LogstashExample1: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
 
(не показана 81 промежуточная версия этого же участника)
Строка 4: Строка 4:
 
[[Категория:Grok]]
 
[[Категория:Grok]]
 
[[Категория:nginx]]
 
[[Категория:nginx]]
  +
[[Категория:Filebeat]]
  +
[[Категория:Elasticsearch]]
  +
=Отдельные заметки=
  +
Некоторые вещи были доработаны после написания основной части по опыту использования и вынесены в отдельные заметки
  +
* Logstash DQF [[LogstashDLQ]]
  +
 
=Пример=
 
=Пример=
Это продолжение статьи https://noname.com.ua/mediawiki/index.php?title=Logstash
+
Это дополнение статьи https://noname.com.ua/mediawiki/index.php?title=Logstash
   
 
=Задача=
 
=Задача=
Строка 17: Строка 23:
   
 
* Сервер для сбора - Elasticsearch, Logstash, Kibana, Curator
 
* Сервер для сбора - Elasticsearch, Logstash, Kibana, Curator
  +
** Elasticsearch - индексация логов и поиск
  +
** Logstash - прием логов и форматирование перед отравкой в Elasticsearch
  +
** Kibana - интерфейс к Elasticsearch
  +
** Curator -удаление старых индексов
 
* На окружениях которые генерируют логи - Filebeat (Filebeat проще и легковеснее - нет нужды ставить везде Logstash)
 
* На окружениях которые генерируют логи - Filebeat (Filebeat проще и легковеснее - нет нужды ставить везде Logstash)
 
<BR>
 
<BR>
Строка 26: Строка 36:
 
* Нет менеджера очередей для логов для сглаживания пиков нагрузки (можно использовать Kafka/RabbitMQ)
 
* Нет менеджера очередей для логов для сглаживания пиков нагрузки (можно использовать Kafka/RabbitMQ)
   
=nginx=
 
Nginx умеет писать логи в Json (для максимально подробного логгирования требуется поддержка Lua)
 
 
<BR>
 
<BR>
  +
Итого есть три типа логов которы нужно собирать (и они в разных форматах)
* Как логгировать хедеры: https://stackoverflow.com/questions/24380123/how-to-log-all-headers-in-nginx
 
  +
* nginx access.log
* Пишем все что возможно: https://noname.com.ua/mediawiki/index.php/Nginx_Log_Post
 
  +
* nginx error.log
==Конфигурация (только значимые части)==
 
  +
* ruby applocation log
<PRE>
 
# Log in JSON Format
 
log_format nginxlog_json escape=json
 
'{ '
 
'"nginx_http_user_agent": "$http_user_agent",'
 
'"nginx_ancient_browser": "$ancient_browser",'
 
'"nginx_body_bytes_sent": "$body_bytes_sent",'
 
'"nginx_bytes_sent": "$bytes_sent",'
 
'"nginx_connection": "$connection",'
 
'"nginx_connection_requests": "$connection_requests",'
 
'"nginx_connections_active": "$connections_active",'
 
'"nginx_connections_reading": "$connections_reading",'
 
'"nginx_connections_waiting": "$connections_waiting",'
 
'"nginx_connections_writing": "$connections_writing",'
 
'"nginx_content_length": "$content_length",'
 
'"nginx_content_type": "$content_type",'
 
'"nginx_cookie_": "$cookie_",'
 
'"nginx_document_root": "$document_root",'
 
'"nginx_document_uri": "$document_uri",'
 
'"nginx_fastcgi_path_info": "$fastcgi_path_info",'
 
'"nginx_fastcgi_script_name": "$fastcgi_script_name",'
 
'"nginx_host": "$host",'
 
'"nginx_hostname": "$hostname",'
 
'"nginx_https": "$https",'
 
'"nginx_invalid_referer": "$invalid_referer",'
 
'"nginx_is_args": "$is_args",'
 
'"nginx_limit_conn_status": "$limit_conn_status",'
 
'"nginx_limit_rate": "$limit_rate",'
 
'"nginx_limit_req_status": "$limit_req_status",'
 
'"nginx_modern_browser": "$modern_browser",'
 
'"nginx_msec": "$msec",'
 
'"nginx_msie": "$msie",'
 
'"nginx_nginx_version": "$nginx_version",'
 
'"nginx_proxy_add_x_forwarded_for": "$proxy_add_x_forwarded_for",'
 
'"nginx_proxy_host": "$proxy_host",'
 
'"nginx_proxy_port": "$proxy_port",'
 
'"nginx_proxy_protocol_addr": "$proxy_protocol_addr",'
 
'"nginx_proxy_protocol_port": "$proxy_protocol_port",'
 
'"nginx_proxy_protocol_server_addr": "$proxy_protocol_server_addr",'
 
'"nginx_proxy_protocol_server_port": "$proxy_protocol_server_port",'
 
'"nginx_query_string": "$query_string",'
 
'"nginx_realip_remote_addr": "$realip_remote_addr",'
 
'"nginx_realip_remote_port": "$realip_remote_port",'
 
'"nginx_remote_addr": "$remote_addr",'
 
'"nginx_remote_port": "$remote_port",'
 
'"nginx_remote_user": "$remote_user",'
 
'"nginx_request": "$request",'
 
'"nginx_request_headers": "$request_headers",'
 
'"nginx_request_body": "$request_body",'
 
'"nginx_request_id": "$request_id",'
 
'"nginx_request_length": "$request_length",'
 
'"nginx_request_method": "$request_method",'
 
'"nginx_request_time": "$request_time",'
 
'"nginx_request_uri": "$request_uri",'
 
'"nginx_scheme": "$scheme",'
 
'"nginx_server_addr": "$server_addr",'
 
'"nginx_server_name": "$server_name",'
 
'"nginx_server_port": "$server_port",'
 
'"nginx_server_port": "$server_port",'
 
'"nginx_server_protocol": "$server_protocol",'
 
'"nginx_ssl_cipher": "$ssl_cipher",'
 
'"nginx_ssl_ciphers": "$ssl_ciphers",'
 
'"nginx_ssl_client_cert": "$ssl_client_cert",'
 
'"nginx_ssl_client_escaped_cert": "$ssl_client_escaped_cert",'
 
'"nginx_ssl_client_fingerprint": "$ssl_client_fingerprint",'
 
'"nginx_ssl_client_i_dn": "$ssl_client_i_dn",'
 
'"nginx_ssl_client_raw_cert": "$ssl_client_raw_cert",'
 
'"nginx_ssl_client_s_dn": "$ssl_client_s_dn",'
 
'"nginx_ssl_client_serial": "$ssl_client_serial",'
 
'"nginx_ssl_client_v_end": "$ssl_client_v_end",'
 
'"nginx_ssl_client_v_remain": "$ssl_client_v_remain",'
 
'"nginx_ssl_client_v_start": "$ssl_client_v_start",'
 
'"nginx_ssl_client_verify": "$ssl_client_verify",'
 
'"nginx_ssl_early_data": "$ssl_early_data",'
 
'"nginx_ssl_protocol": "$ssl_protocol",'
 
'"nginx_ssl_server_name": "$ssl_server_name",'
 
'"nginx_ssl_session_id": "$ssl_session_id",'
 
'"nginx_ssl_session_reused": "$ssl_session_reused",'
 
'"nginx_status": "$status",'
 
'"nginx_tcpinfo_rtt": "$tcpinfo_rtt",'
 
'"nginx_tcpinfo_rttvar": "$tcpinfo_rttvar",'
 
'"nginx_tcpinfo_snd_cwnd": "$tcpinfo_snd_cwnd",'
 
'"nginx_tcpinfo_rcv_space": "$tcpinfo_rcv_space",'
 
'"nginx_time_iso8601": "$time_iso8601",'
 
'"nginx_time_local": "$time_local",'
 
'"nginx_uid_got": "$uid_got",'
 
'"nginx_uid_reset": "$uid_reset",'
 
'"nginx_uid_set": "$uid_set",'
 
'"nginx_upstream_addr": "$upstream_addr",'
 
'"nginx_upstream_bytes_received": "$upstream_bytes_received",'
 
'"nginx_upstream_bytes_sent": "$upstream_bytes_sent",'
 
'"nginx_upstream_bytes_sent": "$upstream_bytes_sent",'
 
'"nginx_upstream_cache_status": "$upstream_cache_status",'
 
'"nginx_upstream_connect_time": "$upstream_connect_time",'
 
'"nginx_upstream_cookie_": "$upstream_cookie_",'
 
'"nginx_upstream_header_time": "$upstream_header_time",'
 
'"nginx_upstream_http_": "$upstream_http_",'
 
'"nginx_upstream_response_length": "$upstream_response_length",'
 
'"nginx_upstream_response_time": "$upstream_response_time",'
 
'"nginx_upstream_status": "$upstream_status",'
 
'"nginx_uri": "$uri",'
 
'"nginx_response_body": "$response_body"'
 
'}';
 
</PRE>
 
<PRE>
 
server {
 
listen 443 ssl;
 
root /var/www/backend;
 
server_name elk.domain.tld;
 
access_log /var/log/nginx/elk.domain.tld-access.log.ssl nginxlog_json;
 
error_log /var/log/nginx/elk.domain.tld-error.log.ssl;
 
client_max_body_size 500M;
 
keepalive_timeout 0;
 
ssl_certificate ...;
 
ssl_certificate_key ...;
 
 
lua_need_request_body on;
 
 
set $response_body "";
 
body_filter_by_lua '
 
local response_body = string.sub(ngx.arg[1], 1, 1000)
 
ngx.ctx.buffered = (ngx.ctx.buffered or "") .. response_body
 
if ngx.arg[2] then
 
ngx.var.response_body = ngx.ctx.buffered
 
end
 
';
 
 
set_by_lua_block $request_headers{
 
local h = ngx.req.get_headers()
 
local request_headers_all = ""
 
for k, v in pairs(h) do
 
local rowtext = ""
 
rowtext = string.format(" %s='%s' ", k, v)
 
request_headers_all = request_headers_all .. rowtext
 
 
end
 
return request_headers_all
 
}
 
...
 
