👨🏽‍💼 👎🏼 📀 हम लॉगस्टैश का उपयोग करके इकट्ठा, पार्स और लॉग देते हैं 🦃 🏌️ 🧛🏿

नमस्ते।

यह सिर्फ इतना हुआ कि अपने काम की अवधि के लिए मुझे लॉग करने के लिए बहुत समय देना होगा। इसमें लॉग के संग्रह / भंडारण / उपयोग के लिए नियमों और नीतियों के विकास में भागीदारी शामिल है, यह विभिन्न घटनाओं और विसंगतियों का पता लगाने का विश्लेषण है। एक दिन के लिए, हमारे कार्यक्रम, सेवाएं और सर्वर बहुत बड़ी संख्या में लॉग उत्पन्न करते हैं। और लॉग में खुदाई की आवश्यकता लगातार बढ़ रही है।
मुझे आर्कसाइट, आरएसए एनविजन, क्यू 1 लैब्स जैसे वाणिज्यिक लॉग प्रबंधन उत्पादों के साथ काम करने का मौका मिला। इन उत्पादों के पेशेवरों और विपक्ष दोनों हैं। लेकिन लेख उनके बारे में नहीं है।
यह Logstash के बारे में है।

लॉगस्टैश क्या है? इसकी आवश्यकता क्यों है? वह क्या कर सकता है?

लॉगस्टैश लॉग को इकट्ठा करने, छानने और सामान्य करने का एक उपकरण है। यह एक स्वतंत्र और खुला स्रोत अनुप्रयोग है। अपाचे 2.0 लाइसेंस प्रकार।

एलएस (लॉगस्टैश) के साथ मेरा पहला परिचित एक साल पहले हुआ था, और तब से मैं इस पर बहुत कसकर बैठ गया हूं। मुझे उनका विचार और संभावनाएं पसंद हैं। मेरे लिए, लॉगस्टैश एक मांस की चक्की की तरह है। कोई फर्क नहीं पड़ता कि इसमें क्या जाता है, लेकिन जटिल जोड़तोड़ के बाद, आउटपुट हमेशा खूबसूरती से और स्पष्ट रूप से प्रस्तुत जानकारी है।

लॉगस्टैश का कॉन्फ़िगरेशन फ़ाइल स्वरूप सरल और सीधा है। इसमें तीन भाग होते हैं:

input { ... } filter { ... } output { ... }

किसी भी संख्या में इनपुट, फ़िल्टरिंग और आउटपुट (या आउटपुट?) ब्लॉक हो सकते हैं। यह सब आपकी आवश्यकताओं और लोहे की क्षमताओं पर निर्भर करता है।
खाली लाइनों और # के साथ शुरू होने वाली रेखाएं - लॉगस्टैश अनदेखा करता है। इसलिए कॉन्फ़िगरेशन फ़ाइलों पर टिप्पणी करने से कोई समस्या नहीं होगी।

1. INPUT

यह विधि लॉग के लिए एक प्रवेश बिंदु है। इसमें यह निर्धारित किया जाता है कि लॉग लॉगश में कौन से चैनल जाएंगे।
इस लेख में मैं आपको उन मुख्य प्रकारों से परिचित कराने का प्रयास करूंगा जिनका मैं उपयोग करता हूं - ये फ़ाइल, टीसीपी और यूडीपी हैं।

1.1 फ़ाइल

स्थानीय लॉग फ़ाइलों के साथ काम करने के लिए कॉन्फ़िगरेशन उदाहरण:

 input { file { type => "some_access_log" path => [ "/var/log/vs01/*.log", "/var/log/vs02/*.log" ] exclude => [ "*.gz", "*.zip", "*.rar" ] start_position => "end" stat_interval => 1 discover_interval => 30 } }

सेटिंग्स का एक लाइन-बाय-लाइन विवरण:

 type => "some_access_log"

लॉग का प्रकार / विवरण। कई इनपुट ब्लॉक का उपयोग करते समय, उन्हें फ़िल्टर या आउटपुट में बाद की क्रियाओं के लिए अलग करना सुविधाजनक होता है।

 path => [ "/var/log/vs01/*.log", "/var/log/vs02/*.log" ]

संसाधित होने के लिए लॉग फ़ाइलों का पथ इंगित किया गया है। पथ पूर्ण होना चाहिए (/ पथ / से / लॉग /), सापेक्ष नहीं (..//some/other/path/)।

 exclude => [ "*.gz", "*.zip", "*.rar" ]

प्रसंस्करण से संबंधित एक्सटेंशन वाली फ़ाइलों को बाहर करता है।

 start_position => "end"

फ़ाइल के अंत में नए संदेशों के आने की प्रतीक्षा कर रहा है। मौजूदा लॉग को संसाधित करते समय, आप "शुरुआत" सेट कर सकते हैं, फिर लॉग का प्रसंस्करण फ़ाइलों की शुरुआत से लाइन द्वारा होगा।

 stat_interval => 1

कितनी बार (सेकंड में) परिवर्तनों के लिए फ़ाइलों की जांच करने के लिए। बड़े मूल्यों के साथ, सिस्टम कॉल की आवृत्ति कम हो जाएगी, लेकिन नई लाइनों को पढ़ने का समय भी बढ़ जाएगा।

 discover_interval => 30

समय (सेकंड में) जिसके बाद पथ में निर्दिष्ट संसाधित फ़ाइलों की सूची अपडेट की जाएगी।

1.2 tcp

दूरस्थ सेवा लॉग के साथ काम करने के लिए कॉन्फ़िगरेशन उदाहरण:

 input { tcp { type => "webserver_prod" data_timeout => 10 mode => "server" host => "192.168.3.12" port => 3337 } }

सेटिंग्स का एक लाइन-बाय-लाइन विवरण:

 type => "webserver_prod"

लॉग का प्रकार / विवरण।

 data_timeout => 10

समय (सेकंड में) जिसके बाद एक निष्क्रिय tcp कनेक्शन बंद हो जाएगा। मान -1 - कनेक्शन हमेशा खुला रहेगा।

 mode => "server" host => "192.168.3.12" port => 3337

इस मामले में, लॉगस्टैश एक सर्वर बन जाता है, और 192.168.3.12, 337 पर सुनना शुरू कर देता है। मोड सेट करते समय => "क्लाइंट" लॉगस्टैश रिमोट आईपी में शामिल हो जाएगा: लॉग इकट्ठा करने के लिए पोर्ट।

1.3 udp

Udp के लिए, सेटिंग्स tcp के समान हैं:

 input { udp { type => "webserver_prod" buffer_size => 4096 host => "192.168.3.12" port => 3337 } }

2. फिल्टर

इस ब्लॉक में, लॉग के साथ बुनियादी जोड़तोड़ कॉन्फ़िगर किए गए हैं। यह कुंजी = मान, और अनावश्यक मापदंडों को हटाने, और मौजूदा मूल्यों के प्रतिस्थापन, और आईपी पते या होस्ट नाम के लिए जियोइप या डीएनएस प्रश्नों के उपयोग से टूट सकता है।

पहली नज़र में, फ़िल्टर्स का उपयोग जटिल और अतार्किक लग सकता है, लेकिन यह पूरी तरह सच नहीं है।

2.1 खांचा

बेसिक लॉग सामान्यकरण के लिए उदाहरण विन्यास फाइल:

 filter { grok { type => "some_access_log" patterns_dir => "/path/to/patterns/" pattern => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" } }

सेटिंग्स का एक लाइन-बाय-लाइन विवरण:

 type => "apache_access"

लॉग का प्रकार / विवरण। यहां उस प्रकार (प्रकार) को इंगित करना आवश्यक है, जो इनपुट ब्लॉक में पंजीकृत है जिसके लिए प्रसंस्करण होगा।

 patterns_dir => "/path/to/patterns/"

लॉग प्रोसेसिंग टेम्प्लेट वाली निर्देशिका का पथ। निर्दिष्ट फ़ोल्डर में स्थित सभी फ़ाइलों को लॉगस्टैश द्वारा डाउनलोड किया जाएगा, इसलिए वहां अतिरिक्त फाइलें वांछनीय नहीं हैं।

 pattern => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}"

लॉग disassembly टेम्पलेट इंगित किया गया है। एक टेम्पलेट या तो एक विन्यास फाइल में या एक टेम्पलेट फ़ाइल से इस्तेमाल किया जा सकता है। भ्रमित न होने के लिए, मैं प्रत्येक लॉग प्रारूप के लिए एक अलग टेम्पलेट फ़ाइल बनाता हूं।

टेम्पलेट्स के बारे में अधिक

ग्रॉक फ़िल्टर का उपयोग करके, आप एक विशेष प्रारूप में दर्ज किए गए अधिकांश लॉग - syslog, Apache, nginx, mysql, आदि को संरचना कर सकते हैं।
Logstash में 120 से अधिक regex पैटर्न हैं। इसलिए अधिकांश लॉग को संसाधित करने के लिए फ़िल्टर लिखना बहुत डर या गलतफहमी का कारण नहीं होना चाहिए।

