嵌入式开发交流网论坛

标题: 使用Kibana和Rsyslog监控Linux日志 [打印本页]
作者: 6101111992    时间: 2020-7-2 10:03
标题: 使用Kibana和Rsyslog监控Linux日志
[attach]46132[/attach]
如果你是一名系统管理员,或者是一名好奇的软件开发工程师,那么你很有可能在平常挖掘日志信息的时候找到一些很有价值的信息。
[attach]46133[/attach]
有时你或许想监控虚拟机的 SSH 指令。
有时你或许想查看下你的应用程序服务器在某一天某一个特定的时间出现了什么样的错误信息。
或者你为了想一探究竟到底是谁停了你的一个虚拟机的 systemd 服务。
如果你想从这几个地方了解的话,或许你来对地方了。在这篇文章当中,我们将会构建一个完整的日志监控流水线,使用 ELK 堆栈(ElasticSearch、Logstash、和 Kibana)和 Rsyslog 作为一个强力的系统日志服务器。
在开始动手之前,让我们先快速的考虑下技术因素,让我们讨论下为什么我们使用 Kibana 监控 Linux 日志。
监控 Linux日志是非常关键的,而且每一名 DevOps 工程师都需要知道怎样做。理由如下:
[attach]46134[/attach]2-你将会学习到什么这篇入门文章你将会学习到下面的一些知识:
[attach]46135[/attach]这篇入门文章的准备工作如下:没有其他可以说明的了,让我们开搞!3-日志监控系统架构是啥样 // a-Linux 日志的关键概念 // 在描述我们的日志监控系统架构的样貌细节之前,让我们再稍微回顾一下。回溯历史,Linux 日志始于 syslog。Syslog 是 1980 年开发的一个协议主要目的是标准化日志信息的格式,不仅适用于 Linux,对于任何日志交换系统同样适用。从这之后,syslog 服务器开发了出来,并带有 syslog 消息的处理功能。它们快速衍生出一些功能比如过滤,有内容路由能力,以及或许是这些服务器最关键的特性: 存储日志并对其进行轮换。Rsyslog 的开发保持了这些关键的功能: 拥有一个模块以及一个可定制化的方式来处理这些日志。模块化的方式可以以模块的形式处理日志信息以及定制化日志模板。在某种程度上,rsyslog 可以从许多不同的源接收日志,并且将它们转发到更多种类的目标位置。这也就是我们为什么在这篇文章中使用它的原因。
[attach]46136[/attach]现在我们知道了我们需要努力的方向了,让我们安装这些需要用到的工具吧。4-安装各种工具 // a-在 Ubuntu 上安装 Java // [attach]46137[/attach]在安装 ELK 堆栈之前,你需要在你的机器上安装 Java。运行下面的命令以进行安装:这篇文章中,该实例运行的是 OpenJDK version 11。openjdkversion "11.0.3" 2019-04-16OpenJDKRuntime Environment (build 11.0.3+7-Ubuntu-1ubuntu218.04.1)OpenJDK64-Bit Server VM (build 11.0.3+7-Ubuntu-1ubuntu218.04.1, mixed mode, sharing) // b-添加 Elastic 安装包到你的实例 // 这篇文章,我将会使用 Ubuntu,但也会为 Debian 提供详细信息。首先,添加 GPG key 到你的 APT 仓库。$ wget -qO -http://artifacts.elastic.co/GPG-KEY-elasticsearch| sudo apt-key add -然后,你可以添加 Elastic 源到你的 APT source list 文件中。$echo"deb http://artifacts.elastic.co/packages/7.x/apt stable main"| sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list$ cat /etc/apt/sources.list.d/elastic-7.x.listdeb http://artifacts.elastic.co/packages/7.x/apt stable main $ sudo apt-get update到这里,你已经可以准备安装 ELK 堆栈下的所有工具了。让我们从 ElasticSearch 开始吧。ElasticSearch 是一款基于 Elastic 开发的搜索引擎,该搜索引擎会以索引的方式存储数据以便快速检索。通过下面的命令安装它:该命令会自动执行如下操作:
一开始,服务是 inactive 的,运行它并且确保所有运行正常。$ sudo systemctl start elasticsearch● elasticsearch.service - ElasticsearchLoaded: loaded (/usr/lib/systemd/system/elasticsearch.service; disabled; vendor preset: enabled)Active: active (running) since Mon 2019-07-08 18:19:45 UTC; 2 days agoDocs: http://www.elastic.co为了验证 ElasticSearch 是实际运行的,你可以运行下面两个命令中的任何一个进行验证:$ sudo lsof -i -P -n |grepLISTEN |grep9200java10667elasticsearch212u IPv611592088900t0TCP [::1]:9200(LISTEN)java10667elasticsearch213u IPv611592088910t0TCP127.0.0.1:9200(LISTEN)$curl -XGET'http://localhost:9200/_all/_search?q=*&pretty' // d-安装 Logstash // 如果你之前添加了 Elastic 安装源了,安装 Logstash 就只需要执行下面的命令就可以了:$sudo apt-get install logstash同样,Logstash 服务将会被创建出来,你需要启动它。