elk处理基础数据_使用ELK堆栈和Ruby构建数据处理管道

最新推荐文章于 2021-05-14 16:46:42 发布
最新推荐文章于 2021-05-14 16:46:42 发布
阅读量292 收藏
点赞数
文章标签: python java elasticsearch mysql linux
原文链接:https://opensource.com/article/18/5/building-data-pipeline-elk-stack-ruby
版权

elk处理基础数据

应用程序日志通常包含有价值的数据。 我们如何及时,经济地提取这些数据? 作为一个示例应用程序,我们将讨论一个多租户系统,在该系统中我们通过子域托管多个站点。 日志文件中的URL包含路径(/api, /search, etc)和参数(?foo=bar)

如果我们不想使用ELK ,则可以使用API​​构建不同的数据处理管道来接收消息,将消息放入队列中,然后由工作人员处理数据。 我在本博文中概述了这种方法,并将其与ELK进行了比较。

在我们的ELK解决方案中,我们将按客户和日期将数据划分为单独的Elasticsearch索引,并生成报告以显示访问了哪些URL路径。 在处理时间序列数据时,这是一种常见的模式。

为简单起见,我们将使用负载平衡器日志,该日志包含与Web服务器日志相同的信息,但它们是集中式的。 我们将配置我们的AWS负载平衡器,每隔五分钟将日志发布到S3存储桶。 从那里,Logstash将提取日志并将其处理到Elasticsearch中。

这是ELB日志文件中的示例行: 


   
   

    
    

     
     2018-05-10T18:26:13.276Z ELB_NAME 73.157.179.139:60708 10.0.1.42:80 0.000021
     
     

0.000303 0.000014 200 200 0 68 "GET https://site1.mysystem.com/api?foo=bar...
     
     

HTTP/1.1" "Mozilla/5.0 (Linux; Android 7.0; SM-T580 Build/NRD90M; wv)
     
     

AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/65.0.3325.109 Safari/537.36 [Pinterest/Android]"
     
     

ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2

Logstash配置

我们将从Logstash S3输入插件开始: 


   
   

    
    

     
     # /etc/logstash/conf.d/s3_elastic.conf
     
     

input {
     
     

  s3 {
     
     

    aws_credentials_file => "./aws_credentials_file.yml"
     
     

    bucket               => "my-elb-logs"
     
     

    prefix               => "subfolder/path/here/"
     
     

    sincedb_path         => "./data/plugins/inputs/s3/sincedb_s3_elastic"    
     
     

  }
     
     

}

Logstash使用sincedb文件来跟踪它在日志文件处理中的位置。 如果我们停止Logstash并在以后启动它,它将处理该停机期间累积的日志。

然后,我们配置Elasticsearch输出插件。 stdout可用于调试。 我们将在本文后面讨论[@metadata][index]


   
   

    
    

     
     # /etc/logstash/conf.d/s3_elastic.conf
     
     

output {
     
     

  stdout { codec => rubydebug { metadata => true } }
     
     

  elasticsearch {
     
     

    hosts     => [127.0.0.1]
     
     

    user      => "elastic"
     
     

    password  => "password-here"
     
     

    index     => "%{[@metadata][index]}"
     
     

  }
     
     

}

为了进行过滤,我们将从Grok开始,然后删除不必要的字段: 


   
   

    
    

     
     # /etc/logstash/conf.d/s3_elastic.conf
     
     

filter {
     
     

  grok  {    
     
     

     match        => { "message" => "%{ELB_ACCESS_LOG}"}
     
     

     remove_field => [ "elb", "backendip", "backendport", ...]
     
     

  }
     
     

}

Logstash为我们提供了可靠的Grok模式,可将每个日志文件行解析为一个Event对象。 现在我们的数据如下所示: 


   
   

    
    

     
     {
     
     

       "request" => "http://site1.mysystem.com/api?foo=bar",
     
     

          "path" => "/api",
     
     

    "@timestamp" => 2018-05-10T18:26:13.276Z,
     
     

      "response" => 200,
     
     

      "clientip" => "73.157.179.139",
     
     

        "params" => "?foo=bar",
     
     

        "message" => "...",
     
     

        ...
     