टेम्प्लेट का प्रारूप अपेक्षाकृत सरल है - NAME PATTERN , अर्थात् , टेम्प्लेट का नाम और उसकी संबंधित नियमित अभिव्यक्ति लाइन द्वारा इंगित की जाती है। एक उदाहरण:

 NUMBER \d+ WORD \b\w+\b USERID [a-zA-Z0-9_-]+

आप किसी भी पहले बनाए गए टेम्पलेट का उपयोग कर सकते हैं:

 USER %{USERID}

टेम्प्लेट भी संयुक्त हो सकते हैं:

 CISCOMAC (?:(?:[A-Fa-f0-9]{4}\.){2}[A-Fa-f0-9]{4}) WINDOWSMAC (?:(?:[A-Fa-f0-9]{2}-){5}[A-Fa-f0-9]{2}) MAC (?:%{CISCOMAC}|%{WINDOWSMAC})

मान लें कि हमारे पास निम्नलिखित लॉग प्रारूप है:
55.3.244.1 GET /index.html 15824 0.043

तैयार किए गए टेम्प्लेट्स में, सौभाग्य से, पहले से ही कुछ नियमित अभिव्यक्तियाँ हैं और आपको पैर के पैडल के माध्यम से या हाथ लीवर के माध्यम से किसी व्यक्ति की मांसपेशियों की शक्ति से चलने वाले एक पहिएदार वाहन के साथ नहीं आना है (मेरा मतलब है कि बाइक)।
इस उदाहरण के लॉग के साथ, यह " % {IP: ग्राहक}% {WORD: विधि}% {URIPATHPARAM: अनुरोध}% {NUMBER: बाइट्स}% {NUMBER: अवधि} " के रूप में पैटर्न लिखने के लिए पर्याप्त है, इस मामले में इस प्रारूप के साथ सभी लॉग होते हैं। पहले से ही एक निश्चित तार्किक संरचना होगी।
प्रसंस्करण के बाद, हमारी लाइन इस तरह दिखाई देगी:

ग्राहक: 55.3.244.1
विधि: जी.ई.टी.
निवेदन: /index.html
बाइट्स: 15824
अवधि: 0.043

रेडी-मेड ग्रॉक-टेम्प्लेट की एक सूची यहां पाई जा सकती है ।

२.२ परस्पर

लॉग प्रविष्टियों को बदलने / हटाने के लिए उदाहरण कॉन्फ़िगरेशन फ़ाइल:

 filter { mutate { type => "apache_access" remove => [ "client" ] rename => [ "HOSTORIP", "client_ip" ] gsub => [ "message", "\\/", "_" ] add_field => [ "sample1", "from %{clientip}" ] } }

सेटिंग्स का एक लाइन-बाय-लाइन विवरण:

 type => "apache_access"

लॉग का प्रकार / विवरण। लॉग के प्रकार जिसके साथ प्रसंस्करण होगा, संकेत दिया गया है।

 remove => [ "client" ]

क्लाइंट फ़ील्ड नाम वाले सभी डेटा का विलोपन। कई फ़ील्ड नामों को निर्दिष्ट करना संभव है।

 rename => [ "HOSTORIP", "client_ip" ]

क्लाइंट के लिए HOSTORIP फ़ील्ड नाम का नाम बदलकर।

 gsub => [ "message", "\\/", "_" ]

संदेशों के क्षेत्र में "_" के साथ सभी "/" को बदलना।

 add_field => [ "sample1", "from %{clientip}" ]

"{% {क्लाइंटिप}}" मान के साथ एक नया फ़ील्ड "नमूना 1" जोड़ना। चर नाम की अनुमति है।

२.३ तारीख

उदाहरण विन्यास फाइल:

 filter { date { type => "apache_access" match => [ "timestamp", "MMM dd HH:mm:ss" ] } }

सेटिंग्स का एक लाइन-बाय-लाइन विवरण:

 type => "apache_access"

 match => [ "timestamp", "MMM dd HH:mm:ss" ]

अस्थायी और मैं ईवेंट लेबल हूं। आगे छँटाई या लॉग के चयन के लिए एक महत्वपूर्ण सेटिंग। यदि समय यूनिक्स टाइमस्टैम्प (स्क्विड) में लॉग में निर्दिष्ट किया गया है, तो मैच => ["टाइमस्टैम्प", "यूनिक्स"] का उपयोग किया जाना चाहिए।

२.४ के.वी.