$sudo systemctl status logstash$sudo systemctl start logstash默认情况下,Logstash 在 9600 端口上监听所有的指标项。如我们之前所做的那样,列出你的机器上所有开放的端口然后查看其中的指定端口。$ sudo lsof -i -P -n |grepLISTEN |grep9600java28872logstash79u IPv611600989410t0TCP127.0.0.1:9600(LISTEN)提醒下,Kibana 是为 ElasticSearch 量身定制的可视化工具被用来监控我们最终的日志信息。没有惊喜,下面是安装 Kibana 的命令:依旧需要启动服务验证是否正确运行。$ sudo systemctl start kibana$ sudo lsof -i -P -n| grep LISTEN |grep5601node7253kibana18u IPv411594518440t0TCP *:5601(LISTEN)Kibana Web UI 在 5601 端口可访问。在你的浏览器中访问 http://localhost:5601 你应该会看到下面屏幕所示的界面。[attach]46138[/attach]现在我们已经准备好从 rsyslog 接收日志然后将它们在 Kibana 上展示出来了。5-转发 Linux 日志至 ElasticSearch提醒下,我们将日志从 rsyslog 转发至 Logstash,然后这些日志将会被自动的发送到 ElasticSearch。 // a-从 Logstash 转发到 ElasticSerach // [attach]46139[/attach]在日志从 rsyslog 转发到 Logstash 之前,设置 Logstash 与 ElasticSearch 之间的日志转发是非常重要的。为此,我们将会创建一个 Logstash 的配置文件告诉它做哪些事情。转到 /etc/logstash/conf.d 目录创建一个 logstash.conf 的文件。文件内容是这样的:input { udp { host =>"127.0.0.1"port => 10514 codec =>"json"type =>"rsyslog"}} # The Filter pipeline stays empty here, no formatting is done. filter { } # Every single log will be forwarded to ElasticSearch. If you are using another port, you should specify it here.output { if [type] == "rsyslog" { elasticsearch { hosts => [ "127.0.0.1:9200" ] } }}注: 这篇文章中,我们为 Logstash 使用 UDP 输入,但是如果你想寻找一个更可靠的传输日志的方式,你或许会使用 TCP 输入。格式基本上是一样的,只是将 UDP 那一行改为 TCP。重启 Logstash 服务。$sudo systemctl restart logstash太棒啦!Logstash 现在在 10504 端口上监听了。 // b-从 rsyslog 转发到Logstash // [attach]46140[/attach]同之前内容描述的那样,rsyslog 有许多不同的模块允许将接收到的日志传到各种各样的目标位置。Rsyslog 有使用模板转换日志的能力。这就是我们寻找的东西,因为 ElasticSearch 希望以 JSON 作为输入而不是 syslog RFC 5424 字符串。为了让 rsyslog 转发日志,找到 /etc/rsyslog.d 目录创建一个名为 70-output.conf 的新文件。文件中写如下内容:# This line sends all lines to defined IP address at port 10514# using the json-template format. *.* @127.0.0.1:10514;json-template现在你有了日志转发功能了,在同级目录下创建一个 01-json-template.conf 的文件,然后粘贴下面的内容到文件中:template(name="json-template"type="list") { constant(value="{") constant(value="\"@timestamp\":\"") property(name="timereported" dateFormat="rfc3339") constant(value="\",\"@version\":\"1") constant(value="\",\"message\":\"") property(name="msg" format="json") constant(value="\",\"sysloghost\":\"") property(name="hostname") constant(value="\",\"severity\":\"") property(name="syslogseverity-text") constant(value="\",\"facility\":\"") property(name="syslogfacility-text") constant(value="\",\"programname\":\"") property(name="programname") constant(value="\",\"procid\":\"") property(name="procid") constant(value="\"}\n")}你或许猜到了,对于每一个输入的信息,rsyslog 会将日志参数插入到 JSON 格式的消息中,然后转发到在 10514 端口上监听的 Logstash。