🥇ספּונק וניווערסאַל פאָרווערדער אין דאָקקער ווי אַ סיסטעם קלאָץ קאַלעקטער

ספּלונק איז איינער פון עטלעכע פון די מערסט רעקאַגנייזאַבאַל געשעפט לאָג זאַמלונג און אַנאַליסיס פּראָדוקטן. אפילו איצט, ווען פארקויפונג איז ניט מער געמאכט אין רוסלאַנד, דאָס איז נישט אַ סיבה נישט צו שרייַבן ינסטראַקשאַנז / ווי-צו פֿאַר דעם פּראָדוקט.

אַרבעט: קלייַבן סיסטעם לאָגס פֿון דאָקקער נאָודז אין ספּלונק אָן טשאַנגינג די קאַנפיגיעריישאַן פון די באַלעבאָס מאַשין

איך וואָלט ווי צו אָנהייבן מיט דער באַאַמטער צוגאַנג, וואָס קוקט אַ ביסל מאָדנע ווען ניצן דאָקער.
לינק צו דאָקקער כאַב
וואָס מיר האָבן:

1. פּולים בילד

$ docker pull splunk/universalforwarder:latest

2. אָנהייב דעם קאַנטיינער מיט די נייטיק פּאַראַמעטערס

$ docker run -d  -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=<password>' splunk/universalforwarder:latest

3. מיר גיין אין דעם קאַנטיינער

docker exec -it <container-id> /bin/bash

דערנאָך, מיר זענען געבעטן צו גיין צו אַ באַוווסט אַדרעס אין די דאַקיומענטיישאַן.

און קאַנפיגיער דעם קאַנטיינער נאָך עס סטאַרץ:


./splunk add forward-server <host name or ip address>:<listening port>
./splunk add monitor /var/log
./splunk restart

וואַרטן. וואס?

אבער די סאַפּרייזיז טאָן ניט סוף דאָרט. אויב איר לויפן דעם קאַנטיינער פֿון דער באַאַמטער בילד אין ינטעראַקטיוו מאָדע, איר וועט זען די פאלגענדע:

אַ ביסל אַנטוישונג


$ docker run -it -p 9997:9997 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=password' splunk/universalforwarder:latest

PLAY [Run default Splunk provisioning] *******************************************************************************************************************************************************************************************************
Tuesday 09 April 2019  13:40:38 +0000 (0:00:00.096)       0:00:00.096 *********

TASK [Gathering Facts] ***********************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:39 +0000 (0:00:01.520)       0:00:01.616 *********

TASK [Get actual hostname] *******************************************************************************************************************************************************************************************************************
changed: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.599)       0:00:02.215 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.054)       0:00:02.270 *********

TASK [set_fact] ******************************************************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.075)       0:00:02.346 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.067)       0:00:02.413 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.060)       0:00:02.473 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.051)       0:00:02.525 *********
Tuesday 09 April 2019  13:40:40 +0000 (0:00:00.056)       0:00:02.582 *********
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.216)       0:00:02.798 *********
included: /opt/ansible/roles/splunk_common/tasks/change_splunk_directory_owner.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.087)       0:00:02.886 *********

TASK [splunk_common : Update Splunk directory owner] *****************************************************************************************************************************************************************************************
ok: [localhost]
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.324)       0:00:03.210 *********
included: /opt/ansible/roles/splunk_common/tasks/get_facts.yml for localhost
Tuesday 09 April 2019  13:40:41 +0000 (0:00:00.094)       0:00:03.305 *********

ну и так далее...

גרויס. דער בילד טוט נישט אפילו אַנטהאַלטן אַ אַרטיפאַקט. דאָס איז, יעדער מאָל איר אָנהייב עס וועט נעמען צייט צו אָפּלאָדירן די אַרקייוו מיט בינאַריעס, אַנפּאַק עס און קאַנפיגיער עס.
וואָס וועגן דאָקער-וועג און אַלע וואָס?

ניין א דאנק. מיר וועלן נעמען אַן אַנדער וועג. וואָס אויב מיר דורכפירן אַלע די אַפּעריישאַנז אין די פֿאַרזאַמלונג בינע? דעריבער לאָזן ס גיין!

כּדי נישט צו פאַרהאַלטן צו לאַנג, איך וועט ווייַזן איר די לעצט בילד גלייך:

dockerfile

# Тут у кого какие предпочтения
FROM centos:7

# Задаём переменные, чтобы каждый раз при старте не указывать их
ENV SPLUNK_HOME /splunkforwarder
ENV SPLUNK_ROLE splunk_heavy_forwarder
ENV SPLUNK_PASSWORD changeme
ENV SPLUNK_START_ARGS --accept-license

# Ставим пакеты
# wget - чтобы скачать артефакты
# expect - понадобится для первоначального запуска Splunk на этапе сборки
# jq - используется в скриптах, которые собирают статистику докера
RUN yum install -y epel-release 
    && yum install -y wget expect jq

# Качаем, распаковываем, удаляем
RUN wget -O splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.2.4&product=universalforwarder&filename=splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz&wget=true' 
    && wget -O docker-18.09.3.tgz 'https://download.docker.com/linux/static/stable/x86_64/docker-18.09.3.tgz' 
    && tar -xvf splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && tar -xvf docker-18.09.3.tgz  
    && rm -f splunkforwarder-7.2.4-8a94541dcfac-Linux-x86_64.tgz 
    && rm -f docker-18.09.3.tgz

# С shell скриптами всё понятно, а вот inputs.conf, splunkclouduf.spl и first_start.sh нуждаются в пояснении. Об этом расскажу после source тэга.
COPY [ "inputs.conf", "docker-stats/props.conf", "/splunkforwarder/etc/system/local/" ]
COPY [ "docker-stats/docker_events.sh", "docker-stats/docker_inspect.sh", "docker-stats/docker_stats.sh", "docker-stats/docker_top.sh", "/splunkforwarder/bin/scripts/" ]
COPY splunkclouduf.spl /splunkclouduf.spl
COPY first_start.sh /splunkforwarder/bin/

#  Даём права на исполнение, добавляем пользователя и выполняем первоначальную настройку
RUN chmod +x /splunkforwarder/bin/scripts/*.sh 
    && groupadd -r splunk 
    && useradd -r -m -g splunk splunk 
    && echo "%sudo ALL=NOPASSWD:ALL" >> /etc/sudoers 
    && chown -R splunk:splunk $SPLUNK_HOME 
    && /splunkforwarder/bin/first_start.sh 
    && /splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme 
    && /splunkforwarder/bin/splunk restart

# Копируем инит скрипты
COPY [ "init/entrypoint.sh", "init/checkstate.sh", "/sbin/" ]

# По желанию. Кому нужно локально иметь конфиги/логи, кому нет.
VOLUME [ "/splunkforwarder/etc", "/splunkforwarder/var" ]

HEALTHCHECK --interval=30s --timeout=30s --start-period=3m --retries=5 CMD /sbin/checkstate.sh || exit 1

ENTRYPOINT [ "/sbin/entrypoint.sh" ]
CMD [ "start-service" ]

אַזוי וואָס איז קאַנטיינד אין

first_start.sh

#!/usr/bin/expect -f
set timeout -1
spawn /splunkforwarder/bin/splunk start --accept-license
expect "Please enter an administrator username: "
send -- "adminr"
expect "Please enter a new password: "
send -- "changemer"
expect "Please confirm new password: "
send -- "changemer"
expect eof

אין דער ערשטער אָנהייב, Splunk פרעגט איר צו געבן עס אַ לאָגין / פּאַראָל, אָבער די דאַטן זענען געניצט בלויז צו ויספירן אַדמיניסטראַטיווע קאַמאַנדז פֿאַר דעם באַזונדער ייַנמאָנטירונג, דאָס איז, ין דעם קאַנטיינער. אין אונדזער פאַל, מיר נאָר ווילן צו קאַטער דעם קאַנטיינער אַזוי אַז אַלץ אַרבעט און די לאָגס לויפן ווי אַ טייַך. פון קורס, דאָס איז האַרדקאָדע, אָבער איך האָבן ניט געפֿונען קיין אנדערע וועגן.

ווייַטער לויט די שריפט איז עקסאַקיוטאַד

/splunkforwarder/bin/splunk install app /splunkclouduf.spl -auth admin:changeme

splunkclouduf.spl - דאָס איז אַ קראַדענטשאַלז טעקע פֿאַר Splunk Universal Forwarder, וואָס קענען זיין דאַונלאָודיד פֿון די וועב צובינד.

ווו צו גיט צו אָפּלאָדירן (אין בילדער)

דאָס איז אַ רעגולער אַרקייוו וואָס קענען זיין אַנפּאַקט. ין זענען סערטיפיקאַץ און אַ פּאַראָל פֿאַר קאַנעקטינג צו אונדזער SplunkCloud און outputs.conf מיט אַ רשימה פון אונדזער אַרייַנשרייַב ינסטאַנסיז. דער טעקע וועט זיין באַטייַטיק ביז איר ריינסטאַל דיין ספּלונק ייַנמאָנטירונג אָדער לייגן אַן אַרייַנשרייַב נאָדע אויב די ינסטאַלירונג איז אויף-האַנאָכע. דעריבער, עס איז גאָרנישט פאַלש מיט אַדינג עס ין דעם קאַנטיינער.

און די לעצטע זאַך איז ריסטאַרט. יאָ, צו צולייגן די ענדערונגען, איר דאַרפֿן צו ריסטאַרט עס.

אין אונזער inputs.conf מיר לייגן די לאָגס וואָס מיר ווילן צו שיקן צו ספּלונק. עס איז ניט נייטיק צו לייגן דעם טעקע צו די בילד אויב, למשל, איר פאַרשפּרייטן קאַנפיגיעריישאַנז דורך ליאַלקע. דער בלויז זאַך איז אַז פאָרווערדער זעט די קאָנפיגס ווען די דיימאַן סטאַרץ, אַנדערש עס וועט דאַרפֿן ./ספּונק ריסטאַרט.