     

}

Ruby代码

我们需要实施业务逻辑来验证和转换我们的数据。 鉴于此用例的简单要求,我们可以不用Ruby来完成它,但是它为我们提供了更多的灵活性和控制力。 我们需要提取URL主机,它将用作索引名称的一部分。 我们还想从URL中获取foo参数。 我们可以从内联Ruby代码开始: 


   
   

    
    
 
     
     # /etc/logstash/conf.d/s3_elastic.conf 
     
     

filter 
     
     { 
     
     

  ruby 
     
     { 
     
     

    code 
     
     =>   
     
     "

              require 'uri'

              uri = URI(event.get('request'))

              event.set('host', uri.host)

              foo_value = CGI::parse(event.get('params'))['foo'].first

              event.set('foo', foo_value)              

              " 
     
     

  
     
     }

现在,我们的Event对象包含单独的hostfoo字段: 


   
   

    
    

     
     {
     
     

       "request" => "http://site1.mysystem.com/api?foo=bar",
     
     

          "path" => "/api",
     
     

          ...
     
     

          "host" => "site1.mysystem.com",
     
     

           "foo" => "bar",
     
     

}

将代码放置在配置文件中不是可扩展的方法,并且将很难测试。 幸运的是,最新版本的Ruby过滤器插件支持从.conf文件中引用单独的Ruby脚本,并且我们可以使用自动化测试来测试代码。 我们通过指定Ruby脚本的路径来修改.conf文件: 


   
   

    
    
 
     
     # /etc/logstash/conf.d/s3_elastic.conf file 
     
     

filter 
     
     { 
     
     

  ruby 
     
     { 
     
     

    path 
     
     => 
     
     "/etc/logstash/ruby/s3_elastic.rb" 
     
     

    
     
     # script_params => {  } 
     
     

  
     
     } 
     
     


     
     }

一个区别是,现在Ruby必须从外部脚本文件返回Event对象的数组。 


   
   

    
    
 
     
     # /etc/logstash/ruby/s3_elastic.rb 
     
     


     
     require 
     
     'uri' 
     
     


     
     # the value of `params` is the value of the hash passed to `script_params` 
     
     


     
     # in the logstash configuration 
     
     


     
     def register 
     
     ( params 
     
     ) 
     
     


     
     end 
     
     


     
     # the filter method receives an event and must return a list of events. 
     
     


     
     # Dropping an event means not including it in the return array, 
     
     


     
     # while creating new ones only requires you to add a new instance of 
     
     


     
     # LogStash::Event to the returned array 
     
     


     
     def filter 
     
     ( event 
     
     ) 
     
     

  uri = 
     
     URI 
     
     ( event. 
     
     get 
     
     ( 
     
     'request' 
     
     ) 
     
     ) 
     
     

  event. 
     
     set 
     
     ( 
     
     'host' , uri. 
     
     host 
     
     ) 
     
     

  foo_value = 
     
     CGI ::parse 
     
     ( event. 
     
     get 
     
     ( 
     
     'params' 
     
     ) 
     
     ) 
     
     [ 
     
     'foo' 
     
     ] . 
     
     first 
     
     

  event. 
     
     set 
     
     ( 
     
     'foo' , foo_value 
     
     ) 
     
     

  
     
     return 
     
     [ event 
     
     ] 
     
     


     
     end 
     
     

test 
     
     'valid test' 
     
     do 
     
     

  parameters 
     
     { 
     
     {  
     
     } 
     
     } 
     
     

  in_event 
     
     do 
     
     { 
     
     'request' 
     
     => 
     
     'http://site1.mysystem.com/api?foo=bar' 
     
     } 
     
     end 
     
     

  expect 
     
     ( 
     
     'params' 
     
     ) 
     
     do 
     
     | events 
     
     | 
     
     

    events. 
     
     first . 
     
     get 
     
     ( 
     
     'host' 
     
