Logstash:运用 memcache 过滤器进行大规模的数据丰富

于 2020-06-23 14:54:21 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: Elastic Logstash 文章标签: elasticsearch 大数据
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/UbuntuTouch/article/details/106915969
版权
Elastic 同时被 2 个专栏收录
1496 篇文章 903 订阅
订阅专栏
Logstash
119 篇文章 212 订阅
订阅专栏

在之前的文章 “Logstash translate 过滤器简介”,我详细地介绍了如何使用 translate 过滤器来丰富我们的数据。在文章 “运用 Elasticsearch 过滤器来丰富数据”,我也介绍了如何使用 Elasticsearch 过滤器来对数据进行丰富。 尽管 Elasticsearch和 translate过滤器适合较小的工作量,但我们可以通过提供一个可扩展的扩充层来改善此状况,该扩充层不会在单个 Logstash 节点上保持状态。

例如,使用 memcached filter 插件,我们可以对想要匹配的内容进行非常快速的无阻塞查找。例如恶意软件请求,威胁数据(已知的错误IP),甚至静态资源(用于主机查找的服务器IP)。对内存缓存的查找是简单的键/值查找。 memcache 的另一个好处是它不会在更新时阻止。由于我们的读取工作量非常大,因此我们不想在更新扩展密钥时阻止查找。由于内存缓存是易失性的,在重新启动后不会持久存在,因此在刷新数据时应考虑到这一点,并确保将此信息存储在持久性存储中,以便可以根据需要重新填充内存缓存。

利用内存缓存和内存缓存池,我们可以根据需要扩展和推送尽可能多的流量。通过适当的配置,单个内存缓存实例可以保守地每秒处理10万次查询。对于每个内存缓存的文档,他们的建议值是200k +,但通过适当的调整,我们看到的数字甚至更高。在池配置中,这将线性扩展。

新的 memcached filter plugin 支持以下内容:

  • 通过一致性哈希的Memcache池
  • 命名空间
  • Multi- Get/ Multi-Set

 

下面,我们将运用一个具体的例子来展示如何进行使用。

 

安装

我们首先来安装 memcached。我在 Ubuntu 20.04 的机器上进行。Memcached 软件包包含在Ubuntu默认仓库中,安装过程非常简单……只需运行以下命令即可将其连同支持工具一起安装……

sudo apt update
sudo apt install memcached libmemcached-tools

运行上述命令后,应已安装 Memcached 服务器并可以使用…要检查其状态,请运行以下命令:

sudo systemctl status memcached

如果没有错误的话,你将看到如下类似的输出:

$ sudo systemctl status memcached
[sudo] password for liuxg: 
● memcached.service - memcached daemon
     Loaded: loaded (/lib/systemd/system/memcached.service; enabled; vendor pre>
     Active: active (running) since Tue 2020-06-23 09:17:06 CST; 17min ago
       Docs: man:memcached(1)
   Main PID: 905 (memcached)
      Tasks: 10 (limit: 18985)
     Memory: 2.5M
     CGroup: /system.slice/memcached.service
             └─905 /usr/bin/memcached -m 64 -p 11211 -u memcache -l 127.0.0.1 ->

6月 23 09:17:06 liuxgu systemd[1]: Started memcached daemon.

这就是在 Ubuntu 上安装 Memcached 的方法...服务器应该正在运行并且应该响应请求...以下命令可用于停止,启动和启用Memcached:

sudo systemctl stop memcached.service
sudo systemctl start memcached.service
sudo systemctl enable memcached.service

配置 Memcached

现在已经安装了服务器,可以在/etc/memcached.conf中找到其配置文件。

文件中的默认设置对于大多数环境和应用程序来说已经足够了……但是,对于更高级的设置,请打开文件并进行更改以应用到您的环境中……

例如,Memcached侦听服务器的本地IP地址(127.0.0.1)…如果只希望它侦听其他IP,请编辑文件中的行,使其看起来类似于以下内容:

sudo vi /etc/memcached.conf

然后将本地服务器 IP 替换为您要使用的IP地址。你还可以更改其默认端口号…

# Default connection port is 11211
-p 11211

# Run the daemon as root. The start-memcached will default to running as root if no
# -u command is present in this config file
-u memcache
# Specify which IP address to listen on. The default is to listen on all IP addresses
# This parameter is one of the only security measures that memcached has, so make sure
# it's listening on a firewalled interface.
-l 127.0.0.1

