ELK 安装配置简单,用于管理 OpenStack 日志时需注意两点:

  • Logstash 配置文件的编写
  • Elasticsearch 日志存储空间的容量规划

另外推荐 ELKstack 中文指南

ELK 简介

ELK 是一套优秀的日志搜集、存储和查询的开源软件,广泛用于日志系统。当 OpenStack 集群达到一定规模时,日志管理和分析显得日益重要,良好统一的日志管理和分析平台有助于快速定位问题。Mirantis 的 fuel 和 HPE 的 helion 均集成了 ELK。

采用 ELK 管理 OpenStack 的日志具有以下优点:

  • 迅速查询全局 ERROR 级别日志
  • 某个 API 的请求频率
  • 通过 request ID, 可过滤出某个 API 整个流程的日志

规划与设计

部署架构

控制节点作为日志服务器,存储所有 OpenStack 及其相关日志。Logstash 部署于所有节点,收集本节点下所需收集的日志,然后以网络(node/http)方式输送给控制节点的 Elasticsearch,Kibana 作为 web portal 提供展示日志信息:

日志格式

为了提供快速直观的检索功能,对于每一条 OpenStack 日志,我们希望它能包含以下属性,用于检索和过滤:

  • Host: 如 controller01,compute01 等
  • Service Name: 如 nova-api, neutron-server 等
  • Module: 如 nova.filters
  • Log Level: 如 DEBUG, INFO, ERROR 等
  • Log date
  • Request ID: 某次请求的 Request ID

以上属性可以通过 Logstash 实现,通过提取日志的关键字段,从而获上述几种属性,并在 Elasticsearch 建立索引。

安装与配置

安装

ELK 的安装步骤非常简单,可参考 logstash-es-Kibana 安装,如遇异常,请 Google。

配置

Logstash 的配置文件有专门的一套语法,学习的成本比较高,可参考 openstack logstash config 后,再根据自身需求改写:

input {

  file {

    path => ['/var/log/nova/nova-api.log']

    tags => ['nova', 'oslofmt']

    type => "nova-api"

  }

  file {

    path => ['/var/log/nova/nova-conductor.log']

    tags => ['nova-conductor', 'oslofmt']

    type => "nova"

  }

  file {

    path => ['/var/log/nova/nova-manage.log']

    tags => ['nova-manage', 'oslofmt']

    type => "nova"

  }

  file {

    path => ['/var/log/nova/nova-scheduler.log']

    tags => ['nova-scheduler', 'oslofmt']

    type => "nova"

  }

  file {

    path => ['/var/log/nova/nova-spicehtml5proxy.log']

    tags => ['nova-spice', 'oslofmt']

    type => "nova"

  }

  file {

    path => ['/var/log/keystone/keystone-all.log']

    tags => ['keystone', 'keystonefmt']

    type => "keystone"

  }

  file {

    path => ['/var/log/keystone/keystone-manage.log']

    tags => ['keystone', 'keystonefmt']

    type => "keystone"

  }

  file {

    path => ['/var/log/glance/api.log']

    tags => ['glance', 'oslofmt']

    type => "glance-api"

  }

  file {

    path => ['/var/log/glance/registry.log']

    tags => ['glance', 'oslofmt']

    type => "glance-registry"

  }

  file {

    path => ['/var/log/glance/scrubber.log']

    tags => ['glance', 'oslofmt']

    type => "glance-scrubber"

  }

  file {

    path => ['/var/log/ceilometer/ceilometer-agent-central.log']

    tags => ['ceilometer', 'oslofmt']

    type => "ceilometer-agent-central"

  }

  file {

    path => ['/var/log/ceilometer/ceilometer-alarm-notifier.log']

    tags => ['ceilometer', 'oslofmt']

    type => "ceilometer-alarm-notifier"

  }

  file {

    path => ['/var/log/ceilometer/ceilometer-api.log']

    tags => ['ceilometer', 'oslofmt']

    type => "ceilometer-api"

  }

  file {

    path => ['/var/log/ceilometer/ceilometer-alarm-evaluator.log']

    tags => ['ceilometer', 'oslofmt']

    type => "ceilometer-alarm-evaluator"

  }

  file {

    path => ['/var/log/ceilometer/ceilometer-collector.log']

    tags => ['ceilometer', 'oslofmt']

    type => "ceilometer-collector"

  }

  file {

    path => ['/var/log/heat/heat.log']

    tags => ['heat', 'oslofmt']

    type => "heat"

  }

  file {

    path => ['/var/log/neutron/neutron-server.log']

    tags => ['neutron', 'oslofmt']

    type => "neutron-server"

  }

# Not collecting RabbitMQ logs for the moment

#  file {

#   path => ['/var/log/rabbitmq/rabbit@<%= @hostname %>.log']

#   tags => ['rabbitmq', 'oslofmt']

#   type => "rabbitmq"

#  }

  file {

    path => ['/var/log/httpd/access_log']

    tags => ['horizon']

    type => "horizon"

  }

  file {

    path => ['/var/log/httpd/error_log']

    tags => ['horizon']

    type => "horizon"

  }

  file {

    path => ['/var/log/httpd/horizon_access_log']

    tags => ['horizon']

    type => "horizon"

  }

  file {

    path => ['/var/log/httpd/horizon_error_log']

    tags => ['horizon']

    type => "horizon"

  }

}

filter {

  if "oslofmt" in [tags] {

    multiline {

      negate => true

      pattern => "^%{TIMESTAMP_ISO8601} "

      what => "previous"

    }

    multiline {

      negate => false

      pattern => "^%{TIMESTAMP_ISO8601}%{SPACE}%{NUMBER}?%{SPACE}?TRACE"

      what => "previous"

    }

    grok {

      # Do multiline matching as the above mutliline filter may add newlines

      # to the log messages.

      # TODO move the LOGLEVELs into a proper grok pattern.

      match => { "message" => "(?m)^%{TIMESTAMP_ISO8601:logdate}%{SPACE}%{NUMBER:pid}?%{SPACE}?(?<loglevel>AUDIT|CRITICAL|DEBUG|INFO|TRACE|WARNING|ERROR) \[?\b%{NOTSPACE:module}\b\]?%{SPACE}?%{GREEDYDATA:logmessage}?" }

      add_field => { "received_at" => "%{@timestamp}" }

    }

  } else if "keystonefmt" in [tags] {

    grok {

      # Do multiline matching as the above mutliline filter may add newlines

      # to the log messages.

      # TODO move the LOGLEVELs into a proper grok pattern.

      match => { "message" => "(?m)^%{TIMESTAMP_ISO8601:logdate}%{SPACE}%{NUMBER:pid}?%{SPACE}?(?<loglevel>AUDIT|CRITICAL|DEBUG|INFO|TRACE|WARNING|ERROR) \[?\b%{NOTSPACE:module}\b\]?%{SPACE}?%{GREEDYDATA:logmessage}?" }

      add_field => { "received_at" => "%{@timestamp}" }

    }

    if [module] == "iso8601.iso8601" {

  #log message for each part of the date?  Really?

  drop {}

    }

  } else if "libvirt" in [tags] {

    grok {

       match => { "message" => "(?m)^%{TIMESTAMP_ISO8601:logdate}:%{SPACE}%{NUMBER:code}:?%{SPACE}\[?\b%{NOTSPACE:loglevel}\b\]?%{SPACE}?:?%{SPACE}\[?\b%{NOTSPACE:module}\b\]?%{SPACE}?%{GREEDYDATA:logmessage}?" }

       add_field => { "received_at" => "%{@timestamp}"}

    }

    mutate {

       uppercase => [ "loglevel" ]

    }

  } else if [type] == "syslog" {

     grok {

        match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:logmessage}" }

        add_field => [ "received_at", "%{@timestamp}" ]

     }

     syslog_pri {

        severity_labels => ["ERROR", "ERROR", "ERROR", "ERROR", "WARNING", "INFO", "INFO", "DEBUG" ]

     }

     date {

        match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]

     }

     if !("_grokparsefailure" in [tags]) {

        mutate {

           replace => [ "@source_host", "%{syslog_hostname}" ]

        }

     }

     mutate {

        remove_field => [ "syslog_hostname", "syslog_timestamp" ]

        add_field => [ "loglevel", "%{syslog_severity}" ]

        add_field => [ "module", "%{syslog_program}" ]

     }

  }

}

output {

    elasticsearch { host => controller }

}

openstack.org用来观察infra

http://logstash.openstack.org/#/dashboard/file/logstash.json

http://docs.openstack.org/infra/system-config/logstash.html

把ceilometer的数据发送到ELK

http://www.brownhat.org/wp/2014/09/18/openstack-logstash-and-elasticsearch-living-on-the-edge/

OpenStack日志搜集分析之ELK的更多相关文章

  1. ELK/EFK——日志收集分析平台

    ELK——日志收集分析平台 ELK简介:在开源的日志管理方案之中,最出名的莫过于ELK了,ELK由ElasticSearch.Logstash和Kiabana三个开源工具组成.1)ElasticSea ...

  2. 日志分析工具ELK配置详解

    日志分析工具ELK配置详解 一.ELK介绍 1.1 elasticsearch 1.1.1 elasticsearch介绍 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分 ...

  3. Centos7下使用ELK(Elasticsearch + Logstash + Kibana)搭建日志集中分析平台

    日志监控和分析在保障业务稳定运行时,起到了很重要的作用,不过一般情况下日志都分散在各个生产服务器,且开发人员无法登陆生产服务器,这时候就需要一个集中式的日志收集装置,对日志中的关键字进行监控,触发异常 ...

  4. 用ELK搭建简单的日志收集分析系统【转】

    缘起 在微服务开发过程中,一般都会利用多台服务器做分布式部署,如何能够把分散在各个服务器中的日志归集起来做分析处理,是一个微服务服务需要考虑的一个因素. 搭建一个日志系统 搭建一个日志系统需要考虑一下 ...

  5. 2018年ElasticSearch6.2.2教程ELK搭建日志采集分析系统(教程详情)

    章节一  2018年 ELK课程计划和效果演示1.课程安排和效果演示    简介:课程介绍和主要知识点说明,ES搜索接口演示,部署的ELK项目演示    es: localhost:9200    k ...

  6. 2018年ElasticSearch6.2.2教程ELK搭建日志采集分析系统(目录)

    章节一  2018年 ELK课程计划和效果演示 1.课程安排和效果演示 简介:课程介绍和主要知识点说明,ES搜索接口演示,部署的ELK项目演示 章节二 elasticSearch 6.2版本基础讲解到 ...

  7. 集中式日志分析平台 - ELK Stack - 安全解决方案 X-Pack

    大数据之心 关注  0.6 2017.02.22 15:36* 字数 2158 阅读 16457评论 7喜欢 9 简介 X-Pack 已经作为 Elastic 公司单独的产品线,前身是 Shield, ...

  8. ELK:日志收集分析平台

    简介 ELK是一个日志收集分析的平台,它能收集海量的日志,并将其根据字段切割.一来方便供开发查看日志,定位问题:二来可以根据日志进行统计分析,通过其强大的呈现能力,挖掘数据的潜在价值,分析重要指标的趋 ...

  9. 日志分析工具ELK(五)

    八.Kibana实践 选择绝对时间和相对时间 搜索 还可以添加相关信息 自动刷新页面时间,也可以关闭 创建图像,可视化 编辑Markdown,创建一个值班联系表 值班联系表 保存 再创建一个饼图;查看 ...

随机推荐

  1. android菜鸟学习笔记27----Fragment的简单使用

    1.Fragment的生命周期: 简单在新建一个MyFragment继承自Fragment,重写各个生命周期回调方法,各个方法中直接输出标识相关函数被调用的信息. 重写MainActivity的各个生 ...

  2. 关于:before :after

    首先要明白一种思想:结构和样式分离. 结构和样式分离,就意味着:没有样式表,HTML文档也是一个完整的文档:没有样式表,也能正常阅读用HTML表达的所有内容.明白这种思想就能很好理解样式表中使用--- ...

  3. matlab学习笔记之基础知识(一)

    一.两种特殊数据类型 1.元胞数组   元胞数组是MATLAB的一种特殊数据类型,可以将元胞数组看做一种无所不包的通用矩阵,或者叫做广义矩阵.组成元胞数组的元素可以是任何一种数据类型的常数或者常量,每 ...

  4. SMW0 上传问题?

    *SMW0 和 OAOR 的区别在哪3个方面? SMW0 上传 出现: 没有指派至MIME 类型

  5. Python基础-时间模块和radom模块

    时间模块 import time # 引入时间模块 print(time.time()) # 1508146954.9455004: 时间戳 print(time.clock()) # 计算CPU执行 ...

  6. gearman知识文章

    一篇文章: Gearman介绍.调研.测试与原理分析 gearman是什么? 它是分布式的程序调用框架,可完成跨语言的相互调用,适合在后台运行工作任务.最初是2005年perl版本,2008年发布C/ ...

  7. Python 7 多线程及进程

    进程与线程: 进程的概念: 1.程序的执行实例称为进程. 2.每个进程都提供执行程序所需的资源.一个进程有一个虚拟地址空间.可执行代码.对系统对象的开放句柄.一个安全上下文.一个独特的进程标识符.环境 ...

  8. iOS 11 Xcode9开发 新特性学习 (新方法篇)

    1 .  引入github (1) 在Xcode 9 中,引入了 gitHub,新源代码管理导航器 可以展示branch分支和 tag标签. (2)点进去,就可以看指定一次commit了哪些东西 2 ...

  9. Keepalived 主备配置

    keepalived主备或多主多备,配置都是一样配置方法,只是搭建多少的问题. 1.keepalived安装 参考:https://www.cnblogs.com/zwcry/p/9542867.ht ...

  10. 《高级程序设计》8 BOM

    window对象 location对象 navigator对象 screen对象 history对象 一.window对象 BOM的核心对象是window,它表示浏览器的一个实例.在浏览器中,wind ...