如何在半小时搭建一个简单的日志分析平台?
- - 文章 – 伯乐在线人们常常说数据如金,可是,能被利用起的数据,才是“金”. 而互联网的数据,常常以日志的媒介的形式存在,并需要从中提取其中的”数据”. 从这些数据中,我们可以做用户画像(每个用户都点了什么广告,对哪些开源技术感兴趣),安全审计,安全防护(如果1小时内登录请求数到达一定值就报警),业务数据统计(如开源中国每天的博客数是多少,可视化编辑格式和markdown格式各占比例是多少)等等.
如何在半小时搭建一个简单的日志分析平台?
标签:
IT技术
日志
架构
| 发表时间:2016-09-28 11:43 | 作者:(●'◡'●)
出处:http://blog.jobbole.com
人们常常说数据如金,可是,能被利用起的数据,才是“金”。而互联网的数据,常常以日志的媒介的形式存在,并需要从中提取其中的”数据”。
从这些数据中,我们可以做用户画像(每个用户都点了什么广告,对哪些开源技术感兴趣),安全审计,安全防护(如果1小时内登录请求数到达一定值就报警),业务数据统计(如开源中国每天的博客数是多少,可视化编辑格式和markdown格式各占比例是多少)等等。
之所以能做这些,是因为用户的所有的行为,都将被记录在nginx日志中或其它web服务器的日志中。日志分析要做的就是将这些日志进行结构化,方便我们的业务人员快速查询。日志分析平台要做的就是这些。
说完这些,你是不是觉得日志分析平台很难做,需要十人的团队加班几个月才能完成?
自从有了Elasticsearch、Logstash、Kibana,俗称ELK,小公司也可以很轻松地做日志分析了。说白了,1天几G的日志,ELK完全可以吃得消。就像标题说的,只需要1个人半小时就可以搭建好了。前提是你已经熟悉了Ansible。下文也假设你已经熟悉Anbile,如果不熟悉可以看看我的另一篇文章: Puppet,Chef,Ansible的共性
本文目的就是教你如何在搭建一个日志分析平台的雏形。有了这个雏形,你可以慢慢迭代出更强大,更适合你业务的日志分析平台。同时,提供可执行的源代码: OSC-AdCenter
简单日志分析架构图
我做了简化,架构图中的每个组件都可以分别放到不同的机器。这里简单介绍下这些你组件:
- your app:你的应用,我们的源码中,把这个给省略了
- Openresty:基于Nginx的Web开发平台,你可以想像它基于Nginx做了很多扩展,类似淘宝的Tengine。为什么我们不直接使用Nginx呢?因为在Openresty上,我们可以做更多事情。
- Logstash:日志收集,结构化数据后,push到Elasticsearch中,基于JRuby。可使用其它日志收集工具替代,比如 Beats
- Elasticsearch:分布式搜索引擎,基于Lucene
- Kibana:用于可视化数据,基于NodeJs
日志分析平台开发所需要工具
- Ansible 2.0+:简单的自动化配置工具,运维工具。 关于自动化配置还有什么好说的呢?