     ) == 
     
     'site1.mysystem.com' 
     
     

    events. 
     
     first . 
     
     get 
     
     ( 
     
     'foo' 
     
     ) == 
     
     'bar' 
     
     

  
     
     end 
     
     


     
     end

我们可以通过指定-t标志来运行自动化测试,如下所示: logstash -f /etc/logstash/conf/s3_elastic.conf -t


   
   

    
    
 
     
     [ logstash. 
     
     filters . 
     
     ruby . 
     
     script 
     
     ] 
     
     Test run complete
     
     


     
     { :script_path 
     
     => 
     
     "/etc/logstash/ruby/s3_elastic.rb" ,
     
     

  
     
     :results 
     
     => 
     
     { :passed 
     
     => 
     
     1 , 
     
     :failed 
     
     => 
     
     0 , 
     
     :errored 
     
     => 
     
     0 
     
     } 
     
     } 
     
     

Configuration OK
     
     


     
     [ logstash. 
     
     runner 
     
     ] Using config. 
     
     test_and_exit mode. 
     
     Config Validation Result: OK.
     
     


     
     Exiting Logstash

我们无法确定当前日期,因此需要确定在索引名称中使用哪个日期。 为此,我们将使用timestamp字段( 2018-05-10T18:26:13.276Z )。 我们还可以将用于确定索引的业务逻辑提取到单独的方法中。 万一有错误,我们将默认为今天的日期: 


   
   

    
    
 
     
     # /etc/logstash/ruby/s3_elastic.rb 
     
     


     
     def filter 
     
     ( event 
     
     ) 
     
     

  ...
     
     

  
     
     event . 
     
     set 
     
     ( 
     
     "[@metadata][index]" , get_index 
     
     ( event 
     
     ) 
     
     ) 
     
     

  
     
     return 
     
     [ event 
     
     ] 
     
     


     
     end 
     
     


     
     def get_index event
     
     

  host = event. 
     
     get 
     
     ( 
     
     'host' 
     
     ) 
     
     

  date = event. 
     
     get 
     
     ( 
     
     'timestamp' 
     
     ) . 
     
     split 
     
     ( 
     
     'T' 
     
     ) . 
     
     first 
     
     

  
     
     "#{host}-#{date}" 
     
     


     
     rescue 
     
     

  
     
     "#{host}-#{Time.now.strftime(" 
     
     % Y. 
     
     % m. 
     
     % d 
     
     ")}" 
     
     


     
     end 
     
     

...

我们正在使用event.set创建[@metadata][index]字段。 它不会与文档一起保存,但可以在我们的.conf文件中用于指定索引。 这种方法使我们能够在同一Ruby方法中保持将主机和日期结合在一起的逻辑。

集合体

现在,我们可以使用Kibana(甚至curl )来运行聚合。 我们可以查询所有索引,以了解访问了哪些URL路径以及访问频率。 


   
   

    
    

     
     POST /*/_search?size=0
     
     

{
     
     

  "aggs" : {
     
     

    "path_count" : {
     
     

      "terms" : {
     
     

        "field" : "path.keyword"
     
     

      }
     
     

    }
     
     

  }
     
     

}

数据将像这样返回: 


   
   

    
    

     
     {
     
     

  "took": 709,
     
     

  "timed_out": false,
     
     

  "_shards": {
     
     

    ...
     
     

  },
     
     

  "hits": {
     
     

    ...
     
     

  },
     
     

  "aggregations": {
     
     

    "path_count": {
     
     

      ...
     
     

      "buckets": [
     
     

        {
     
     

          "key": "/api",
     
     

          "doc_count": 913281
     
     

        },
     
     

        {
     
     

          "key": "/search",
     
     

          "doc_count": 742813
     
     

        },
     
     

        ...
     
     

      ]
     
     

    }
     
     

  }
     
     

}

如果要查询特定客户或日期的数据,则需要在POST /*2018.05.10/_search?size=0其指定为索引模式。 Kibana还允许我们基于这些聚合来构建可视化和仪表板。

链接

翻译自: https://opensource.com/article/18/5/building-data-pipeline-elk-stack-ruby

elk处理基础数据

cuml0912
关注
ELK详解(各个插件详解,未完待续)
qq_34646817的博客
07-27 3944
一、背景说明 二、概念解析 三、Elasticsearch 1.基本概念 2.查询语句入门 (1)search搜索语句入门之URL搜索 (2)简单的curl 语句对索引的操作 (3)DSL语句进行查询搜索 三、Logstash 1.基本概念 2.Logstash插件介绍 一、背景说明 之前讲了下ELK的安装,但是对各个组件的理解,使用都是一知半解。 这...
elkstack:Elasticsearch,Logstash和Kibana堆栈
04-13
麋鹿 Elasticsearch,Logstash和... 在任何节点上的端口80上分派到Kibana的HTTP流量也将使用本地elasticsearch HTTP接口来获取和处理数据。 请阅读各个配方摘要,以了解每个配方的作用以及每个包装器配方实际包装的内
elk 之logstach管道用法
java技术博客
09-26 263
1:../bin/logstash -e 'input{stdin{}} output {stdout{}}' -t 主要是输入和过滤及输出流程 2:通过定义conf文件来执行: input { stdin { } } filter { grok { match => { "message" => "%{WORD:request}\?client=%{WORD:client}&areaCode=%{NUMBER:...
【云上ELK系列】Logstash迁移Elasticsearch数据方法解读
weixin_34358092的博客
12-08 427
Elasticsearch数据搬迁是工程师们经常会做的,有时是为了集群迁移、有时是为了数据备份、有时是为了升级等等,迁移的方式也有很多种,比如说通过elasticsearch-dump、通过snapshot、甚至是通过reindex的方式来做。今天为大家介绍另一种方案:用Logstash实现Elasticsearch集群快速迁移 我们希望通过logst...
Logstash:使用 Ruby 过滤器
Elastic 中国社区官方博客
08-12 8419
Logstash 具有丰富的过滤器集,你甚至可以编写自己的过滤器,但是由于没有现成的过滤器,你可以直接将 Ruby 代码 入配置文件中,因此通常不必创建自己的过滤器。 使用 logstash-filter-ruby,你可以使用Ruby字符串操作的所有功能来解析奇异的正则表达式,不完整的日期格式,写入文件,甚至进行 Web 服务调用。 Logstash 安装 如果你从来没有安装过自己的 Logstash,你可以参考我之前的文章 “如何安装 Elastic 栈中的 Logstash” 来进行安装。 .
日志可视化之ELKF--logstash
implements的专栏
07-16 398
上篇介绍了通过filebeat将日志直接写入到elasticsearch中去。但大多时候我们需要对日志的不同字段拆分后写入elasticsearch中,方便查询和统计,这就需要用到logstash了。 安装logstash(centos) 这里介绍通过yum方式安装: 执行 sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch 在/etc/yum.repos.d/目录下添加logstash.repo文件,内容如下:.
00_ELK阅读笔记1
08-08
通过以上知识点,我们可以构建起一个完整的 Logstash 日志处理流程,从收集日志到输出结果,同时利用各种插件和配置选项进行定制化处理,满足不同场景的日志分析需求。理解并熟练掌握这些知识点对于管理和优化 ...
springboot - 2.7.3版本 - (八)ELK整合Kafka
09-30
3. **日志集中管理**:ELK堆栈允许在一个中心位置管理多个Spring Boot应用的日志,便于监控和排查问题。 4. **复杂日志过滤**:利用Logstash的过滤器,可以对日志进行复杂的匹配和转换,提取关键信息。 5. **可视化...
rails-elk-stack:在Docker上的Ruby on Rails应用程序中添加Elasticsearch,Logstash和Kibana的指南
05-14
带有ELK堆栈Ruby on Rails示例应用程序 这只是将现有Rails应用程序连接到Docker上的ELK堆栈Elasticsearch,Logstash,Kibana)的指南。 **注意:在此存储库中仅是需要创建或更改的基本文件。 复制并粘贴到您的...
logstash-jdbc-input 同步数据到es的多任务配置
04-14
ELKElasticsearch、Logstash、Kibana)堆栈中,Logstash起到了数据处理和传输的桥梁作用。在“logstash-jdbc-input同步数据到es的多任务配置”场景中,我们通常会设置多个任务,每个任务负责从不同的数据库表...
Logstash ruby 插件 demo
04-05
Logstash ruby 插件 demo
Elasticsearch数据迁移
ysl1242157902的专栏
11-03 4899
应用场景:  将旧的数据从一个Elasticsearch集群,迁移到应外一个Elasticsearch集群  将每天或者每月的索引库,合并成一个索引库1、安装插件安装命令:进入到lostash的目录: bin/logstash-plugin install logstash-input-elasticsearch如果安装不上,卡在验证,请尝试一下一下安装命令: bin/logstas
pytorch函数详解 附带测试demo
weixin_42713739的博客
09-16 709
“”" -------------------torch 函数详解---------------------------- “”" import numpy as np import torch from torch.autograd import Variable from torch import nn import matplotlib.pyplot as plt “”“1.torch.is_tensor(x):如果obj 是一个pytorch张量,则返回True”"" x = torch.Tenso
ELKstack简介及其基本配置
职场里拉开差距的不是知识,而是认知!
10-20 2172
操作系统,应用服务和业务逻辑,都在不停的产生日志数据。过去,日志数据基本都存在单机磁盘上,只能用来做临时的事后分析和审计;有 Hadoop 以后,大家渐渐习惯收集日志到 HDFS 中,然后每天运行 MapReduce 任务做统计报表;但是面对诸如“新上线的版本过去几分钟在各地反馈如何”,“昨天 23:40 左右这个投诉用户有没有异常”这种即时的开放性问题,传统的日志处理方案显得非常的笨拙和低效,因
es(elasticsearch)5.4下params参数的使用
Edocevol
06-08 6256
参考《ES权威指南》时,用到类似于下面的参数进行修改文档的属性时,遇到了问题。报错信息:Variable [new_tag] is not defined.
Logstash filter 使用ruby 进行event事件进行白名单过滤-良心经验分享
拉丁解牛技术专栏
11-13 7419
      网上关于logstash的filter,使用ruby的资料特别少。今天用了一下,看了点ruby语法,踩了点坑。       需求就是做一个白名单,进行过滤logstash的event。因为白名单挺长的,所以,直接写在if 或者写到not in,或者是用prune都不友好。唯独使用强大的ruby了,但是自己也没用学过ruby。第一天初次使用,踩了几个坑。       首先,在logs...
elk 的一些实践
gqdw
07-30 5907
elk 的一些实践
【logstash】logstash使用自定义ruby脚本新增字段
shen12138的博客
05-14 1902
实现步骤: 添加ruby插件,捕获system字段值,赋值给app_type 如果app_type捕获为null,则手动赋值为空字符串,这里注意,null和空字符串不一样。如果不添加判断,logstash每次进入一个为null就会报错,可能会影响处理速率 使用length方法判断长度,字符串0和大于12的,手动赋值system 不满足12的补全到12位字符串,然后转换为objectid 脚本如下: #!/usr/local/logstash-7.9.3/bin/ruby def filter(even
五分钟带你玩转Elasticsearch(十五)logstash中@timestamp时区早8个小时解决方案
小鲍侃java
01-18 895
修改/logstash/bin中的配置文件 在filter中添加 ruby { code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)" } ruby { code => "event.set('@timestamp',event.get('timestamp'))" } mutate { re
ELK构建安全数据分析平台:李康的威胁情报分析
资源摘要信息:"本文档是关于如何使用ELK堆栈Elasticsearch、Logstash、Kibana)构建一个安全数据分析平台的详细指南,由作者李康撰写,并特别关注威胁情报的应用。文档深入探讨了安全热点、安全防护、无线安全和大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值