保存文件并退出…然后重新启动 Memcached 服务以应用更改…

使用 Memcached

对 Memcached 还不是很熟的开发者来说,可以参阅链接 https://www.tutorialspoint.com/memcached/memcached_set_data.htm

Memcached set 命令用于将新值设置为新键或现有键。语法为:

set key flags exptime bytes [noreply] 
value

语法中的关键字如下所述-

  • key - 它是密钥的名称,通过它存储和从Memcached检索数据。
  • flags - 它是服务器与用户提供的数据一起存储的32位无符号整数,在检索到该项目时将与数据一起返回。
  • exptime - 它是到期时间,以秒为单位。 0表示没有延迟。 如果exptime超过30天,则Memcached会将其用作UNIX时间戳记过期。
  • bytes - 这是数据块中需要存储的字节数。 这是需要存储在 Memcached中 的数据的长度。
  • noreply(可选)-它是一个参数,它通知服务器不要发送任何答复。
  • value - 它是需要存储的数据。 使用上述选项执行命令后,需要在新行中传递数据。

在以下示例中,我们使用 1.1.1.1 作为键,并在其中设置值为 botip,有效时间为900秒。

$ telnet localhost 11211
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
set 1.1.1.1 0 900 5
botip
STORED
get 1.1.1.1
VALUE 1.1.1.1 0 5
botip
END

运行 Logstash

下面是一个完整的示例,包含 logstash 配置文件,输入和输出:

logstash_memcache.conf

input {
  stdin {
    codec => json
  }
}

filter {
  memcached {
     hosts => ["localhost:11211"]
     get => {
        "%{ip}" => "threat_src"
     }
  }
}

output {
  stdout {
     codec => rubydebug
  }
}

在上面我们使用 memcached filter 来丰富我们的数据。当数据和 memcahed 里的数据匹配后,把丰富的数据赋予给 threat_src 字段。运行起我们的 Logstash:

./bin/logstash -f logstash_memcache.conf

我们在 Logstash 的 console 中输入如下的 json:

{ "ip" : "1.1.1.1" }

我们可以看到如下的输出:

在上面,我们可以看出来 thread_srce 的值被赋予 botip。botip 的值是从 Memcached 里来的。

当我们输入如下的 json:

{ "ip" : "2.2.2.2" }

Logstash 的输出为:

由于没有匹配的 ip 为 2.2.2.2 在 Memcached 里,所以没有丰富的数据。

我们接下来按照上面的方法把 2.2.2.2 家进来。

在上面,我们加入了 2.2.2.2 对应的值为 liuxg 5个字母。那么我们再次输入:

{ "ip" : "2.2.2.2" }

这一次,我们看到丰富后的数据。

参考:

【1】https://websiteforstudents.com/install-memcached-with-apache-on-ubuntu-20-04-18-04/

【2】https://www.tutorialspoint.com/memcached/memcached_set_data.htm

【3】https://www.securitydistractions.com/2019/05/17/enriching-elasticsearch-with-threat-data-part-2-memcached-and-python/

