Конспект "Rsyslog как я перестал бояться и полюбил обработку логов. Сергеи Печенко"
опубликовано: 25.12.2018
Суть: Обработка логов с помощью Filebeat и Logstash требует очень много ресурсов, лучше использовать rsyslog, который есть в каждом дистрибутиве, умеет все необходимое, работает очень быстро за счет ухода от регулярок.
Обычно для обработки логов используют ELK
Сейчас этот стек уже стал FLEK(Filebeat, Logstash, ElasticSearch, Kibana).Filebeat читает логи, передает в Logstash, где их обрабатывает регулярками на java. Это требует очень много ресурсов.
Можно заменить прожорливый L на Rsyslog
Rsyslog — проект, давно включенный в минимальную поставку любого дистрибутива. Им можно и читать, и обрабатывать, и дополнять.
Устройство rsyslog
Состоит из входных модулей, модулей обработки, выходных модулей. Модулей существует огромное количество, абсолютно под любую задачу.
Для парсинга используется модуль mmnormalize, который работает поверх библиотеки liblognorm(скоростной парсер). Он позволяет парсить многие вещи без регулярных выражений, за счет этого работает очень быстро. Был опыт обработки 250Гб/час(LA < 1% @ 56*Xeon 2.6GHz).
Конфигурация rsyslog
Конфиг rsyslog описывается языком программирования RainerScript. Весь конфиг можно условно назвать программой, которая выполняется для каждой записи.
В нем нужно указать:
- какие модули нам нужно загрузить
- шаблон, по которому записываем логи, куда отправляем
- правила для liblognorm.
- правил состоит из переменных и их типов. Например,
reqid:char-to("extrade":" ")говорит что весь текст до пробела нужно поместить в полеreqid. - Такими правилами мы описываем сообщение. Сначала идет строка, затем число, затем число, и т.д. За счет описания сообщения такими правилами, мы уходим от регулярок и получаем ускоренеие.
- Есть особенность. Если под шаблон, где ожидается число, пришли строка, то сообщение не будет обработано этим правилом, перейдет к следующему.
- Через
annotateуказываем дополнительные поля.
- правил состоит из переменных и их типов. Например,
Пример конфига для сервиса:
Пример конфига с правилами:
Ссылки
- Презентация
- Запись трансляции
- Rsyslog
- liblognorm
- Efficient Normalization of IT Log Messages under Realtime Conditions
- Rsyslog: going up from 40K messages per second to 250K
Я консультирую о том о чем пишу, связаться со мной можно через telegram @aladmit или по почте [email protected]
- Последние заметки
-
- методология и практика
- Transformational Leadership
- Разбираемся в Agile. Принцип 1
- Конспект "Scrum Master и Product Owner – эффективное взаимодействие. Анастасия Маркони"
- Конспект "Kanban - это не то, что вы привыкли о нем думать. Алексей Пименов"
- Конспект "Страх и ненависть DevSecOps Шабалин Юрий"
- Как измерить качество архитектуры приложения
- Если процесс не описан и не повторяем, то компания не умеет это делать
-
- итоги 2022 года
- DevOpsConf и TechLeadConf
- обсуждение PulumiUP
- Я думаю что моими будущими источниками знаний в основном будут платные чаты
- Даешь синхронную смену тем
- опросник состояния DevOps в России
- The Midnight Gospel
- Выгорание в State of DevOps 2019
- How Netflix Thinks of DevOps
- Прошедшая неделя была очень богатой на контент
- Конспект "Трейсинг распределенных систем. Егор Мыскин"
- Схема всех практик из Accelerate
- Конспект "Что нужно, чтобы DevOps работал в enterprise компаниях. Никита Борзых"
- Конспект "Решение выдуманных проблем реальными способами. Усков Александр"
- Конспект "Зачем нам нужно сообщество Александр Титов"
- Конспект "Rsyslog как я перестал бояться и полюбил обработку логов. Сергеи Печенко"
- Митинги — отстой
- Нет воронки — нет продаж
- Почему UX Designer в роли Product Manager — здравая идея
- Ops должны уметь в Dev, а Dev должны уметь в Ops
- Контейнеры в firefox
- Что такое обучение и почему ты учишься так, как учишься
- Путь от Rails-разработчика до DevOps-инженера