- Vagrant:操作系统虚拟化工具,开发时使用。如果没有听过,Docker总听过吧。这家伙就和Docker完全类似的功能,也早于Docker出现。
- 一个简单的支持yml格式高亮的文本编辑器,比如Atom
- 自行下载JDK8: jdk-8u66-linux-x64.tar.gz放到项目路径:
provision/roles/jdk8/files/jdk-8u66-linux-x64.tar.gzP.S. 抱歉这个的确需要你自己下。 - 什么?不用写代码吗?的确不用需要写。如果你要扩展这个雏形就会需要写一些脚本。
启动一台服务器
因为我们需要在本地开发好以后,再部署到生产环境,所以,我们需要一台服务器用来做实验。用Vagrant可以在你的开发机上虚拟化一台。clone 下 OSC-AdCenter后,进入项目目录执行: Vagrant up
文件Vagrantfile有描述这台机器的配置:
Vagrant.configure(2) do |config|
ANSIBLE_RAW_SSH_ARGS = []
machine_box = "trusty-server-cloudimg-amd64-vagrant-disk1"
machine_box_url = "https://cloud-images.ubuntu.com/vagrant/trusty/current/trusty-server-cloudimg-amd64-vagrant-disk1.box"
config.vm.define "oscadcenter" do |machine|
machine.vm.box = machine_box
machine.vm.box_url = machine_box_url
machine.vm.hostname = "oscadcenter"
machine.vm.network "private_network", ip: "192.168.4.10" ##指定这台机器的IP,只能宿主机能访问
machine.vm.provider "virtualbox" do |node|
node.name = "oscadcenter"
node.memory = 4048
node.cpus = 2
end
end
end 更多关于Vagrantfile: https://www.vagrantup.com/docs/vagrantfile/
Vagrant机器的默认账号密码都是: vagrant,所以你可以使用 ssh [email protected]登录这台机器。也可以使用vagrant命令登录,在Vagrantfile所在目录下执行: vagrant ssh oscadcenter。
部署日志分析平台
在你的开发机上,安装好ansible:
服务器准备好了,我们只需要一条命令就可以部署OSC-AdCenter了:
ansible-playbook ./provision/playbook.yml -i ./provision/inventory -u vagrant -k
然后输入ssh登录密码: vagrant。
简单说明:
- ansible-playbook是ansible的一个命令
- ./provision/playbook.yml是描述你的服务器配置的文本,你可以想像成所有的部署脚本都写在这个文件中
- ./provision/inventory是服务器在playbook在的host与ip的映射表,比如playbook中这么写:
--- - hosts: adcenter
那么,inventory文件就是这样的:
[adcenter] 192.168.4.10
具体请看文档: http://docs.ansible.com/ansible/intro_inventory.html
-
-u vagrant -k表示使用vagrant账号ssh登录目标机器
部署的这个过程,要看你的网速和elastic源的提供速度,可能会很漫长。 参考时长为半小时。建议执行部署后,做些别的事情,比如午休。
测试部署是否成功
- 打开Elasticsearch http://192.168.4.10:9200/_plugin/head/ 可看到界面:
- 打开Kibana http://192.168.4.10:5601 可看到界面:
-
- 打开各种浏览器,输入url: http://192.168.4.10/1.gif?account=oschina&e=pv&p=p233444&url=www.oschina.net&title=学习&sh=1200&sw=800&cd=400&lang=en,然后可在Elasticsearch中和kibana中看到相应的数据
我使用Chrome访问了两次url,再使用Safari访问了一次。就这样,Elasticsearch中出现了3条数据,而Kibana中我们可统计出,过去4小时中,Chrome占了2/3,而Safari占 1/3。
部署过程都执行了什么?
从部署脚本的入口 ./provision/playbook.yml看:
- hosts: analysis
sudo: yes
vars_files:
- ./vars/base-env.yml
- ./vars/analysis-logstash.yml
roles:
- common # 执行一些基础工作
- openresty # 安装openresty
- {role: "analysis-openresty-conf", nginx_server_conf: "analysis.conf"} # 配置openresty
- jdk8 # 安装jdk8,并设置JAVA_HOME到 /etc/profile中
- ansible-role-elasticsearch #安装 es
- ansible-role-kibana-4 # 安装kibana4
- ansible-logstash # 安装logstash 这里的ELK的role都是从Ansible 的 Galaxy上download下来的。
然后呢?
- 学习Kibana的查询语法,根据业务需求来统计分析日志。
- 对当前的日志分析平台实施监控,哪天系统挂了,你都不知道。
- 与现在有的系统结合。
- 解决当单个Elasticsearch,特别庞大时的扩容问题
最后
好吧,如果你不会Ansible,你半小时可能搞不定。所以,我说的半小时,其实并不科学。但是这也恰恰说明了使用的自动化配置的好处。我一个运维外行,利用Ansible两三天就搭建好了一个简单日志分析平台。
而且如果你要在生产环境使用这套系统,你只需要在线上准备一台干净的ubuntu服务器,修改inventory文件的IP就可以了。
现实中的日志分析平台一定不会这么简单的,本次教程,只是抛砖引玉。
相关 [建一 日志 分析] 推荐:
GC 日志分析
- - 码蜂笔记不同的JVM及其选项会输出不同的日志. 生成下面日志使用的选项: -XX:+PrintGCTimeStamps -XX:+PrintGCDetails -Xloggc:d:/GClogs/tomcat6-gc.log. 最前面的数字 4.231 和 4.445 代表虚拟机启动以来的秒数.