Elastic 中国社区官方博客
关注
专栏目录
博客
Elasticsearch 开放推理 API 新增阿里云 AI 搜索支持
09-19 1372
我们很高兴地宣布,Elasticsearch 开放推理 API 新增了阿里云 AI 搜索的集成功能。此项工作使 Elastic 用户能够直接连接到阿里云 AI 平台。使用 Elasticsearch 向量数据库构建 RAG 应用程序的开发人员可以使用 semantic_text 存储和使用托管在阿里云 AI 搜索平台上的模型生成的密集和稀疏嵌入。此外,Elastic 用户现在可以集成访问重新排名模型,以增强语义重新排名和LLM 系列。
博客
Elastic 线下 Meetup 将于 2024 年 9 月 21 号在成都举办
08-29 1633
2024 Elastic Meetup 成都站活动,由 Elastic、腾讯、新智锦绣联合举办,现诚邀广大技术爱好者及开发者参加。
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 15万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster, n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
Observability:构建下一代托管接入服务
09-21 538
随着无服务器(serverless)的引入,向 Elastic Cloud 发送可观察性数据变得越来越容易。你可以在中创建一个可观察性无服务器项目,并将可观察性信号直接发送到 Elasticsearch 或通过我们一直称之为托管接收服务(类似于 Elastic APM 服务器的完全托管解决方案)发送。你不再需要担心 APM 服务器的大小和配置。相反,你可以将数据直接发送到托管接收服务,让我们的平台为你完成艰难的扩展工作。
博客
LangChain 和 Elasticsearch 加速构建 AI 检索代理
09-20 929
​Elastic 和 LangChain 很高兴地宣布发布新的 LangGraph 检索代理模板,旨在简化需要代理使用 Elasticsearch 进行代理检索的生成式人工智能 (GenAI) 代理应用程序的开发。此模板预先配置为使用 Elasticsearch,允许开发人员使用 LangChain 和 Elasticsearch 快速构建代理。要立即开始,请访问 github 上的项目:https://github.com/langchain-ai/retrieval-agent-template
博客
Elasticsearch:检索增强生成背后的重要思想
09-20 1211
星期天晚上 10 点,我九年级的女儿哭着冲进我的房间。她说她对代数一无所知,注定要失败。我进入超级妈妈模式,却发现我一点高中数学知识都不记得了。于是,我做了任何一位超级妈妈在 2024 年都会做的事情,前往 ChatGPT 寻求帮助。这些生成式 AI 聊天机器人太棒了。我很快就得到了关于如何解决她所有问题的详细解释。“但是妈妈,”她抱怨道,“我们不是这样做的!”如果我能让 ChatGPT 的答案与班级的特定做事方式保持一致就好了……
博客
Elasticsearch:一次生产集群 ES Watcher 失效的深度排查与分析 - 全过程剖析与解决方案
09-19 1259
Watcher是 Elasticsearch 提供的一项监控和告警服务,允许用户定义、管理警报规则,并持续跟踪网络和数据的变化。基于 Elasticsearch 的分布式架构,Watcher 可以对基础设施、索引数据、集群健康等多种指标进行实时监控和自动化告警。当预设条件被触发时,Watcher 会及时发送通知。这项功能特别适用于日志数据的监控、应用性能追踪,以及其他需要自动化响应的场景,帮助运维人员快速响应潜在问题,提升系统稳定性和可靠性。1)定时监控数据。
博客
Elastic 的 OpenTelemetry PHP 发行版简介
09-18 1162
宣布 OpenTelemetry PHP 的 Elastic 发行版的第一个 alpha 版本。在本篇博文中了解使用 OpenTelemetry 来检测 PHP 应用程序是多么简单。我们很高兴推出 OpenTelemetry PHP 的 Elastic Distribution 的第一个 alpha 版本。在这篇文章中,你将了解如何轻松安装和设置 PHP 应用程序的监控。
博客
Elasticsearch:Open Crawler 现已进入测试阶段
09-18 1704
今天,我们发布了 Open Crawler 0.2 版,该版本也已升级为测试版!Open Crawler 最初于作为技术预览版发布(0.1 版)。从那时起,我们一直在迭代产品并添加了几个新功能。要访问这些更改,你可以使用最新的 Docker 工件,或直接从 GitHub 存储库下载源代码。按照我们文档中的设置说明开始使用。
博客
Observability:日志管理的最佳实践 - 利用日志更快地解决问题
09-17 1092
在当今快速发展的软件开发环境中,高效的日志管理对于维护系统可靠性和性能至关重要。随着基础架构和应用程序组件的不断扩展和复杂化,运营和开发团队的职责也不断增加且越来越复杂。这篇博文概述了有效日志管理的最佳实践,以应对数据量不断增长、基础架构复杂以及快速解决问题的需求等挑战。
博客
Kibana:如何使用魔法公式创建具有影响力的可视化效果?(第 1 部分)
09-16 860
在上一篇博文《作为非设计师设计直观的 Kibana 仪表板》中,我们强调了创建直观仪表板的重要性。它展示了简单的更改(分组主题、更改类型图表等)如何对理解数据产生影响。在提供Kibana 数据分析或课程等课程时,我们强调了这篇博文以及这些更改如何帮助将重要信息带到表面。我喜欢一种互补的方法来实现这一目标:使用两种颜色将最高数据值与常见数据值区分开来。为了说明这个想法,我们将使用示例航班数据数据集。现在,让我们比较两个可视化,按航班总数排名前 10 个目的地国家。哪个可视化的影响更大?
博客
Observability:OpenTelemetry Java Agent Elastic 分布正式发布
09-15 1334
Elastic 宣布 OpenTelemetry (OTel) Java Agent 的 Elastic 发行版正式发布,这是一个与 OTel 完全兼容的代理,具有一组丰富实用的附加功能。随着 Elastic 继续致力于 OpenTelemetry (OTel),我们很高兴地宣布) 正式上市。
博客
了解 BSI IT Grundschutz:使用 GenAI 搜索你的(私人)PDF 宝藏的秘诀
09-14 1104
有没有想过如何让多年来收集的文档可以通过语义而不是关键字进行搜索?处理充满有价值信息的 PDF 可能具有挑战性,尤其是在分块和创建跨多种语言的可搜索数据时。这篇博文将指导你将文档集合转换为 AI 驱动的语义搜索系统。我们将探索 Elastic 如何为 RAG 提供端到端解决方案:提取 PDF、将其处理成块、向量化内容,并提供一个交互式游乐场来查询和与数据交互。探索如何让你的信息不仅更易于访问,而且真正具有对话性。你将能够测试如何轻松创建相关信息摘要,了解每个给出的答案的相关性分数,并最大限度地了解创建答
博客
用于安全研究的 Elastic Container Project
09-13 1283
​Elastic Stack 是一个模块化数据分析生态系统。虽然这允许工程灵活性,但建立开发实例进行测试可能很麻烦。建立 Elastic Stack 的最简单方法是使用 Elastic Cloud - 这是完全一站式的。但是,在某些情况下,Elastic Cloud 可能不适用于你的测试环境。为了帮助解决这个问题,本博客将为你提供必要的信息,以便快速轻松地建立本地、完全容器化、TLS 安全的 Elastic Stack,并启用 Fleet 和检测引擎。你将能够创建 Fleet 策略,在本地主机或 VM 上
博客
使用 Elastic 和 LM Studio 的 Herding Llama 3.1
09-13 1909
最新的 LM Studio 0.3 更新使 Elastic 的安全 AI Assistant 能够更轻松、更快速地与 LM Studio 托管模型一起运行。在这篇博客中,Elastic 和 LM Studio 团队将向你展示如何在几分钟内开始使用。如果你在同一网络上或在你的机器上本地工作,则不再需要设置代理。
博客
Elastic 线上 Meetup “Elastic 认证及 Watcher 使用分享” 将于 9 月 18 号举办
09-13 676
Elastic 线上 Meetup “Elastic 认证及 Watcher 使用分享” 将于 9 月 18 号举办
博客
Elasticsearch 开放 inference API 为 Hugging Face 添加了原生分块支持
09-13 1344
​借助 Elasticsearch 开放推理 API,你可以使用 Hugging Face 的推理端点(Inference Endpoints)在 Elasticsearch 之外执行推理。这样你就可以使用 Hugging Face 的可扩展基础架构,包括在 GPU 和 AI 加速器上执行推理的能力。使用 Hugging Face 生成的嵌入的能力是作为 Elasticsearch 8.11 中的第一个开放推理 API 集成引入的,从那时起,我们一直在努力工作,并使用更强大的功能对其进行了更新,让您可以事
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值