重启 rsyslog 服务,然后验证日志可以正确的转发到 ElasticSearch。注: 日志将会被转发到一个名为 logstash-* 的索引中。$ sudo systemctl restart rsyslog $ curl -XGET'http://localhost:9200/logstash-*/_search?q=*&pretty'{"took":2,"timed_out":false,"_shards": {"total":1,"successful":1,"skipped":0,"failed":0},"hits": {"total": {"value":10000,"relation":"gte"},"max_score":1,"hits": [ {"_index":"logstash-2019.07.08-000001","_type":"_doc","_id":"GEBK1WsBQwXNQFYwP8D_","_score":1,"_source": {"host":"127.0.0.1","severity":"info","programname":"memory_usage","facility":"user","@timestamp":"2019-07-09T05:52:21.402Z","sysloghost":"schkn-ubuntu","message":" Dload Upload Total Spent Left Speed","@version":"1","procid":"16780","type":"rsyslog"} } ] } }
太棒了!现在我们将 rsyslog 的日志存储到了 ElasticSearch 中了。
是时候在 Kibana 上构建我们最终的仪表盘了。6-在 Kibana 构建一个日志仪表盘
这是所有乐趣开始的地方。
我们将会构建第一部分展示的仪表盘然后让收集的数据变得有意义。类似于我们的这篇文章 Linux 进程监控,这部分根据最终仪表盘中面板的不同分成了不同的部分,所以对哪部分感兴趣就浏览哪一部分吧。访问 Kibana(http://localhost:5601),你会看到下面的界面。[attach]46141[/attach]如果这是你第一次使用 Kibana,这里有一点让我花了一段时间明白的小陷阱想要跟你说一下。为了创建一个仪表盘,你需要创建可视化面板。Kibana 有两个面板,一个叫 “Visualize” 另一个叫 “Dashboard”。[attach]46142[/attach]为了创建仪表盘,你首先将会使用 Visualize 面板创建每一个独立的可视化面板并且保存它们。创建完成后,你需要一个一个地导入到你最终的仪表盘中。转到 “Visualize” 面板,让我们开始做第一个面板。 // b-为进程绘制汇总的条形图 // 为了创建第一个仪表盘,点击 Kibana 右上角的 “Create new visualization”。选择一个垂直方向的柱状图面板。[attach]46143[/attach]构建的面板最终的效果是这样的:[attach]46144[/attach]你可以看到,柱状图以一种汇总的方式提供了进程的日志总数。如果你在多台主机上工作,该柱状图同样可以显示不同主机的日志数。[attach]46145[/attach]没有其他说明的了,这是这个面板的配置过程清单。[attach]46146[/attach] // c-按程序名称显示的饼形图 // 跟之前做的事情很相似,目标是构建一个饼形图按照程序名显示日志的比重。[attach]46147[/attach]这是这个面板的配置过程清单![attach]46148[/attach] // d-按严重程度显示的饼形图 // 这个面板看起来很像之前创建的,除了它是按日志严重等级显示的。当你的系统发生了一个特别严重的故障时这个面板会非常有用,并且你希望看到故障发生时面板显示错误数量也会快速增加。它同样提供了一个简单的方法能让你看到一段时间内日志严重程度的概要,例如你想看看夜间或者特定日期记录的严重等级。[attach]46149[/attach]同样你可能在等这个,这是这个面板的配置过程清单![attach]46150[/attach] // e-监控 SSH 条目 // 这部分有一点特殊,你需要到 “Discover” 标签栏去构建这个面板。当进入到这个探索标签栏时,“logstash-*” 默认被自动选中的。在过滤栏位,输入如下的过滤条件 “programname: ssh*”。正如你所看到的那样,你有了直接访问在你机器上与 SSHd 服务有关的每一个日志的权限。你可以追踪例如非法访问或者错误登录的记录。[attach]46151[/attach]为了能够访问到该仪表盘的面板,点击 “Save” 选项,然后为你的面板起一个名字。在仪表盘面板处,你可以点击 “Add”,然后选择刚才创建的面板。
干得漂亮!现在你的面板已经从 discover 面板添加到仪表盘中了。
[attach]46152[/attach]7-总结这篇文章中,你已经很好的理解了怎样轻松的使用 Rsyslog 和 ELK 堆栈监控整个的日志基础设施了。如该文中所展示的架构那样,你可以通过转发日志到你的中心服务器这种方式为你的日志监控架构扩大为一个完整的集群。为了能够在日志数量增长较多的情况下扩容主节点(例如使用 Kubernetes)一种建议是为你的 rsyslog 与 ELK 堆栈使用 Docker 镜像。同样重要的一点是如果你想未来修改监控日志的方式,这个架构是一个理想的选择。你可以继续依赖 rsyslog 集中日志,但是你也可以换成网关(这个例子中的 Logstash),或者是可视化工具。重要的一点是使用例如 Grafana 这样的工具监控 ElasticSearch 日志也是很容易的。
通过这篇文章,你会着手使用这个架构应用到你的基础设施中吗?
你会觉得其他的面板跟你在系统中调试故障时息息相关吗?
如果你有其他的想法,请在下方留言,这样可以帮助到其他的工程师。在那之前,开心如常。



欢迎光临 嵌入式开发交流网论坛 (http://www.dianzixuexi.com/bbs/) Powered by Discuz! X3.2