प्रारूप कुंजी = मान में प्रसंस्करण लॉग के लिए एक कॉन्फ़िगरेशन फ़ाइल का एक उदाहरण:

 filter { kv { type => "custom_log" value_split => "=:" fields => ["reminder"] field_split => "\t?&" } }

सेटिंग्स का एक लाइन-बाय-लाइन विवरण:

 type => "custom_log"

 value_split => "=:"

कुंजी-मान को अलग करने के लिए "=" और ":" वर्णों का उपयोग करें।

 fields => ["reminder"]

उस फ़ील्ड का नाम, जिसमें 'कुंजी = मान' खोजना है। डिफ़ॉल्ट रूप से, लॉग की पूरी लाइन के लिए एक ब्रेकडाउन होगा।

 field_split => "\t?&"

कुंजियों को अलग करने के लिए "\ t?" और का उपयोग करें। \ t - टैब वर्ण

2.5 मल्टीलाइन

"ग्लूइंग" मल्टीलाइन लॉग के लिए कॉन्फ़िगरेशन फ़ाइल का उदाहरण (उदाहरण के लिए, जावा स्टैक ट्रेस):

 filter { multiline { type => "java_log" pattern => "^\s" what => "previous" } }

सेटिंग्स का एक लाइन-बाय-लाइन विवरण:

 type => "java_log"

 pattern => "^\s"

नियमित अभिव्यक्ति

 what => "previous"

यदि पैटर्न मेल खाता है, तो लाइन पिछली (पिछली) लाइन से संबंधित है।

3. OUTPUT

इस ब्लॉक / विधि का नाम स्वयं के लिए बोलता है - यह आउटगोइंग संदेशों के लिए सेटिंग्स को इंगित करता है। पिछले ब्लॉकों के समान, यहां आप किसी भी आउटगोइंग सबब्लॉक को निर्दिष्ट कर सकते हैं।

3.1 स्टडआउट

मानक आउटपुट में लॉग आउटपुट के लिए उदाहरण कॉन्फ़िगरेशन फ़ाइल:

 output { stdout { type => "custom_log" message => "IP - %{clientip}. Full message: %{@message}. End of line." } }

 type => "custom_log"

लॉग का प्रकार / विवरण।

 message => "clIP - %{clientip}. Full message: %{@message}. End of line."

आउटगोइंग संदेश का प्रारूप इंगित किया गया है। यह चर फ़िल्टरिंग के बाद चर का उपयोग करने के लिए स्वीकार्य है।

3.2 फ़ाइल

फ़ाइल में लॉग लिखने के लिए कॉन्फ़िगरेशन फ़ाइल का एक उदाहरण:

 output { file { type => "custom_log" flush_interval => 5 gzip=> true path => "/var/log/custom/%{clientip}/%{type}" message_format => "ip: %{clientip} request:%{requri}" } }

 type => "custom_log"

लॉग का प्रकार / विवरण।

 flush_interval => 5

आउटगोइंग संदेश रिकॉर्डिंग अंतराल। 0 का मान प्रत्येक संदेश रिकॉर्ड करेगा।

 gzip=> true

आउटगोइंग संदेश फ़ाइल को gzip द्वारा संपीड़ित किया जाएगा।

 path => "/var/log/custom/%{clientip}/%{type}"

पथ और फ़ाइल नाम जहां आउटगोइंग संदेश सहेजे जाएंगे। आप चर का उपयोग कर सकते हैं। इस उदाहरण में, प्रत्येक अद्वितीय आईपी पते के लिए एक फ़ोल्डर बनाया जाएगा और चर% {प्रकार} के अनुरूप फ़ाइल को संदेश लिखा जाएगा।

 message_format => "ip: %{clientip} request:%{requri}"

आउटगोइंग संदेश स्वरूप।

३.३ इलायची खोज

एलिस्टिक्स खोज डेटाबेस में लॉग लिखने के लिए उदाहरण विन्यास फाइल:

 output { elasticsearch { type => "custom_log" cluster => "es_logs" embedded => false host => "192.168.1.1" port => "19300" index => "logs-%{+YYYY.MM.dd}" } }

 type => "custom_log"

लॉग का प्रकार / विवरण।

 cluster => "es_logs"

Elasticsearch कॉन्फ़िगरेशन फ़ाइल में क्लस्टर .name में निर्दिष्ट क्लस्टर का नाम।

 embedded => false

इंगित करता है कि आंतरिक या बाहरी का उपयोग करने के लिए एलिटिक्स खोज आधार क्या है।

 port => "19300"

परिवहन पोर्ट एलिटिक्स खोज।

 host => "192.168.1.1"

इलास्टिसर्च आईपी एड्रेस

 index => "logs-%{+YYYY.MM.dd}"

इंडेक्स का नाम जहां लॉग लिखा जाएगा।

३.४ ईमेल

इस प्लगइन का उपयोग अलर्ट के लिए किया जा सकता है। नकारात्मक पक्ष यह है कि सूचनाओं में कोई भी बदलाव (सिद्धांत में, किसी भी अन्य सेटिंग्स की तरह) को लॉगस्टैश प्रोग्राम को फिर से शुरू करने की आवश्यकता होती है, लेकिन डेवलपर का कहना है कि यह भविष्य में आवश्यक नहीं हो सकता है।
उदाहरण विन्यास फाइल:

 output { email { type => "custom_log" from => "logstash@domain.com" to => "admin1@domain.com" cc => "admin2@domain.com" subject => "Found '%{matchName}' Alert on %{@source_host}" body => "Here is the event line %{@message}" htmlbody => "<h2>%{matchName}</h2><br/><br/><h3>Full Event</h3><br/><br/><div align='center'>%{@message}</div>" via => "sendmail" options => [ "smtpIporHost", "smtp.gmail.com", "port", "587", "domain", "yourDomain", "userName", "yourSMTPUsername", "password", "PASS", "starttls", "true", "authenticationType", "plain", "debug", "true" ] match => [ "response errors", "response,501,,or,response,301", "multiple response errors", "response,501,,and,response,301" ] } }

 type => "custom_log"

लॉग का प्रकार / विवरण।

 from => "logstash@domain.com" to => "admin1@domain.com" cc => "admin2@domain.com"

यदि आपके पास इन पंक्तियों को पढ़ने की ताकत है, तो आप इन 3 सेटिंग्स का अर्थ स्वयं निर्धारित कर सकते हैं :)

 subject => "Found '%{matchName}' Alert on %{@source_host}"

अधिसूचना पत्र की विषय पंक्ति। आप चर का उपयोग कर सकते हैं। उदाहरण के लिए,% {matchName} "मैच" सेटिंग से मैच की स्थिति का नाम है।

 body => "Here is the event line %{@message}" htmlbody => "<h2>%{matchName}</h2><br/><br/><h3>Full Event</h3><br/><br/><div align='center'>%{@message}</div>"

अक्षर का शरीर।

 via => "sendmail"

पत्र भेजने की विधि। दो विकल्पों में से एक संभव है - smtp या sendmail।

 options => ...

मेल सेटिंग्स के लिए डिफ़ॉल्ट सेटिंग्स।

 match => [ "response errors", "response,501,,or,response,301", "multiple response errors", "response,501,,and,response,301" ]

"प्रतिक्रिया त्रुटियां" - चेतावनी का नाम (चर% {matchName}) में दर्ज किया गया। "प्रतिक्रिया, 501 ,, या, प्रतिक्रिया, 301" - चेतावनी प्रतिक्रिया मानदंड। इस उदाहरण में, यदि प्रतिक्रिया फ़ील्ड में 501 या 301 का मान है, तो अलर्ट को ट्रिगर माना जाता है। दूसरी पंक्ति AND और तर्क का उपयोग करती है, अर्थात दोनों शर्तों को पूरा किया जाना चाहिए।

4. कुल

Habr.conf फ़ाइल बनाएँ:

 input { tcp { type => "habr" port => "11111" } } filter { mutate { type => "habr" add_field => [ "habra_field", "Hello Habr" ] } } output { stdout { type => "habr" message => "%{habra_field}: %{@message}" } }

लॉगस्टैश लॉन्च करें:
java -jar logstash-1.1.9-monolithic.jar agent -f ./habr.conf

जाँच करें कि लॉगस्टैश चल रहा है:
# netstat -nat | grep 11111
यदि पोर्ट 11111 मौजूद है, तो लॉगस्टैश लॉग को स्वीकार करने के लिए तैयार है।

नई टर्मिनल विंडो में, लिखें:
echo "Logs are cool!" | nc localhost 11111

हम उस विंडो में परिणाम को देखते हैं जहां लॉगस्टैश चल रहा है। यदि कोई गुप्त संदेश वहां दिखाई दिया, तो सब कुछ काम करता है।

Ps लॉगस्टैश का नवीनतम संस्करण यहां से डाउनलोड किया जा सकता है ।

आपका ध्यान देने के लिए धन्यवाद

हम लॉगस्टैश का उपयोग करके इकट्ठा, पार्स और लॉग देते हैं

1. INPUT

2. फिल्टर

3. OUTPUT

4. कुल

More articles: