text.

זיי וועלן זיין געוויזן אין די רעזולטאַט אָפּטיילונג.

רוטינג אַרטיקלען צו דער רעזולטאַט אָפּטיילונג ניצן די אויב באַפֿעל

אין דער רעזולטאַט אָפּטיילונג, ווי מיר געדענקען, מיר זענען געגאנגען צו שפּאַלטן די אַרטיקלען אין צוויי סטרימז. עטלעכע - וואָס זענען ינפאָ, וועט זיין רעזולטאַט צו די קאַנסאָול, און מיט ערראָרס, מיר וועלן רעזולטאַט צו אַ טעקע.

ווי טאָן מיר באַזונדער די אַרטיקלען? דער צושטאַנד פון דעם פּראָבלעם שוין סאַגדזשעסץ אַ לייזונג - נאָך אַלע, מיר האָבן שוין אַ דעדאַקייטאַד אָנזאָג_טיפּ פעלד, וואָס קענען נאָר נעמען צוויי וואַלועס: INFO און ERROR. עס איז אויף דעם יקער אַז מיר וועלן מאַכן אַ ברירה ניצן די אויב ויסזאָגונג.

if [message_type] == "ERROR" {
        # Здесь выводим в файл
       } else
     {
      # Здесь выводим в stdout
    }

א באַשרייַבונג פון ארבעטן מיט פעלדער און אָפּערייטערז קענען זיין געפֿונען אין דעם אָפּטיילונג באַאַמטער מאַנואַל.

איצט, וועגן די פאַקטיש מסקנא זיך.

קאַנסאָול רעזולטאַט, אַלץ איז קלאָר דאָ - סטדאָוט {}

אָבער דער רעזולטאַט צו אַ טעקע - געדענקט אַז מיר לויפן אַלע דעם פֿון אַ קאַנטיינער און אַזוי אַז די טעקע אין וואָס מיר שרייַבן די רעזולטאַט איז צוטריטלעך פֿון אַרויס, מיר דאַרפֿן צו עפֿענען דעם וועגווייַזער אין docker-compose.yml.

גאַנץ:

דער רעזולטאַט אָפּטיילונג פון אונדזער טעקע קוקט ווי דאָס:


output {
  if [message_type] == "ERROR" {
    file {
          path => "/usr/share/logstash/output/test.log"
          codec => line { format => "custom format: %{message}"}
         }
    } else
     {stdout {
             }
     }
  }

אין docker-compose.yml מיר לייגן אן אנדער באַנד פֿאַר רעזולטאַט:

version: '3'

networks:
  elk:

volumes:
  elasticsearch:
    driver: local

services:

  logstash:
    container_name: logstash_one_channel
    image: docker.elastic.co/logstash/logstash:6.3.2
    networks:
      - elk
    environment:
      XPACK_MONITORING_ENABLED: "false"
    ports:
      - 5046:5046
   volumes:
      - ./config/pipelines.yml:/usr/share/logstash/config/pipelines.yml:ro
      - ./config/pipelines:/usr/share/logstash/config/pipelines:ro
      - ./logs:/usr/share/logstash/input
      - ./output:/usr/share/logstash/output

מיר קאַטער עס, פּרובירן עס און זען אַ טייל אין צוויי סטרימז.

מקור: www.habr.com