apache日志分析简介
- - 编程语言 - ITeye博客如果apache的安装时采用默认的配置,那么在/logs目录下就会生成两个文件,分别是access_log和error_log. access_log为访问日志,记录所有对apache服务器进行请求的访问,它的位置和内容由CustomLog指令控制,LogFormat指令可以用来简化该日志的内容和格式.
goaccess分析nginx日志
- - C1G军火库GoAcces是一款实时日志分析工具. 目前,我们可以通过这款软件查看的统计信息有:. 静态web请求,如图片、样式表、脚本等. 支持超大日志(分析速度很快). GoAccess的基本语法如下:. -b – 开启流量统计,如果希望加快分析速度不建议使用该参数. -s – 开启HTTP响应代码统计. -a – 开启用户代理统计.
gc日志分析工具
- - Web前端 - ITeye博客性能测试排查定位问题,分析调优过程中,会遇到要分析gc日志,人肉分析gc日志有时比较困难,相关图形化或命令行工具可以有效地帮助辅助分析. 通过在tomcat启动脚本中添加相关参数生成gc日志. -verbose.gc开关可显示GC的操作内容. 打开它,可以显示最忙和最空闲收集行为发生的时间、收集前后的内存大小、收集需要的时间等.
IOS分析崩溃日志
- - SegmentFault 最新的文章 IOS分析定位崩溃问题有很多种方式,但是发布到AppStore的应用如果崩溃了,我们该怎么办呢. 通常我们都会在系统中接入统计系统,在系统崩溃的时候记录下崩溃日志,下次启动时将日志发送到服务端,比较好的第三方有umeng之类的. 今天我们来讲一下通过崩溃日志来分析定位我们的bug. 分析崩溃日志的前提是我们需要有 dYSM文件,这个文件是我们用archive打包时生成的 .xcarchive后缀的文件包.
Windows IIS日志文件分析程序
- bababubuliku - 月光博客 Windows Server具有事件日志记录的功能,其IIS日志文件里记录了包括下列信息:谁访问了您的站点,访问者查看了哪些内容等等. 通过定期检查这些日志文件,网站管理员可以检测到服务器或站点的哪些方面易受攻击或存在其他安全隐患. 不过,目前的日志分析工具并不是很完善,有些功能并不具备,特别是针对某个URL地址进行攻击的分析并不多,下面是一个VB Script程序,保存为VBS程序后可以在服务器上运行,用于分析和检测IIS日志里针对某个URL地址进行攻击的IP地址.
日志分析方法概述
- jin - 搜索研发部官方博客日志在计算机系统中是一个非常广泛的概念,任何程序都有可能输出日志:操作系统内核、各种应用服务器等等. 日志的内容、规模和用途也各不相同,很难一概而论. 本文讨论的日志处理方法中的日志,仅指Web日志. 其实并没有精确的定义,可能包括但不限于各种前端Web服务器——apache、lighttpd、tomcat等产生的用户访问日志,以及各种Web应用程序自己输出的日志.
postgresql 日志分析工具pgbadger
- - x-marker的博客 虽然有zabbix等工具监控着pg数据库,但还是有很多信息不能监控到,所以想通过定期分析pg的日志来掌握数据库的运行状态. pgbadger是一款开源的日志分析工具,采用perl编写,项目地址为: https://github.com/dalibo/pgbadger ,下面就使用简要记录下. 直接git clone或者下载zip包并上传到pg数据库服务器,然后解压:.
jstack Dump 日志文件分析
- - Web前端 - ITeye博客jstack Dump 日志文件中的线程状态. dump 文件里,值得关注的线程状态有:. Deadlock(重点关注) . 执行中,Runnable . Waiting on condition(重点关注) . Waiting on monitor entry(重点关注). 暂停,Suspended.