וואָס מין פון דאָקקער סטאַץ סקריפּס זענען זיי? עס איז אַן אַלט לייזונג אויף Github פֿון אויסקאָולדמאַן, די סקריפּס זענען גענומען פון דאָרט און מאַדאַפייד צו אַרבעטן מיט קראַנט ווערסיעס פון דאָקקער (סע-17.*) און ספּלונק (7.*).

מיט די באקומען דאַטן, איר קענען בויען די פאלגענדע

דאַשבאָרדז: (אַ פּאָר פון בילדער)

דער מקור קאָד פֿאַר דאַשעס איז אין די לינק צוגעשטעלט אין די סוף פון דעם אַרטיקל. ביטע טאָן אַז עס זענען 2 סעלעקטעד פעלדער: 1 - אינדעקס סעלעקציע (געזוכט דורך מאַסקע), באַלעבאָס / קאַנטיינער סעלעקציע. איר וועט מסתּמא דאַרפֿן צו דערהייַנטיקן די אינדעקס מאַסקע, דיפּענדינג אויף די נעמען איר נוצן.

אין מסקנא, איך וואָלט ווי צו ציען דיין ופמערקזאַמקייַט צו די פֿונקציע אָנהייב() в

entrypoint.sh

start() {
    trap teardown EXIT
	if [ -z $SPLUNK_INDEX ]; then
	echo "'SPLUNK_INDEX' env variable is empty or not defined. Should be 'dev' or 'prd'." >&2
	exit 1
	else
	sed -e "s/@index@/$SPLUNK_INDEX/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
	fi
	sed -e "s/@hostname@/$(cat /etc/hostname)/" -i ${SPLUNK_HOME}/etc/system/local/inputs.conf
    sh -c "echo 'starting' > /tmp/splunk-container.state"
	${SPLUNK_HOME}/bin/splunk start
    watch_for_failure
}

אין מיין פאַל, פֿאַר יעדער סוויווע און יעדער יחיד ענטיטי, זיין אַ אַפּלאַקיישאַן אין אַ קאַנטיינער אָדער אַ באַלעבאָס מאַשין, מיר נוצן אַ באַזונדער אינדעקס. דעם וועג, די זוכן גיכקייַט וועט נישט לייַדן ווען עס איז אַ באַטייטיק אַקיומיאַליישאַן פון דאַטן. א פּשוט הערשן איז געניצט צו נאָמען ינדעקסיז: _. דעריבער, אין סדר פֿאַר די קאַנטיינער צו זיין וניווערסאַל, מיר פאַרבייַטן די דעמאָן זיך איידער לאָנטשינג דאָרשט-טה ווילדקאַרד צו די נאָמען פון די סוויווע. דער סביבה נאָמען וועריאַבאַל איז דורכגעגאנגען דורך סוויווע וועריאַבאַלז. סאָונדס מאָדנע.

עס איז אויך כדאי צו באמערקן אַז פֿאַר עטלעכע סיבה ספּלונק איז נישט אַפעקטאַד דורך דעם בייַזייַן פון די דאָקקער פּאַראַמעטער hostname. ער וועט נאָך סטאַבערנלי שיקן לאָגס מיט די שייַן פון זיין קאַנטיינער אין די באַלעבאָס פעלד. ווי אַ לייזונג, איר קענען אָנקלאַפּן / עטק / האָסטנאַמע פֿון דער באַלעבאָס מאַשין און ביי סטאַרטאַפּ מאַכן ריפּלייסמאַנץ ענלעך צו אינדעקס נעמען.

בייַשפּיל docker-compose.yml

version: '2'
services:
  splunk-forwarder:
    image: "${IMAGE_REPO}/docker-stats-splunk-forwarder:${IMAGE_VERSION}"
    environment:
      SPLUNK_INDEX: ${ENVIRONMENT}
    volumes:
    - /etc/hostname:/etc/hostname:ro
    - /var/log:/var/log
    - /var/run/docker.sock:/var/run/docker.sock:ro

גאַנץ

יאָ, טאָמער די לייזונג איז נישט ידעאַל און זיכער נישט וניווערסאַל פֿאַר אַלעמען, ווייַל עס זענען פילע "האַרדקאָדע". אָבער באזירט אויף עס, אַלעמען קענען בויען זייער אייגן בילד און שטעלן עס אין זייער פּריוואַט אַרטיפאַקטאָרי, אויב, ווי עס כאַפּאַנז, איר דאַרפֿן Splunk Forwarder אין דאָקקער.

לינקס:

לייזונג פון דעם אַרטיקל
א לייזונג פון אַוטקאָולדמאַן וואָס ינספּייערד אונדז צו רייוז עטלעכע פון די פאַנגקשאַנאַליטי
פון. דאַקיומענטיישאַן פֿאַר באַשטעטיקן וניווערסאַל פאָרווערדער

מקור: www.habr.com

ספּלונק וניווערסאַל פאָרווערדער אין דאָקקער ווי אַ סיסטעם קלאָץ קאַלעקטער

לייגן אַ באַמערקונג באָטל מאַכן ענטפער