</PRE>
 
   
  +
=Конфигурация источников логов=
  +
==Конфигурация nginx==
  +
* Из-за размера вынесено в отдельную заметку: [[LogstashExample-nginx-config]]
 
==Результат==
 
==Результат==
 
<PRE>
 
<PRE>
Строка 182: Строка 54:
 
...
 
...
 
"nginx_http_user_agent": "python-requests/2.23.0",
 
"nginx_http_user_agent": "python-requests/2.23.0",
"nginx_ancient_browser": "1",
 
"nginx_body_bytes_sent": "175",
 
"nginx_document_root": "/usr/local/openresty/nginx/html",
 
"nginx_document_uri": "/favicon.ico",
 
 
"nginx_request_headers": " connection='keep-alive' accept='*/*' accept-encoding='gzip, deflate' host='login-anastasiia-env.arturhaunt.com' user-agent='python-requests/2.23.0' ",
 
"nginx_request_headers": " connection='keep-alive' accept='*/*' accept-encoding='gzip, deflate' host='login-anastasiia-env.arturhaunt.com' user-agent='python-requests/2.23.0' ",
 
"nginx_time_iso8601": "2021-08-10T03:09:57+00:00",
 
"nginx_time_iso8601": "2021-08-10T03:09:57+00:00",
Строка 193: Строка 61:
 
}
 
}
 
</PRE>
 
</PRE>
  +
==Конфигурация приложения==
  +
Формат логов приложения в рамках задачи не могут быть изменены
   
  +
=Конфигурация доставки логов=
==Filebeat==
 
  +
Для доставки логов всех типов используется Filebeat
  +
==Общая часть конфигурации Filebeat==
  +
Это часть конфигурации которая не относится к какому-то определнному логу а общая для всех.
  +
<BR>
  +
===Модули===
  +
Оставега конфигурация по-умолчанию.
  +
<PRE>
  +
filebeat.config.modules:
  +
path: ${path.config}/modules.d/*.yml
  +
reload.enabled: false
  +
</PRE>
  +
<PRE>
  +
setup.template.settings:
  +
index.number_of_shards: 1
  +
setup.kibana:
  +
</PRE>
  +
  +
===Output===
  +
Отправлять логи в Logstash (на beat input с авторизацией по сертификатам)
  +
<BR>Подробнее про настройку: https://noname.com.ua/mediawiki/index.php/Logstash
  +
<PRE>
  +
output.logstash:
  +
hosts: ["elk.domain.tld:5400"]
  +
ssl.certificate_authorities: ["/etc/elk-certs/elk-ssl.crt"]
  +
ssl.certificate: "/etc/elk-certs/elk-ssl.crt"
  +
ssl.key: "/etc/elk-certs/elk-ssl.key"
  +
</PRE>
  +
Процессинг по-умолчанию добавляет метаданные хоста-источника
  +
<PRE>
  +
processors:
  +
- add_host_metadata:
  +
when.not.contains.tags: forwarded
  +
- add_cloud_metadata: ~
  +
- add_docker_metadata: ~
  +
- add_kubernetes_metadata: ~
  +
logging.level: info
  +
logging.selectors: ["*"]
  +
</PRE>
   
===для nginx access logs===
+
==Пересылка nginx access logs==
 
Предельно простая конфигурация - читать файлы по маске
 
Предельно простая конфигурация - читать файлы по маске
 
<PRE>
 
<PRE>
Строка 213: Строка 121:
 
</PRE>
 
</PRE>
   
===для nginx error logs===
+
==Пересылка nginx error logs==
 
Ничем не отличается от access.log
 
Ничем не отличается от access.log
  +
<BR> Разбор лога на отдельные поля происходит на стороне Logstash.
 
<PRE>
 
<PRE>
 
- type: log
 
- type: log
Строка 229: Строка 138:
 
</PRE>
 
</PRE>
   
===для Ruby Application logs===
+
==Пересылка ruby application logs==
 
Немного более сложная сложная конфигурация для многострочного лога
 
Немного более сложная сложная конфигурация для многострочного лога
 
<PRE>
 
<PRE>
Строка 258: Строка 167:
 
^M/usr/src/app/lib/activity_organizers/external.rb:18:in `perform'
 
^M/usr/src/app/lib/activity_organizers/external.rb:18:in `perform'
 
</PRE>
 
</PRE>
Разделитель(читается : одна большая буква, запятая, пробел, символ "[", 4 цифры):
 
   
  +
Разделитель(читается : одна большая буква, запятая, пробел, символ "[", 4 цифры):
 
<PRE>
 
<PRE>
 
pattern: '[A-Z], \[[0-9]{4}'
 
pattern: '[A-Z], \[[0-9]{4}'
Строка 266: Строка 175:
 
<BR>
 
<BR>
   
Подробнее про разбор многострочных сообщений - https://noname.com.ua/mediawiki/index.php?title=FilebeatMultiline
+
* Подробнее про разбор многострочных сообщений - [[FilebeatMultiline]]
  +
* Оригинальная документация - https://www.elastic.co/guide/en/beats/filebeat/current/multiline-examples.html (но не слишком понятная для меня)
  +
* TL;DR: использовать <B>negate: true</B> и <B>match: after</B> практически во всех случаях
   
  +
=Logstash=
===Общая часть конфигурации Filebeat===
 
Модули (по-умолчанию)
 
<PRE>
 
filebeat.config.modules:
 
path: ${path.config}/modules.d/*.yml
 
reload.enabled: false
 
</PRE>
 
<PRE>
 
setup.template.settings:
 
index.number_of_shards: 1
 
setup.kibana:
 
</PRE>
 
Отправлять логи в Logstash (на beat input с авторизацией по сертификатам)
 
<BR>Подробнее про настройку: https://noname.com.ua/mediawiki/index.php/Logstash
 
<PRE>
 
output.logstash:
 
hosts: ["elk.arturhaunt.ninja:5400"]
 
ssl.certificate_authorities: ["/etc/elk-certs/elk-ssl.crt"]
 
ssl.certificate: "/etc/elk-certs/elk-ssl.crt"
 
ssl.key: "/etc/elk-certs/elk-ssl.key"
 
</PRE>
 
Процессинг по-умолчанию добавляет метаданные хоста-источника
 
<PRE>
 
processors:
 
- add_host_metadata:
 
when.not.contains.tags: forwarded
 
- add_cloud_metadata: ~
 
- add_docker_metadata: ~
 
- add_kubernetes_metadata: ~
 
logging.level: info
 
logging.selectors: ["*"]
 
</PRE>
 
 
=Logstash для nginx access logs=
 
Только access.log<BR>
 
Правила для error.log в другой секции
 
 
==Input==
 
==Input==
Получение логов на порту 5400 (Это не syslog протокол - отправляет Filebeat, хотя получене логов через сислог тоже возможно)
+
Получение логов на порту 5400 (Это не syslog протокол - отправляет Filebeat, хотя получене логов через сислог тоже возможно) </B>
 
<PRE>
 
<PRE>
 
input {
 
input {
Строка 318: Строка 194:
 
}
 
}
 
</PRE>
 
</PRE>
  +
В настройке собственно ничего нет кроме путей к сертификатам и номера порта.
 
  +
* В настройке собственно ничего нет кроме путей к сертификатам и номера порта.
  +
* Все логи доставляются через один Input
 
==Filter==
 
==Filter==
  +
===Общая для всех логов часть===
Часть фильтра не относящаяся к nginx access log описана в другом разделе
 
===Конфигурация===
 
 
<PRE>
 
<PRE>
 
filter {
 
filter {
Строка 332: Строка 209:
 
rename => { "ruby" => "[application_data][ruby][object]" }
 
rename => { "ruby" => "[application_data][ruby][object]" }
 
}
 
}
  +
...
  +
пропущена часть специфичная для каждого из типов логов
  +
...
  +
}
  +
</PRE>
  +
====Построчный разбор====
  +
=====Добавление полей=====
  +
Добавить в лог 2 новых поля
  +
<BR>
  +
Этот шаг нужен для того что бы потом добавлять в эти поля соответствующие логи
  +
<PRE>
  +
mutate {
  +
add_field => { "nginx" => "nginx_object" }
  +
add_field => { "ruby" => "ruby_object" }
  +
}
  +
</PRE>
  +
=====Переименование полей=====
  +
Переименовать поля. По какой-то причине создать сразу поля с вложениями не получается
  +
<PRE>
  +
mutate {
  +
rename => { "nginx" => "[application_data][nginx][object]" }
  +
rename => { "ruby" => "[application_data][ruby][object]" }
  +
}
  +
</PRE>
  +
В результате получим
  +
<PRE>
  +
{
  +
"input": {
  +
"type": "log"
  +
"application_data": {
  +
"ruby": {
  +
"object": "ruby_object"
  +
},
  +
"nginx": {
  +
...
  +
</PRE>
  +
Глобально это сделано для того что бы логи от бекенда и от nginx отличались на уровне application_data а поля верхнего уровня совпадали (но я до сих пор не уверен имеет ли это смысл или может быть лучше писать их в разные индексы)
  +
  +
===Filter для nginx access logs===
  +
Часть фильтра не относящаяся к nginx access log описана в другом разделе
  +
====Конфигурация====
  +
<PRE>
  +
filter {
  +
...
  +
пропущнена часть общая для всех логов
  +
...
   
 
if ([type] == "nginx_access_log_json") {
 
if ([type] == "nginx_access_log_json") {
Строка 375: Строка 298:
 
...
 
