Logstash ابزاری قدرتمند برای متمرکز سازی و تحلیل log-ها به حساب می‌آید که کمک می‌کند دیدی کلی از محیط خود داشته باشیم و مشکلات سرورها را به سرعت تشخیص دهیم. یک روش برای افزایش کارآیی مجموعه ELK (اختصار Elasticsearch، Logstas و Kibana)، گردآوری log-های مهم اپلیکیشن و سازماندهی داده‌های log با به‌کارگیری فیلترها است. بدین ترتیب می‌توان داده‌ها را به سهولت مورد تحلیل قرار داده و روی آن‌ها کوئری اجرا کرد. ما فیلترهای خود را بر مبنای الگوهای Grok می‌سازیم که داده‌های موجود در log-ها را به صورت تکه‌های مفیدی از اطلاعات درمی‌آورد.

اگر می‌خواهید با مراحل نصب مجموعه ELK بیشتر آشنا شوید، می‌توانید از راهنمای «نصب مجموعه ELK روی سرور اوبونتو» استفاده کنید. در این مقاله به طور عمده روی شیوه استفاده از فیلترها روی log-های اپلیکیشن‌های رایج مختلف تمرکز کرده‌ایم.

پیش‌نیازها

برای مطالعه این راهنما باید یک سرور Logstash عملیاتی داشته باشید که داده‌های log را از یک ارسال‌کننده مانند Filebeat دریافت کند. اگر Logstash را برای دریافت log-ها راه‌اندازی نکرده‌اید، می‌توانید از راهنمایی که در بخش فوق معرفی کردیم به این منظور استفاده کنید.

فرضیات در مورد سرور ELK

  • Logstash در مسیر opt/Logstash/ نصب شده است.
  • فایل‌های پیکربندی Logstash در مسیر etc/logstash/conf.d قرار دارند.
  • یک فایل ورودی به نام 02beats-input.conf داریم.
  • یک فایل خروجی به نام 03elasticsearch-output.conf داریم.

همچنین ممکن است لازم باشد با اجرای دستور زیر یک دایرکتوری به نام patterns روی سرور Logstash خود بسازید:

فرضیات سرور کلاینت

  • فرض می‌کنیم Filebeat را روی هر یک از سرورهای اپلیکیشن خود نصب کرده‌اید تا syslog/auth.log را به سرور Logstash ارسال کنند. اگر چنین نیست می‌توانید از بخش راه‌اندازی Filebeat در مقاله‌ای که در بخش پیش‌نیازها معرفی کردیم به این منظور استفاده کنید.

اگر تنظیمات شما فرق دارد، می‌توانید بر اساس تنظیمات خود این راهنما را تغییر دهید.

Grok چیست؟

Grok از طریق تجزیه الگوهای متنی، با استفاده از عبارت‌های منظم (regular expressions) اقدام به انتساب آن‌ها به شناسه‌های مختلف می‌کند.

ساختار یک الگوی grok به صورت {PATTERN:IDENTIFIER}% است. فیلتر Logstash شامل یک دنباله از الگوهای grok است که بخش‌های مختلف یک پیام log را با شناسه‌های مختلف تطبیق داده و به آن‌ها انتساب می‌دهند و بدین ترتیب log ها سازماندهی می‌شوند.

شیوه استفاده از این راهنما

در هر بخش اصلی این راهنما که در ادامه می‌آید، جزییات پیکربندی اضافی که برای گردآوری و فیلتر کردن log-ها برای اپلیکیشن مفروض ضروری هستند ارائه شده است. در مورد هر اپلیکیشن می‌خواهیم که log-ها را گردآوری کرده و فیلتر کنیم و به این منظور باید تغییرات پیکربندی هم در مورد سرور کلاینت (Filebeat) و هم سرور Logstash اعمال کنید.

بخش فرعی الگوهای Logstash

اگر یک بخش فرعی برای الگوهای Logstash وجود داشته باشد شامل الگوهای grok خواهد بود که می‌توان در مسیر opt/logstash/patterns/ روی سرور Logstash به یک فایل جدید اضافه کرد. بدین ترتیب امکان استفاده از الگوهای جدید در فیلترهای Logstash پدید می‌آید.

بخش فرعی فیلتر Logstash

بخش فرعی فیلتر Logstash شامل یک فیلتر است که می‌توان بین فایل‌های پیکربندی ورودی و خروجی به یک فایل جدید در مسیر etc/logstash/conf.d/ روی سرور Logstash اضافه کرد. این فیلتر شیوه تجزیه فایل‌های log مربوطه را از سوی سرور Logstash تعیین می‌کند. به خاطر داشته باشید که پس از افزودن یک فیلتر جدید برای بارگذاری تغییرات باید سرور Logstash ری‌استارت شود.

بخش فرعی کاوشگر (Prospector) برای Filebeat

کاوشگر Filebeat برای تعیین این که کدام log-ها باید به Logstash ارسال شوند، مورد استفاده قرار می‌گیرد. پیکربندی‌های اضافی کاوشگرها را می‌توان به فایل etc/filebeat/filebeat.yml/ دقیقاً پس از کاوشگرهای موجود در بخش prospectors اضافه کرد:

در مثال فوق، خط هایلایت شده آخر، نماینده کاوشگری است که همه فایل‌های log. موجود در مسیر /var/log/app/ را با نوع app-access به Logstash ارسال می‌کند. پس از ایجاد هر نوع تغییر، Filebeat باید مجدداً بارگذاری شود تا همه تغییرات اعمال شوند.

دقت کنید که اینک شیوه استفاده از این راهنما را می‌دانید و در ادامه صرفاً شیوه گردآوری و نمایش log-ها را نمایش می‌دهیم.

اپلیکیشن Nginx

در این بخش روش گردآوری و فیلتر کردن log-های اپلیکیشن Nginx را بررسی می‌کنیم.

الگوهای Logstash برای Nginx

الگوهای log در Nginx در میان الگوهای پیش‌فرض Logstash قرار ندارند و از این رو باید آن‌ها را به صورت دستی اضافه کنیم.

در سرور ELK یک فایل الگوی جدید به نام nginx می‌سازیم:

سپس خطوط زیر را در آن وارد می‌کنیم:

اینک فایل را ذخیره کرده و خارج شوید. الگوی NGINXACCESS داده‌ها را تجزیه کرده و به شناسه‌های مختلفی مانند clientip، ident، auth و غیره انتساب می‌دهد.

سپس مالکیت این فایل الگو را به Logstash تغییر دهید:

فیلتر Logstash برای Nginx

روی سرور ELK یک فایل پیکربندی فیلتر جدید به نام 11-nginx-filter.conf ایجاد کنید:

سپس فیلتر زیر را اضافه کنید:

فایل را ذخیره کرده و خارج شوید. دقت کنید که این فیلتر تلاش می‌کند تا پیام‌های از نوع nginx-access را با الگوی NGINXACCESS که در بخش فوق تعریف کردیم تطبیق دهد.

اینک Logstash را ری‌استارت می‌کنیم تا پیکربندی مجدداً بارگذاری شود:

کاوشگر Filebeat برای Nginx

روی سرورهای Nginx فایل پیکربندی filebeat.yml را برای ویرایش باز کنید:

کاوشگر زیر را در بخش Filebeat اضافه کنید تا log-های دسترسی Nginx را با نوع nginx-access به سرور Logstash ارسال کند:

فایل را ذخیره کرده و خارج شوید. Filebeat را مجدداً بارگذاری کنید تا تغییرات اعمال شوند:

اینک log-های Nginx گردآوری و فیلتر می‌شوند.

اپلیکیشن وب‌سرور Apache HTTP

الگوهای log در آپاچی در الگوهای پیش‌فرض Logstash موجود هستند و از این رو راه‌اندازی فیلتر برای آن تقریباً آسان است.

دقت کنید که اگر از توزیع‌های مبتنی بر RedHat مانند CentOS استفاده می‌کنید، log-ها به جای /var/log/apache2 که در این مثال بررسی شده است، در مسیر /var/log/httpd قرار دارند.

فیلتر Logstash برای آپاچی

روی سرور ELK یک فایل پیکربندی جدید به نام 12-apache.conf ایجاد کنید:

سپس فیلتر جدیدی به آن اضافه کنید:

فایل را ذخیره کرده و خارج شوید. دقت کنید که این فیلتر تلاش می‌کند تا پیام‌های از نوع apache-access را با الگوی COMBINEDAPACHELOG که الگوی پیش‌فرض Logstash است تطبیق دهد.

اینک Logstash را ری‌استارت کنید تا پیکربندی مجدداً بارگذاری شود:

کاوشگر Filebeat برای آپاچی

روی سرورهای آپاچی خود فایل پیکربندی به نام filebeat.yml را برای ویرایش باز کنید:

کاوشگر زیر را در بخش Filebeat اضافه کرده و log-های آپاچی از نوع apache-access را به سرور Logstash خود ارسال کنید:

فایل را ذخیره کرده و خارج شوید. Filebeat را ری‌استارت کنید تا تغییرات اعمال شوند.

اینک log-های آپاچی گردآوری شده و فیلتر می‌شوند.

سخن پایانی

امکان جمع‌آوری و تجزیه log-ها از هر نوعی در ELK وجود دارد. شما می‌توانید این موضوع را با نوشتن فیلترها و الگوهایی برای فایل‌های log دیگر امتحان کنید. هر نکته‌ای که به نظرتان می‌رسد را می‌توانید در بخش نظرات با ما و دیگر خوانندگان فرادرس در میان بگذارید. اگر با کیبانا آشنایی ندارید، می‌توانید از راهنمای «شیوه استفاده از داشبوردها و بصری‌سازی‌های Kibana» استفاده کنید.

اگر این مطلب برایتان مفید بوده است، آموزش‌های زیر نیز به شما پیشنهاد می‌شوند:

==

میثم لطفی (+)

«میثم لطفی» دانش‌آموخته ریاضیات و شیفته فناوری به خصوص در حوزه رایانه است. وی در حال حاضر علاوه بر پیگیری علاقه‌مندی‌هایش در رشته‌های برنامه‌نویسی، کپی‌رایتینگ و محتوای چندرسانه‌ای، در زمینه نگارش مقالاتی با محوریت نرم‌افزار نیز با مجله فرادرس همکاری دارد.

آیا این مطلب برای شما مفید بود؟

یک نظر ثبت شده در “افزودن فیلترهای Logstash برای بهبود گزارش گیری متمرکز — به زبان ساده

نظر شما چیست؟

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *