Marcin Grzybowski, Marcin Lipiec - Nokaut - LogStash - skuteczne narzędzie dla entuzjastów logowania

1. LOGSTASH
Chcę oglądać Twoje logi,
logi logi logi
Chcę je mieć po krótkiej chwili,
chwili chwili chwili
1 XI 2013

2. Czytamy Twoje logi
marcin.lipiec@nokaut.pl
marcin.grzybowski@nokaut.pl

3. Po co logujemy ?
l
BO TAK !!!!

4. Jak logujemy ?
l
l
l
l
l
l
Powszechnie używane formy logowania
Brak logowania
Logowanie do pliku
Logowanie do sysloga
Logowanie do rsysloga
Logowanie przy wsparciu narzędzi zewnętrznych

5. Jak wygląda przeciętny log
l
l
l
l
l
Blebleblebleblbe
blebleblebleblbe
blebleblebleblbe
blebleblebleblbe
blebleblebleblbe

6. Jak wygląda przeciętny log
DATA + RESZTA = WPIS
[18/Nov/2013:00:00:02 +0100] w15 65.55.24.234 302 5 - 0.017 192.168.64.125 1077
"GET /szukaj.html?zrodlo=404&slowo=lampy+zewnetrzne
+wiszace+kare+design+kare+design+lampa+wiszaca+
trumpet+dining+5er+33116+35a2647ce9a772fab8affaac5feb2a69
HTTP/1.1" "/produkt-lampy-zewnetrzne-wiszace-kare-designkare-design-lampa-wiszaca-trumpet-dining-5er-33116-35
a2647ce9a772fab8affaac5feb2a69.html" "-" "Mozilla/5.0
(compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"

7. awk '($9 ~ /502/)' access.log | awk '{print $7}' | sort | uniq -c | sort -r
728 /wp-admin/install.php
466 /
146 /videos/
130 /wp-login.php

8. Dlaczego log to mało

9. Czy więc jest LogStash
l
l
l
l
l
l
Koncentrator logów
Wygodny interface – KIBANA
Stabilność Java
OpenSource
Wyklikiwalność ustawień
GROK

10. LogStash
wstępna konfiguracja
3 w 1 – jeden JAR trzy aplikacje
Jeden plik konfiguracyjny – trzy strumienie przetwarzania

11. LogStash
wstępna konfiguracja
INPUT | FILTER | OUTPUT
* syslog, emails, stdin, tcp socket, file, http

12. LogStash
wstępna konfiguracja
INPUT | FILTER | OUTPUT
* grok, kv, mutate, geoip, grep ...

13. LogStash
wstępna konfiguracja
INPUT | FILTER | OUTPUT
* graylog, elasticsearch, zabbix, graphite, ...

15. LogStash
wstępna konfiguracja
input {
file {
path => "/var/log/http.log"
}
}
filter {
grok {
match => [ "message", "%{IP:client} %{WORD:method}
%{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]
}
}
output {
elasticsearch { embedded => true }
}

16. LogStash
Przykład problemu (1)

17. RUCH DO SERWISU

18. SZYBKA ANALIZA RUCHU

19. GEOLOKALIZACJA RUCHU

20. METODY API

21. GROK
%{SYNTAX:SEMANTIC}
%{IP:client}
%{WORD:method}
%{URIPATHPARAM:request}
%{NUMBER:bytes}
%{NUMBER:duration}
IP (?<![0-9])(?:(?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})
[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4]
[0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2}))(?![0-9])

22. 55.3.244.1 GET /index.html 15824 0.043
Jak to rozumieć?
( client ip ) (http request) (rsp bytes) (req time)
%{IP} %{WORD} %{URIPATHPARAM} %{NUMBER} %{NUMBER}
Postać ostateczna :
{
"client": "55.3.244.1",
"verb": "GET",
"request": "/index.html",
"bytes": 15824,
"time": 0.043,
}

23. TIPS & TRICKS

l
l
l
curl -s -XDELETE "http://localhost:9200/logstash-2013-11-10"
JAVA – Xms = Xmx
https://grokdebug.herokuapp.com/
ulimit -l unlimited

24. POMOCY ?!
irc: #logstash on freenode
mail: logstash-users@googlegroups.com
dodatki: kibana, logstash-cli, puppet modules, chef cookbooks