...
 
</PRE>
 
</PRE>
==="Построчный" разбор===
 
====Общие для всех логов шаги (не только access.log====
 
=====Добавление полей=====
 
Добавить в лог 2 новых поля
 
<BR>
 
Этот шаг нужен для того что бы потом добавлять в эти поля соответствующие логи
 
<PRE>
 
mutate {
 
add_field => { "nginx" => "nginx_object" }
 
add_field => { "ruby" => "ruby_object" }
 
}
 
</PRE>
 
=====Переименование полей=====
 
Переименовать поля. По какой-то причине создать сразу поля с вложениями не получается
 
<PRE>
 
mutate {
 
rename => { "nginx" => "[application_data][nginx][object]" }
 
rename => { "ruby" => "[application_data][ruby][object]" }
 
}
 
</PRE>
 
В результате получим
 
<PRE>
 
{
 
"input": {
 
"type": "log"
 
"application_data": {
 
"ruby": {
 
"object": "ruby_object"
 
},
 
"nginx": {
 
...
 
</PRE>
 
Глобально это сделано для того что бы логи от бекенда и от nginx отличались на уровне application_data а поля верхнего уровня совпадали (но я до сих пор не уверен имеет ли это смысл или может быть лучше писать их в разные индексы)
 
   
 
====Преобразования специфичные для access.log====
 
====Преобразования специфичные для access.log====
Строка 536: Строка 426:
 
</PRE>
 
</PRE>
   
  +
===Filter для nginx error logs===
==Output==
 
  +
====Конфигурация====
Минимально-возможный конфиг - отправлять данные в Elasticsearch и кроме этого в файл (нужно для отладки)
 
output {
 
elasticsearch {
 
hosts => ["localhost:9200"]
 
index => "application-logs-%{[host][name]}-%{+YYYY.MM.dd}"
 
document_type => "nginx_logs"
 
}
 
if ([type] == "nginx_access_log_json") {
 
file {
 
flush_interval => 5
 
gzip => false
 
path => "/var/log/logstash/nginx-%{[host][name]}-%{+YYYY.MM.dd}.log"
 
}
 
}
 
 
...
 
 
}
 
=Logstash для nginx error logs=
 
==Input==
 
Один input для всех видов логов - тот же Filebeat (port 5400)
 
 
==Filter==
 
 
<PRE>
 
<PRE>
 
if ([type] == "nginx_error_log") {
 
if ([type] == "nginx_error_log") {
Строка 581: Строка 449:
 
}
 
}
 
</PRE>
 
</PRE>
  +
====Построчный разбор====
==Output==
 
   
  +
=====Фильтр что бы применять=====
=Logstash для Ruby Application logs=
 
  +
<PRE>
==Input==
 
  +
if ([type] == "nginx_error_log") {
Один input для всех видов логов - тот же Filebeat (port 5400)
 
  +
</PRE>
  +
=====Разбор с помощью grok=====
  +
<PRE>
  +
grok {
  +
match => [ "message" , "(?<nginx_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{TIME}) \[%{LOGLEVEL:log_level}\] %{GREEDYDATA:[application_data][nginx][message]}" ]
  +
}
  +
</PRE>
  +
Входные данные выглядят так:
  +
<PRE>
  +
2021/07/06 08:16:18 [notice] 1#1: start worker process 22
  +
</PRE>
  +
Другими словами эьл
  +
* Дата и время
  +
* Уровень сообщения
  +
* Текст сообщения
  +
Конструкция
  +
<PRE>
  +
(?<nginx_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{TIME})
  +
</PRE>
  +
означает что в результирующее поле <B>nginx_time></B> записать то что попадет под выражение <B>%{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{TIME}</B>
  +
<BR>
  +
Далее - стандартная конструкция grok вида <B>%{имя готового выражения:имя поля куда записать}</B>
  +
* LOGLEVEL --> log_level
  +
* GREEDYDATA (остаток сообщения) --> [application_data][nginx][message] (вложенное поле)
   
  +
==Filter==
 
  +
Дебаг GROK: https://grokdebug.herokuapp.com
  +
  +
=====Удаление оригинальных полей=====
  +
<PRE>
  +
mutate {
  +
remove_field => [ "message" ]
  +
}
  +
</PRE>
  +
=====Разбор даты=====
  +
<PRE>
  +
date {
  +
match => [
  +
"[nginx_time]",
  +
"yyyy/dd/mm HH:mm:ss"
  +
]
  +
target => "@application_timestamp"
  +
}
  +
</PRE>
  +
  +
=====Удаление ненужного поля=====
  +
<PRE>
  +
mutate {
  +
remove_field => [ "nginx_time" ]
  +
}
  +
</PRE>
  +
  +
===Filter для ruby application logs===
  +
====Конфигурация====
 
<PRE>
 
<PRE>
 
if ([ruby_application_logs] == "true") {
 
if ([ruby_application_logs] == "true") {
Строка 620: Строка 540:
   
 
}
 
}
  +
</PRE>
  +
====Построчный разбор====
  +
====Фильтрация====
  +
<PRE>
  +
if ([ruby_application_logs] == "true") {
  +
</PRE>
  +
=====Удаление цветных кодов=====
  +
<PRE>
  +
mutate {
  +
id => "[Meaningful label for your project, not repeated in any other config files] remove ANSI color codes"
  +
gsub => ["message", "\x1B\[([0-9]{1,2}(;[0-9]{1,2})?)?[m|K]", ""]
  +
}
  +
</PRE>
  +
=====Разбор с помощью grok=====
  +
<PRE>
  +
grok {
  +
match => [ "message" , "%{WORD:[application_data][ruby][log_level_short]}, \[%{TIMESTAMP_ISO8601:[application_data][ruby][timestamp]} \#%{NUMBER}\] %{WORD:log_level} -- %{GREEDYDATA:[application_data][ruby][log_message]}" ]
  +
}
  +
</PRE>
  +
Поле message разбирается на поля
  +
* [application_data][ruby][log_level_short] - короткое однобуквенное обозначение уровня лога (D - Debug, E - Error и т.д.)
  +
* [application_data][ruby][timestamp] - время
  +
* log_level - уровень лога, словом
  +
* [application_data][ruby][log_message] - само сообщение до колнца строки
   
  +
* Дебаг GROK: https://grokdebug.herokuapp.com (что б не забыть)
   
  +
=====Удаление ненужного поля=====
  +
<PRE>
  +
mutate {
  +
remove_field => [ "message" ]
  +
}
  +
</PRE>
  +
  +
=====Получение даты=====
  +
<PRE>
  +
date {
  +
match => [
  +
"[application_data][ruby][timestamp]",
  +
"MMM dd yyyy HH:mm:ss",
  +
"MMM d yyyy HH:mm:ss",
  +
"ISO8601"
  +
]
  +
target => "@application_timestamp"
  +
}
  +
</PRE>
  +
  +
=====Преобразование к заглавным буквам=====
  +
нужно так как приложения могут писать уровень по-разному - 'Error', 'error', 'ERROR'
  +
<PRE>
  +
mutate {
  +
uppercase => [ "log_level" ]
  +
}
  +
</PRE>
  +
  +
<B>TODO</B> Замена 'Err' -> Error и т.п. если найдется
  +
  +
==Output==
  +
===Общая для всех логов часть===
  +
Общий получатель логов - Elasticsearch
  +
<PRE>
 
output {
 
output {
 
elasticsearch {
 
elasticsearch {
Строка 628: Строка 607:
 
document_type => "nginx_logs"
 
document_type => "nginx_logs"
 
}
 
}
  +
...
if ([type] == "nginx_access_log_json") {
 
  +
пропущены отладочные получатели
file {
 
  +
...
flush_interval => 5
 
  +
}
gzip => false
 
  +
</PRE>
path => "/var/log/logstash/nginx-%{[host][name]}-%{+YYYY.MM.dd}.log"
 
  +
===Отладка===
}
 
  +
Для того что б удобно смотреть на результат работы фильтров и преобразований самый простой способ - писать логи в файл.
}
 
  +
====Для отладки для nginx access logs====
#
 
  +
<PRE>
# if ([ruby_application_logs] == "true") {
 
  +
# if ([type] == "nginx_access_log_json") {
 
# file {
 
# file {
 
# flush_interval => 5
 
# flush_interval => 5
 
# gzip => false
 
# gzip => false
# path => "/var/log/logstash/ruby-%{[host][name]}-%{+YYYY.MM.dd}.log"
+
# path => "/var/log/logstash/nginx-%{[host][name]}-%{+YYYY.MM.dd}.log"
 
# }
 
# }
 
# }
 
# }
  +
</PRE>
#
 
  +
====Для отладки для nginx error logs====
  +
<PRE>
 
# if ([type] == "nginx_error_log") {
 
# if ([type] == "nginx_error_log") {
 
# file {
 
# file {
Строка 650: Строка 632:
 
# path => "/var/log/logstash/nginx-errors-%{[host][name]}-%{+YYYY.MM.dd}.log"
 
# path => "/var/log/logstash/nginx-errors-%{[host][name]}-%{+YYYY.MM.dd}.log"
 
# }
 
# }
  +
# }
 
</PRE>
 
</PRE>
  +
==Output==
 
  +
====Для отладки для ruby application logs====
  +
<PRE>
  +
#
  +
# if ([ruby_application_logs] == "true") {
  +
# file {
  +
# flush_interval => 5
  +
# gzip => false
  +
# path => "/var/log/logstash/ruby-%{[host][name]}-%{+YYYY.MM.dd}.log"
  +
# }
  +
# }
  +
</PRE>
  +
  +
=Elasticsearch-Curator=
  +
==Установка==
  +
<PRE>
  +
wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
  +
echo 'deb [arch=amd64] https://packages.elastic.co/curator/5/debian stable main' > /etc/apt/sources.list.d/curator.list
  +
apt update
  +
</PRE>
  +
<PRE>
  +
apt-cache policy elasticsearch-curator
  +
elasticsearch-curator:
  +
Installed: (none)
  +
Candidate: 5.8.4
  +
Version table:
  +
5.8.4 500
  +
500 https://packages.elastic.co/curator/5/debian stable/main amd64 Packages
  +
</PRE>
  +
  +
<PRE>
  +
apt install elasticsearch-curator
  +
</PRE>
  +
==Конфигурация==
  +
<PRE>
  +
mkdir /etc/elasticsearch-curator
  +
</PRE>
  +
client.yaml
  +
<PRE>
  +
---
  +
client:
  +
hosts:
  +
- 127.0.0.1
  +
port: 9200
  +
url_prefix:
  +
use_ssl: False
  +
certificate:
  +
client_cert:
  +
client_key:
  +
ssl_no_validate: False
  +
username:
  +
password:
  +
timeout: 30
  +
master_only: False
  +
  +
logging:
  +
loglevel: INFO
  +
logfile:
  +
logformat: default
  +
blacklist: ['elasticsearch', 'urllib3']
  +
</PRE>
  +
actions.yaml
  +
<PRE>
  +
actions:
  +
1:
  +
action: delete_indices
  +
description: >-
  +
Delete indices older than 30 days (based on index name), for network-
  +
prefixed indices. Ignore the error if the filter does not result in an
  +
actionable list of indices (ignore_empty_list) and exit cleanly.
  +
options:
  +
ignore_empty_list: True
  +
disable_action: False
  +
filters:
  +
- filtertype: pattern
  +
kind: prefix
  +
value: application-logs-
  +
- filtertype: age
  +
source: name
  +
direction: older
  +
timestring: '%Y.%m.%d'
  +
unit: days
  +
unit_count: 30
  +
</PRE>
  +
==Тестирование==
  +
Для теста ставим unit_count: 1 и проверяем с опцией --dry-run
  +
<PRE>
  +
+ /usr/bin/curator --dry-run --config /etc/elasticsearch-curator/client.yaml /etc/elasticsearch-curator/actions.yaml
  +
2021-08-11 12:42:52,788 INFO Preparing Action ID: 1, "delete_indices"
  +
2021-08-11 12:42:52,788 INFO Creating client object and testing connection
  +
2021-08-11 12:42:52,791 INFO Instantiating client object
  +
2021-08-11 12:42:52,791 INFO Testing client connectivity
  +
/opt/python/3.9.4/lib/python3.9/site-packages/elasticsearch/connection/base.py:200: ElasticsearchWarning: Elasticsearch built-in security features are not enabled. Without authentication, your cluster could be accessible to anyone. See https://www.elastic.co/guide/en/elasticsearch/reference/7.14/security-minimal-setup.html to enable security.
  +
...
  +
/opt/python/3.9.4/lib/python3.9/site-packages/elasticsearch/connection/base.py:200: ElasticsearchWarning: this request accesses system indices: [.apm-agent-configuration, .apm-custom-link, .async-search, .kibana_7.14.0_001, .kibana_task_manager_7.14.0_001, .tasks], but in a future major version, direct access to system indices will be prevented by default
  +
2021-08-11 12:42:52,854 INFO DRY-RUN MODE. No changes will be made.
  +
2021-08-11 12:42:52,854 INFO (CLOSED) indices may be shown that may not be acted on by action "delete_indices".
  +
2021-08-11 12:42:52,854 INFO DRY-RUN: delete_indices: application-logs-env1-2021.08.09 with arguments: {}
  +
2021-08-11 12:42:52,854 INFO DRY-RUN: delete_indices: application-logs-env1-2021.08.10 with arguments: {}
  +
2021-08-11 12:42:52,854 INFO DRY-RUN: delete_indices: application-logs-elk.domain.tld-2021.08.09 with arguments: {}
  +
2021-08-11 12:42:52,855 INFO DRY-RUN: delete_indices: application-logs-elk.doamin.tld-2021.08.10 with arguments: {}
  +
2021-08-11 12:42:52,855 INFO Action ID: 1, "delete_indices" completed.
  +
2021-08-11 12:42:52,855 INFO Job completed.
  +
</PRE>
  +
Индексы для удаления найдены
  +
  +
==Задание Cron==
  +
Надо передлать на systemd-timer но лень
  +
  +
<B>/etc/cron.daily/curator</B>
  +
<PRE>
  +
#!/bin/bash
  +
  +
/usr/bin/curator \
  +
--config \
  +
/etc/elasticsearch-curator/config.yaml \
  +
/etc/elasticsearch-curator/actions.yaml 2>&1 | logger -t "elasticsearch_curator"
  +
</PRE>
  +
  +
=Kibana=
  +
==Установка==
  +
Установка из того же репозитория что и Elasticsearch
  +
<PRE>
  +
sudo apt-get install kibana
  +
systemctl start kibana
  +
systemctl enable kibana
  +
</PRE>
  +
  +
==Конфиги==
  +
===kibana===
  +
<PRE>
  +
server.port: 5601
  +
server.host: "127.0.0.1"
  +
server.publicBaseUrl: "https://elk.domain .tld"
  +
elasticsearch.hosts: ["http://localhost:9200"]
  +
kibana.index: ".kibana"
  +
i18n.locale: "en"
  +
</PRE>
  +
  +
===nginx===
  +
  +
{{#spoiler:show=Полный конфиг Nginx|
  +
<PRE>
  +
user www-data;
  +
worker_processes 1;
  +
error_log /var/log/nginx/error.log debug;
  +
pid /usr/local/openresty/nginx/logs/nginx.pid;
  +
events {
  +
worker_connections 1024;
  +
}
  +
  +
pcre_jit on;
  +
http {
  +
include mime.types;
  +
default_type application/octet-stream;
  +
  +
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
  +
'$status $body_bytes_sent "$http_referer" '
  +
'"$http_user_agent" "$http_x_forwarded_for"';
  +
  +
# Log in JSON Format
  +
log_format nginxlog_json escape=json
  +
'{ '
  +
'"nginx_http_user_agent": "$http_user_agent",'
  +
'"nginx_ancient_browser": "$ancient_browser",'
  +
'"nginx_body_bytes_sent": "$body_bytes_sent",'
  +
'"nginx_bytes_sent": "$bytes_sent",'
  +
'"nginx_connection": "$connection",'
  +
'"nginx_connection_requests": "$connection_requests",'
  +
'"nginx_connections_active": "$connections_active",'
  +
'"nginx_connections_reading": "$connections_reading",'
  +
'"nginx_connections_waiting": "$connections_waiting",'
  +
'"nginx_connections_writing": "$connections_writing",'
  +
'"nginx_content_length": "$content_length",'
  +
'"nginx_content_type": "$content_type",'
  +
'"nginx_cookie_": "$cookie_",'
  +
'"nginx_document_root": "$document_root",'
  +
'"nginx_document_uri": "$document_uri",'
  +
'"nginx_fastcgi_path_info": "$fastcgi_path_info",'
  +
'"nginx_fastcgi_script_name": "$fastcgi_script_name",'
  +
'"nginx_host": "$host",'
  +
'"nginx_hostname": "$hostname",'
  +
'"nginx_https": "$https",'
  +
'"nginx_invalid_referer": "$invalid_referer",'
  +
'"nginx_is_args": "$is_args",'
  +
'"nginx_limit_conn_status": "$limit_conn_status",'
  +
'"nginx_limit_rate": "$limit_rate",'
  +
'"nginx_limit_req_status": "$limit_req_status",'
  +
'"nginx_modern_browser": "$modern_browser",'
  +
'"nginx_msec": "$msec",'
  +
'"nginx_msie": "$msie",'
  +
'"nginx_nginx_version": "$nginx_version",'
  +
'"nginx_proxy_add_x_forwarded_for": "$proxy_add_x_forwarded_for",'
  +
'"nginx_proxy_host": "$proxy_host",'
  +
'"nginx_proxy_port": "$proxy_port",'
  +
'"nginx_proxy_protocol_addr": "$proxy_protocol_addr",'
  +
'"nginx_proxy_protocol_port": "$proxy_protocol_port",'
  +
'"nginx_proxy_protocol_server_addr": "$proxy_protocol_server_addr",'
  +
'"nginx_proxy_protocol_server_port": "$proxy_protocol_server_port",'
  +
'"nginx_query_string": "$query_string",'
  +
'"nginx_realip_remote_addr": "$realip_remote_addr",'
  +
'"nginx_realip_remote_port": "$realip_remote_port",'
  +
'"nginx_remote_addr": "$remote_addr",'
  +
'"nginx_remote_port": "$remote_port",'
  +
'"nginx_remote_user": "$remote_user",'
  +
'"nginx_request": "$request",'
  +
'"nginx_request_headers": "$request_headers",'
  +
'"nginx_request_body": "$request_body",'
  +
'"nginx_request_id": "$request_id",'
  +
'"nginx_request_length": "$request_length",'
  +
'"nginx_request_method": "$request_method",'
  +
'"nginx_request_time": "$request_time",'
  +
'"nginx_request_uri": "$request_uri",'
  +
'"nginx_scheme": "$scheme",'
  +
'"nginx_server_addr": "$server_addr",'
  +
'"nginx_server_name": "$server_name",'
  +
'"nginx_server_port": "$server_port",'
  +
'"nginx_server_port": "$server_port",'
  +
'"nginx_server_protocol": "$server_protocol",'
  +
'"nginx_ssl_cipher": "$ssl_cipher",'
  +
'"nginx_ssl_ciphers": "$ssl_ciphers",'
  +
'"nginx_ssl_client_cert": "$ssl_client_cert",'
  +
'"nginx_ssl_client_escaped_cert": "$ssl_client_escaped_cert",'
  +
'"nginx_ssl_client_fingerprint": "$ssl_client_fingerprint",'
  +
'"nginx_ssl_client_i_dn": "$ssl_client_i_dn",'
  +
'"nginx_ssl_client_raw_cert": "$ssl_client_raw_cert",'
  +
'"nginx_ssl_client_s_dn": "$ssl_client_s_dn",'
  +
'"nginx_ssl_client_serial": "$ssl_client_serial",'
  +
'"nginx_ssl_client_v_end": "$ssl_client_v_end",'
  +
'"nginx_ssl_client_v_remain": "$ssl_client_v_remain",'
  +
'"nginx_ssl_client_v_start": "$ssl_client_v_start",'
  +
'"nginx_ssl_client_verify": "$ssl_client_verify",'
  +
'"nginx_ssl_early_data": "$ssl_early_data",'
  +
'"nginx_ssl_protocol": "$ssl_protocol",'
  +
'"nginx_ssl_server_name": "$ssl_server_name",'
  +
'"nginx_ssl_session_id": "$ssl_session_id",'
  +
'"nginx_ssl_session_reused": "$ssl_session_reused",'
  +
'"nginx_status": "$status",'
  +
'"nginx_tcpinfo_rtt": "$tcpinfo_rtt",'
  +
'"nginx_tcpinfo_rttvar": "$tcpinfo_rttvar",'
  +
'"nginx_tcpinfo_snd_cwnd": "$tcpinfo_snd_cwnd",'
  +
'"nginx_tcpinfo_rcv_space": "$tcpinfo_rcv_space",'
  +
'"nginx_time_iso8601": "$time_iso8601",'
  +
'"nginx_time_local": "$time_local",'
  +
'"nginx_uid_got": "$uid_got",'
  +
'"nginx_uid_reset": "$uid_reset",'
  +
'"nginx_uid_set": "$uid_set",'
  +
'"nginx_upstream_addr": "$upstream_addr",'
  +
'"nginx_upstream_bytes_received": "$upstream_bytes_received",'
  +
'"nginx_upstream_bytes_sent": "$upstream_bytes_sent",'
  +
'"nginx_upstream_bytes_sent": "$upstream_bytes_sent",'
  +
'"nginx_upstream_cache_status": "$upstream_cache_status",'
  +
'"nginx_upstream_connect_time": "$upstream_connect_time",'
  +
'"nginx_upstream_cookie_": "$upstream_cookie_",'
  +
'"nginx_upstream_header_time": "$upstream_header_time",'
  +
'"nginx_upstream_http_": "$upstream_http_",'
  +
'"nginx_upstream_response_length": "$upstream_response_length",'
  +
'"nginx_upstream_response_time": "$upstream_response_time",'
  +
'"nginx_upstream_status": "$upstream_status",'
  +
'"nginx_uri": "$uri",'
  +
'"nginx_response_body": "$response_body"'
  +
'}';
  +
  +
  +
log_format nginxlog_flat
  +
'"timestamp": "$time_iso8601"'
  +
'"remote_addr": "$remote_addr"'
  +
'"body_bytes_sent": $body_bytes_sent'
  +
'"request": "$request"'
  +
'"request_method": "$request_method"'
  +
'"request_time": $request_time'
  +
'"response_status": $status'
  +
'"upstream_status": $upstream_status'
  +
'"upstream_response_time": $upstream_response_time'
  +
'"upstream_connect_time": $upstream_connect_time'
  +
'"upstream_header_time": $upstream_header_time'
  +
'"upstream_addr": "$upstream_addr"'
  +
'"host": "$host",'
  +
'"http_x_forwarded_for": "$http_x_forwarded_for"'
  +
'"http_referrer": "$http_referer" '
  +
'"http_user_agent": "$http_user_agent"'
  +
'"http_version": "$server_protocol"'
  +
'"nginx_access": true';
  +
  +
  +
  +
  +
access_log /var/log/nginx/access.log nginxlog_json;
  +
sendfile on;
  +
#tcp_nopush on;
  +
keepalive_timeout 65;
  +
#gzip on;
  +
#################################################################################
  +
# see https://github.com/auto-ssl/lua-resty-auto-ssl#request_domain for detauls #
  +
#################################################################################
  +
# The "auto_ssl" shared dict should be defined with enough storage space to
  +
# hold your certificate data. 1MB of storage holds certificates for
  +
# approximately 100 separate domains.
  +
lua_shared_dict auto_ssl 1m;
  +
# The "auto_ssl_settings" shared dict is used to temporarily store various settings
  +
# like the secret used by the hook server on port 8999. Do not change or
  +
# omit it.
  +
lua_shared_dict auto_ssl_settings 64k;
  +
# A DNS resolver must be defined for OCSP stapling to function.
  +
#
  +
# This example uses Google's DNS server. You may want to use your system's
  +
# default DNS servers, which can be found in /etc/resolv.conf. If your network
  +
# is not IPv6 compatible, you may wish to disable IPv6 results by using the
  +
# "ipv6=off" flag (like "resolver 8.8.8.8 ipv6=off").
  +
resolver 8.8.8.8 ipv6=off;
  +
# Initial setup tasks.
  +
init_by_lua_block {
  +
auto_ssl = (require "resty.auto-ssl").new()
  +
-- Define a function to determine which SNI domains to automatically handle
  +
-- and register new certificates for. Defaults to not allowing any domains,
  +
-- so this must be configured.
  +
auto_ssl:set("allow_domain", function(domain)
  +
return true
  +
end)
  +
  +
auto_ssl:init()
  +
}
  +
  +
init_worker_by_lua_block {
  +
auto_ssl:init_worker()
  +
}
  +
  +
  +
# Internal server running on port 8999 for handling certificate tasks.
  +
server {
  +
listen 127.0.0.1:8999;
  +
# Increase the body buffer size, to ensure the internal POSTs can always
  +
# parse the full POST contents into memory.
  +
client_body_buffer_size 128k;
  +
client_max_body_size 128k;
  +
access_log /var/log/nginx/ssl-by-lua-access.log;
  +
location / {
  +
content_by_lua_block {
  +
auto_ssl:hook_server()
  +
}
  +
}
  +
}
  +
  +
upstream kibana {
  +
server 127.0.0.1:5601;
  +
}
  +
  +
server {
  +
listen 80 default_server;
  +
root /var/www/backend;
  +
server_name elk.domain.tld;
  +
access_log /var/log/nginx/elk.domain.tld-access.log nginxlog_json;
  +
error_log /var/log/nginx/elk.domain.tld-error.log;
  +
client_max_body_size 500M;
  +
keepalive_timeout 0;
  +
  +
location / {
  +
return 301 https://$host$request_uri;
  +
}
  +
  +
error_page 404 /404.html;
  +
error_page 500 502 503 504 /500.html;
  +
  +
  +
# Endpoint used for performing domain verification with Let's Encrypt.
  +
location /.well-known/acme-challenge/ {
  +
content_by_lua_block {
  +
auto_ssl:challenge_server()
  +
}
  +
}
  +
}
  +
  +
server {
  +
listen 443 ssl;
  +
root /var/www/backend;
  +
server_name elk.domain.tld;
  +
access_log /var/log/nginx/elk.domain.tld-access.log.ssl nginxlog_json;
  +
error_log /var/log/nginx/elk.domain.tld-error.log.ssl;
  +
client_max_body_size 500M;
  +
keepalive_timeout 0;
  +
# Dynamic handler for issuing or returning certs for SNI domains.
  +
ssl_certificate_by_lua_block {
  +
auto_ssl:ssl_certificate()
  +
}
  +
  +
ssl_certificate /etc/ssl/elk.domain.tld-resty-auto-ssl-fallback.crt;
  +
ssl_certificate_key /etc/ssl/elk.domain.tld-resty-auto-ssl-fallback.key;
  +
  +
  +
auth_basic "Restricted Access";
  +
auth_basic_user_file /etc/nginx/htpasswd.users;
  +
  +
lua_need_request_body on;
  +
  +
set $response_body "";
  +
body_filter_by_lua '
  +
local response_body = string.sub(ngx.arg[1], 1, 1000)
  +
ngx.ctx.buffered = (ngx.ctx.buffered or "") .. response_body
  +
if ngx.arg[2] then
  +
ngx.var.response_body = ngx.ctx.buffered
  +
end
  +
';
  +
  +
  +
set_by_lua_block $request_headers{
  +
local h = ngx.req.get_headers()
  +
local request_headers_all = ""
  +
for k, v in pairs(h) do
  +
local rowtext = ""
  +
rowtext = string.format(" %s='%s' ", k, v)
  +
request_headers_all = request_headers_all .. rowtext
  +
  +
end
  +
return request_headers_all
  +
}
  +
  +
  +
location / {
  +
proxy_headers_hash_max_size 512;
  +
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  +
proxy_set_header Host $http_host;
  +
proxy_redirect off;
  +
proxy_pass http://kibana;
  +
  +
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  +
proxy_set_header X-Forwarded-Proto $scheme;
  +
proxy_set_header X-Forwarded-Ssl on; # Optional
  +
proxy_set_header X-Forwarded-Port $server_port;
  +
proxy_set_header X-Forwarded-Host $host;
  +
}
  +
# Endpoint used for performing domain verification with Let's Encrypt.
  +
location /.well-known/acme-challenge/ {
  +
auth_basic off;
  +
allow all; # Allow all to see content
  +
content_by_lua_block {
  +
auto_ssl:challenge_server()
  +
}
  +
}
  +
error_page 404 /404.html;
  +
error_page 500 502 503 504 /500.html;
  +
  +
}
  +
}
  +
  +
</PRE>
  +
}}
  +
  +
=Дополнения=
  +
==Docker Autodiscovery==
  +
Добавлено в конце - для сбора логов докеа файлбит умеет автодискавери [[Filebeat]]
  +
Формат логов немного отличается
  +
<PRE>
  +
if ([docker_autodiscovery] == "true") {
  +
mutate {
  +
id => "[Meaningful label for your project, not repeated in any other config files] remove ANSI color codes for Docker"
  +
gsub => ["message", "\x1B\[([0-9]{1,2}(;[0-9]{1,2})?)?[m|K]", ""]
  +
}
  +
  +
grok {
  +
match => [ "message" , "%{TIMESTAMP_ISO8601:[application_data][ruby][timestamp]} %{NUMBER}%{GREEDYDATA:[application_data][ruby][log_message]}" ]
  +
}
  +
  +
mutate {
  +
remove_field => [ "message" ]
  +
}
  +
  +
date {
  +
match => [
  +
"[application_data][ruby][timestamp]",
  +
"MMM dd yyyy HH:mm:ss",
  +
"MMM d yyyy HH:mm:ss",
  +
"ISO8601"
  +
]
  +
target => "@application_timestamp"
  +
}
  +
}
  +
</PRE>
  +
  +
=Ссылки=
  +
* https://pawelurbanek.com/elk-nginx-logs-setup

Текущая версия на 14:28, 2 сентября 2021

Отдельные заметки

Некоторые вещи были доработаны после написания основной части по опыту использования и вынесены в отдельные заметки

Пример

Это дополнение статьи https://noname.com.ua/mediawiki/index.php?title=Logstash

Задача

Задача - отправка логов от тестового приложения в Logstash

  • Для тестовых устновок - писать максимально подробные логи приложения
    • Nginx - настолько подробно насколько это возможно
    • Логи которые пишет бекенд (Ruby)
  • Для Staging/Prod - менее подробные логи (что бы не перегрузить Elasticsearch)

Реализация

  • Сервер для сбора - Elasticsearch, Logstash, Kibana, Curator
    • Elasticsearch - индексация логов и поиск
    • Logstash - прием логов и форматирование перед отравкой в Elasticsearch
    • Kibana - интерфейс к Elasticsearch
    • Curator -удаление старых индексов
  • На окружениях которые генерируют логи - Filebeat (Filebeat проще и легковеснее - нет нужды ставить везде Logstash)


При реализации НЕ учитывалось (из экономических соображений):

  • Отказоустойчивость
    • Standalone ElasticSerach (1 нода)
    • Один экзкмпляр Logstash
  • Балансировка нагрузки отсутвует
  • Нет менеджера очередей для логов для сглаживания пиков нагрузки (можно использовать Kafka/RabbitMQ)


Итого есть три типа логов которы нужно собирать (и они в разных форматах)

  • nginx access.log
  • nginx error.log
  • ruby applocation log

Конфигурация источников логов

Конфигурация nginx

Результат

tail -1 access.log | jq .

Пример лога (не все поля)

{
  ...
  "nginx_http_user_agent": "python-requests/2.23.0",
  "nginx_request_headers": " connection='keep-alive'  accept='*/*'  accept-encoding='gzip, deflate'  host='login-anastasiia-env.arturhaunt.com'  user-agent='python-requests/2.23.0' ",
  "nginx_time_iso8601": "2021-08-10T03:09:57+00:00",
  "nginx_time_local": "10/Aug/2021:03:09:57 +0000",
  "nginx_response_body": "<html>\r\n<head><title>301 Moved Permanently</title></head>\r\n<body>\r\n<center><h1>301 Moved Permanently</h1></center>\r\n<hr><center>openresty/1.19.3.2</center>\r\n</body>\r\n</html>\r\n",
  ...
}

Конфигурация приложения

Формат логов приложения в рамках задачи не могут быть изменены

Конфигурация доставки логов

Для доставки логов всех типов используется Filebeat

Общая часть конфигурации Filebeat

Это часть конфигурации которая не относится к какому-то определнному логу а общая для всех.

Модули

Оставега конфигурация по-умолчанию.

filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
setup.template.settings:
  index.number_of_shards: 1
setup.kibana:

Output

Отправлять логи в Logstash (на beat input с авторизацией по сертификатам)
Подробнее про настройку: https://noname.com.ua/mediawiki/index.php/Logstash

output.logstash:
  hosts: ["elk.domain.tld:5400"]
  ssl.certificate_authorities: ["/etc/elk-certs/elk-ssl.crt"]
  ssl.certificate: "/etc/elk-certs/elk-ssl.crt"
  ssl.key: "/etc/elk-certs/elk-ssl.key"

Процессинг по-умолчанию добавляет метаданные хоста-источника

processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~
logging.level: info
logging.selectors: ["*"]

Пересылка nginx access logs

Предельно простая конфигурация - читать файлы по маске

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/www/deploy/backend/current/log/nginx/*access.log*
  exclude_files: ['\.gz$']
  fields:
    nginx_logs: "true"
    ruby_application_logs: "false"
    type: "nginx_access_log_json"
    source_hostname: "test-env.domain.tld"
  fields_under_root: true

Пересылка nginx error logs

Ничем не отличается от access.log
Разбор лога на отдельные поля происходит на стороне Logstash.

- type: log
  enabled: true
  paths:
    - /var/www/deploy/backend/current/log/nginx/*error.log*
  exclude_files: ['\.gz$']
  fields:
    nginx_logs: "true"
    ruby_application_logs: "false"
    type: "nginx_error_log"
    source_hostname: "some-domain.tld"
  fields_under_root: true

Пересылка ruby application logs

Немного более сложная сложная конфигурация для многострочного лога

  paths:
    - /var/www/deploy/backend/shared/log/staging.log
  exclude_files: ['\.gz$']
  fields:
    nginx_logs: "false"
    ruby_application_logs: "true"
    type: "ruby_application_logs"
    source_hostname: "some-domain.tld"
  fields_under_root: true
  multiline:
    pattern: '[A-Z], \[[0-9]{4}'
    negate: true
    match: after

Пример лога

D, [2021-08-10T11:17:02.270613 #7] DEBUG -- [ContentSelector::FindExternalService]: /usr/src/app/app/services/content_selector/find_external_service.rb:31:in `perform'
^M/usr/src/app/app/services/service.rb:188:in `call!'
^M/usr/src/app/app/services/service.rb:204:in `call'
^M/usr/src/app/app/services/service.rb:110:in `perform'
^M/usr/src/app/lib/activity_organizers/external.rb:32:in `block in vacant_content_and_topic'
^M/usr/src/app/lib/activity_organizers/external.rb:31:in `each'
^M/usr/src/app/lib/activity_organizers/external.rb:31:in `inject'
^M/usr/src/app/lib/activity_organizers/external.rb:31:in `vacant_content_and_topic'
^M/usr/src/app/lib/activity_organizers/external.rb:18:in `perform'

Разделитель(читается : одна большая буква, запятая, пробел, символ "[", 4 цифры):

pattern: '[A-Z], \[[0-9]{4}'

TODO: Скорее всего список A-Z избыточен так как первая буква означает уровень логгирования, для года наверно можно использовать 202[1-9]

Logstash

Input

Получение логов на порту 5400 (Это не syslog протокол - отправляет Filebeat, хотя получене логов через сислог тоже возможно)

input {
    beats {
        port => 5400
        ssl => true
        ssl_certificate_authorities => ["/etc/elk-certs/elk-ssl.crt"]
        ssl_certificate => "/etc/elk-certs/elk-ssl.crt"
        ssl_key => "/etc/elk-certs/elk-ssl.key"
        ssl_verify_mode => "force_peer"
    }
}
  • В настройке собственно ничего нет кроме путей к сертификатам и номера порта.
  • Все логи доставляются через один Input

Filter

Общая для всех логов часть

filter {
    mutate {
        add_field => { "nginx" => "nginx_object" }
        add_field => { "ruby" => "ruby_object" }
    }
    mutate {
        rename => { "nginx" => "[application_data][nginx][object]" }
        rename => { "ruby"  => "[application_data][ruby][object]" }
    }
   ... 
   пропущена часть специфичная для каждого из типов логов
   ...
}

Построчный разбор

Добавление полей

Добавить в лог 2 новых поля
Этот шаг нужен для того что бы потом добавлять в эти поля соответствующие логи

    mutate {
        add_field => { "nginx" => "nginx_object" }
        add_field => { "ruby" => "ruby_object" }
    }
Переименование полей

Переименовать поля. По какой-то причине создать сразу поля с вложениями не получается

    mutate {
        rename => { "nginx" => "[application_data][nginx][object]" }
        rename => { "ruby"  => "[application_data][ruby][object]" }
    }

В результате получим

{
  "input": {
    "type": "log"
  "application_data": {
    "ruby": {
      "object": "ruby_object"
    },
    "nginx": {
...

Глобально это сделано для того что бы логи от бекенда и от nginx отличались на уровне application_data а поля верхнего уровня совпадали (но я до сих пор не уверен имеет ли это смысл или может быть лучше писать их в разные индексы)

Filter для nginx access logs

Часть фильтра не относящаяся к nginx access log описана в другом разделе

Конфигурация

filter {
    ... 
    пропущнена часть общая для всех логов
    ...

    if ([type] == "nginx_access_log_json") {
        mutate {
            add_field => { "log_level" => "INFO" }
        }

        json {
            source => "message"
            target => "[application_data][nginx]"
        }

        mutate {
            remove_field => [ "message" ]
        }

        json {
            source => "[application_data][nginx][nginx_request_body]"
            target => "[application_data][nginx][nginx_request_body_json]"
            tag_on_failure => "request_body_is_not_json"
        }

        json {
            source => "[application_data][nginx][nginx_response_body]"
            target => "[application_data][nginx][nginx_response_body_json]"
            tag_on_failure => "response_body_is_not_json"
        }

        kv {
            source => "[application_data][nginx][nginx_request_headers]"
            target => "[application_data][nginx][nginx_request_headers]"
        }
        date {
            match => [
                "[application_data][nginx][nginx_time_iso8601]",
                "MMM dd yyyy HH:mm:ss",
                "MMM  d yyyy HH:mm:ss",
                "ISO8601"
            ]
            target => "@application_timestamp"
        }
    }
...

Преобразования специфичные для access.log


Условие надожения фильтров - далее специфичные для access logs фильтры.

    if ([type] == "nginx_access_log_json") {
Добавление поля с уровнем сообщения

Модификация лога - для всех сообщений из access.log добавляем уровень INFO
TODO(?) Выставлять другой уровень в зависмости от кода ответа?

        mutate {
            add_field => { "log_level" => "INFO" }
        }
Разбор сообщения (т.е. поля "message")

Этот фильтр разбирает строку как JSON.

        json {
            source => "message"
            target => "[application_data][nginx]"
        }

например если Filebeat пришлет строку лога (экранированный JSON)

'{ \"key\": \"value\"} '

то без модификации в логе будет

{
"message": '{ \"key\": \"value\"} '
}

т.е. в поле message сообщение попадет "как есть"
С фильтром же результат будет

{
"application_data": {
  "nginx": {
     "key": "value"
  }
},
"message": '{ \"key\": \"value\"} '
}

"application_data" --> "nginx" описаны в target => "[application_data][nginx]"
Исходный message никуда не девается и удаляить его если не нужен нужно отдельно

Удаление лишнего поля

Разобраное на предыдущем шаге сообшение больше не нужно.
Важно: тут не рассматривается случай еслли вместо JSON в логе прийдет что-то другое, в таком случае это сообшение будет утрачено. Но так-как формат сообщения контролируется со стороны конфигурации nginx то это не проблема.

        mutate {
            remove_field => [ "message" ]
        }
Разбор поля [application_data][nginx][nginx_request_body]
        json {
            source => "[application_data][nginx][nginx_request_body]"
            target => "[application_data][nginx][nginx_request_body_json]"
            tag_on_failure => "request_body_is_not_json"
        }

Тут в случае успеха (т.е. если тело запроса это JSON) - разобранный результат сохранить в поле nginx_request_body_json
Исходное поле не удаляется (на тот случай если в запросе был Не JSON), при ошибке разбора добавляется тег request_body_is_not_json

Разбор поля [application_data][nginx][nginx_response_body_json]

Аналогично - но разбор ответа котрый мог быть JSON или нет

        json {
            source => "[application_data][nginx][nginx_response_body]"
            target => "[application_data][nginx][nginx_response_body_json]"
            tag_on_failure => "response_body_is_not_json"
        }
Разбор поля с заголовками

Поля с заголовками пишуться LUA-кодом:

 rowtext = string.format(" %s='%s' ", k, v)

Это сделано специально для простоты разбора. До разбора заголовки выглядят так:

"nginx_request_headers": " host='domain.tld'  accept-language='en-gb'  accept-encoding='gzip, deflate, br'  connection='keep-alive'  content-type='application/json'  user-agent='Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.1.2 Safari/605.1.15'  authorization='Basic ...='  kbn-system-request='true' ...

Фильтр разбирает такие строки используя разделитель"=" по-умолчанию

        kv {
            source => "[application_data][nginx][nginx_request_headers]"
            target => "[application_data][nginx][nginx_request_headers]"
        }

Этот фильтр берет строку из поля nginx_request_headers и складывает результат работра туде же:

      "nginx_request_headers": {
        "content-type": "application/x-www-form-urlencoded",
        "content-length": "7",
        "host": "...",
        "user-agent": "curl/7.68.0",
        "accept": "*/*",
        "authorization": "Basic ...="

TODO: тут можно подумать как разбирать тело запроса в зависимости от content-type

Разбор поля с датой

Для того что бы использовать время генерации лога, а не время поступления на логстеш.
Настройка максимально проста - поле из которого брать и как "пробовать разобрать".

        date {
            match => [
                "[application_data][nginx][nginx_time_iso8601]",
                "MMM dd yyyy HH:mm:ss",
                "MMM  d yyyy HH:mm:ss",
                "ISO8601"
            ]
            target => "@application_timestamp"
        }

Filter для nginx error logs

Конфигурация

    if ([type] == "nginx_error_log") {
        grok {
            match => [ "message" , "(?<nginx_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{TIME}) \[%{LOGLEVEL:log_level}\] %{GREEDYDATA:[application_data][nginx][message]}" ]
        }
        mutate {
            remove_field => [ "message" ]
        }
        date {
            match => [
                "[nginx_time]",
                "yyyy/dd/mm HH:mm:ss"
            ]
            target => "@application_timestamp"
        }
        mutate {
            remove_field => [ "nginx_time" ]
        }

    }

Построчный разбор

Фильтр что бы применять
    if ([type] == "nginx_error_log") {
Разбор с помощью grok
        grok {
            match => [ "message" , "(?<nginx_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{TIME}) \[%{LOGLEVEL:log_level}\] %{GREEDYDATA:[application_data][nginx][message]}" ]
        }

Входные данные выглядят так:

2021/07/06 08:16:18 [notice] 1#1: start worker process 22

Другими словами эьл

  • Дата и время
  • Уровень сообщения
  • Текст сообщения

Конструкция

(?<nginx_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{TIME}) 

означает что в результирующее поле nginx_time> записать то что попадет под выражение %{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{TIME}
Далее - стандартная конструкция grok вида %{имя готового выражения:имя поля куда записать}

  • LOGLEVEL --> log_level
  • GREEDYDATA (остаток сообщения) --> [application_data][nginx][message] (вложенное поле)


Дебаг GROK: https://grokdebug.herokuapp.com

Удаление оригинальных полей
        mutate {
            remove_field => [ "message" ]
        }
Разбор даты
        date {
            match => [
                "[nginx_time]",
                "yyyy/dd/mm HH:mm:ss"
            ]
            target => "@application_timestamp"
        }
Удаление ненужного поля
        mutate {
            remove_field => [ "nginx_time" ]
        }

Filter для ruby application logs

Конфигурация

    if ([ruby_application_logs] == "true") {
        mutate {
            id => "[Meaningful label for your project, not repeated in any other config files] remove ANSI color codes"
            gsub => ["message", "\x1B\[([0-9]{1,2}(;[0-9]{1,2})?)?[m|K]", ""]
        }

        grok {
            match => [ "message" , "%{WORD:[application_data][ruby][log_level_short]}, \[%{TIMESTAMP_ISO8601:[application_data][ruby][timestamp]} \#%{NUMBER}\] %{WORD:log_level} -- %{GREEDYDATA:[application_data][ruby][log_message]}" ]
        }

        mutate {
            remove_field => [ "message" ]
        }

        date {
            match => [
                "[application_data][ruby][timestamp]",
                "MMM dd yyyy HH:mm:ss",
                "MMM  d yyyy HH:mm:ss",
                "ISO8601"
            ]
            target => "@application_timestamp"
        }

    }

    mutate {
        uppercase => [ "log_level" ]
    }

}

Построчный разбор

Фильтрация

    if ([ruby_application_logs] == "true") {
Удаление цветных кодов
        mutate {
            id => "[Meaningful label for your project, not repeated in any other config files] remove ANSI color codes"
            gsub => ["message", "\x1B\[([0-9]{1,2}(;[0-9]{1,2})?)?[m|K]", ""]
        }
Разбор с помощью grok
        grok {
            match => [ "message" , "%{WORD:[application_data][ruby][log_level_short]}, \[%{TIMESTAMP_ISO8601:[application_data][ruby][timestamp]} \#%{NUMBER}\] %{WORD:log_level} -- %{GREEDYDATA:[application_data][ruby][log_message]}" ]
        }

Поле message разбирается на поля

  • [application_data][ruby][log_level_short] - короткое однобуквенное обозначение уровня лога (D - Debug, E - Error и т.д.)
  • [application_data][ruby][timestamp] - время
  • log_level - уровень лога, словом
  • [application_data][ruby][log_message] - само сообщение до колнца строки
Удаление ненужного поля
        mutate {
            remove_field => [ "message" ]
        }
Получение даты
        date {
            match => [
                "[application_data][ruby][timestamp]",
                "MMM dd yyyy HH:mm:ss",
                "MMM  d yyyy HH:mm:ss",
                "ISO8601"
            ]
            target => "@application_timestamp"
        }
Преобразование к заглавным буквам

нужно так как приложения могут писать уровень по-разному - 'Error', 'error', 'ERROR'

    mutate {
        uppercase => [ "log_level" ]
    }

TODO Замена 'Err' -> Error и т.п. если найдется

Output

Общая для всех логов часть

Общий получатель логов - Elasticsearch

output {
    elasticsearch {
        hosts => ["localhost:9200"]
        index => "application-logs-%{[host][name]}-%{+YYYY.MM.dd}"
        document_type => "nginx_logs"
    }
    ...
    пропущены отладочные получатели
    ...
}

Отладка

Для того что б удобно смотреть на результат работы фильтров и преобразований самый простой способ - писать логи в файл.

Для отладки для nginx access logs

#    if ([type] == "nginx_access_log_json") {
#        file {
#            flush_interval => 5
#                gzip => false
#                path => "/var/log/logstash/nginx-%{[host][name]}-%{+YYYY.MM.dd}.log"
#        }
#    }

Для отладки для nginx error logs

#    if ([type] == "nginx_error_log") {
#        file {
#            flush_interval => 5
#                gzip => false
#                path => "/var/log/logstash/nginx-errors-%{[host][name]}-%{+YYYY.MM.dd}.log"
#        }
#    }

Для отладки для ruby application logs

#
#    if ([ruby_application_logs] == "true") {
#        file {
#            flush_interval => 5
#                gzip => false
#                path => "/var/log/logstash/ruby-%{[host][name]}-%{+YYYY.MM.dd}.log"
#        }
#    }

Elasticsearch-Curator

Установка

wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo 'deb [arch=amd64] https://packages.elastic.co/curator/5/debian stable main' > /etc/apt/sources.list.d/curator.list
apt update
apt-cache policy elasticsearch-curator
elasticsearch-curator:
  Installed: (none)
  Candidate: 5.8.4
  Version table:
     5.8.4 500
        500 https://packages.elastic.co/curator/5/debian stable/main amd64 Packages
apt install elasticsearch-curator

Конфигурация

mkdir /etc/elasticsearch-curator

client.yaml

---
client:
  hosts:
    - 127.0.0.1
  port: 9200
  url_prefix:
  use_ssl: False
  certificate:
  client_cert:
  client_key:
  ssl_no_validate: False
  username:
  password:
  timeout: 30
  master_only: False

logging:
  loglevel: INFO
  logfile:
  logformat: default
  blacklist: ['elasticsearch', 'urllib3']

actions.yaml

actions:
  1:
    action: delete_indices
    description: >-
      Delete indices older than 30 days (based on index name), for network-
      prefixed indices. Ignore the error if the filter does not result in an
      actionable list of indices (ignore_empty_list) and exit cleanly.
    options:
      ignore_empty_list: True
      disable_action: False
    filters:
    - filtertype: pattern
      kind: prefix
      value: application-logs-
    - filtertype: age
      source: name
      direction: older
      timestring: '%Y.%m.%d'
      unit: days
      unit_count: 30

Тестирование

Для теста ставим unit_count: 1 и проверяем с опцией --dry-run

+ /usr/bin/curator --dry-run --config /etc/elasticsearch-curator/client.yaml /etc/elasticsearch-curator/actions.yaml
2021-08-11 12:42:52,788 INFO      Preparing Action ID: 1, "delete_indices"
2021-08-11 12:42:52,788 INFO      Creating client object and testing connection
2021-08-11 12:42:52,791 INFO      Instantiating client object
2021-08-11 12:42:52,791 INFO      Testing client connectivity
/opt/python/3.9.4/lib/python3.9/site-packages/elasticsearch/connection/base.py:200: ElasticsearchWarning: Elasticsearch built-in security features are not enabled. Without authentication, your cluster could be accessible to anyone. See https://www.elastic.co/guide/en/elasticsearch/reference/7.14/security-minimal-setup.html to enable security.
...
/opt/python/3.9.4/lib/python3.9/site-packages/elasticsearch/connection/base.py:200: ElasticsearchWarning: this request accesses system indices: [.apm-agent-configuration, .apm-custom-link, .async-search, .kibana_7.14.0_001, .kibana_task_manager_7.14.0_001, .tasks], but in a future major version, direct access to system indices will be prevented by default
2021-08-11 12:42:52,854 INFO      DRY-RUN MODE.  No changes will be made.
2021-08-11 12:42:52,854 INFO      (CLOSED) indices may be shown that may not be acted on by action "delete_indices".
2021-08-11 12:42:52,854 INFO      DRY-RUN: delete_indices: application-logs-env1-2021.08.09 with arguments: {}
2021-08-11 12:42:52,854 INFO      DRY-RUN: delete_indices: application-logs-env1-2021.08.10 with arguments: {}
2021-08-11 12:42:52,854 INFO      DRY-RUN: delete_indices: application-logs-elk.domain.tld-2021.08.09 with arguments: {}
2021-08-11 12:42:52,855 INFO      DRY-RUN: delete_indices: application-logs-elk.doamin.tld-2021.08.10 with arguments: {}
2021-08-11 12:42:52,855 INFO      Action ID: 1, "delete_indices" completed.
2021-08-11 12:42:52,855 INFO      Job completed.

Индексы для удаления найдены

Задание Cron

Надо передлать на systemd-timer но лень

/etc/cron.daily/curator

#!/bin/bash

/usr/bin/curator \
    --config \
        /etc/elasticsearch-curator/config.yaml \
        /etc/elasticsearch-curator/actions.yaml 2>&1 | logger  -t "elasticsearch_curator"

Kibana

Установка

Установка из того же репозитория что и Elasticsearch

sudo apt-get install kibana
systemctl start kibana
systemctl enable kibana

Конфиги

kibana

server.port: 5601
server.host: "127.0.0.1"
server.publicBaseUrl: "https://elk.domain .tld"
elasticsearch.hosts: ["http://localhost:9200"]
kibana.index: ".kibana"
i18n.locale: "en"

nginx

Дополнения

Docker Autodiscovery

Добавлено в конце - для сбора логов докеа файлбит умеет автодискавери Filebeat Формат логов немного отличается

    if ([docker_autodiscovery] == "true") {
        mutate {
            id => "[Meaningful label for your project, not repeated in any other config files] remove ANSI color codes for Docker"
            gsub => ["message", "\x1B\[([0-9]{1,2}(;[0-9]{1,2})?)?[m|K]", ""]
        }

        grok {
            match => [ "message" , "%{TIMESTAMP_ISO8601:[application_data][ruby][timestamp]} %{NUMBER}%{GREEDYDATA:[application_data][ruby][log_message]}" ]
        }

        mutate {
            remove_field => [ "message" ]
        }

        date {
            match => [
                "[application_data][ruby][timestamp]",
                "MMM dd yyyy HH:mm:ss",
                "MMM  d yyyy HH:mm:ss",
                "ISO8601"
            ]
            target => "@application_timestamp"
        }
    }

Ссылки