基于Logstash的自动化运维系统实现

Posted Ceph对象存储方案

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基于Logstash的自动化运维系统实现相关的知识,希望对你有一定的参考价值。

利用Logstash实现nginx日志的监控与告警

1.实现思路

首先将Nginx日志按json格式保存到文件,之后利用rsyslog服务将日志数据推送到Logstash节点上,最后通过配置Logstash服务对日志进行json格式化,并按status状态码统计出对应的异常状态发生频率并触发阈值告警,本文以统计504错误并告警为例,具体操作如下。

2. 客户端配置

2.1 Nginx日志配置

编辑 /etc/nginx/nginx.conf 添加以下内容

   log_format json '{"@timestamp":"$time_iso8601",'
        '"host":"$host",'
        '"scheme":"$scheme",'
        '"server_addr":"$server_addr",'
        '"client_ip":"$remote_addr",'
        '"server_protocol":"$server_protocol",'
        '"method":"$request_method",'
        '"query_string":"$query_string",'
        '"body_bytes_sent":$body_bytes_sent,'
        '"bytes_sent":$bytes_sent,'
        '"request_length":$request_length,'
        '"request_time":$request_time,'
        '"upstream_time":"$upstream_response_time",'
        '"upstream_host":"$upstream_addr",'
        '"upstream_status":"$upstream_status",'
        '"server_name":"$server_name",'
        '"url":"$uri",'
        '"request_url":"$request_uri",'
        '"http_x_forwarded_for":"$http_x_forwarded_for",'
        '"referer":"$http_referer",'
        '"agent":"$http_user_agent",'
        '"status":$status}';

    access_log  /home/nginx/log/access.log  json;

2.2 rsyslog配置

使用rsyslog推送日志到Logstash,编辑/etc/rsyslog.d/nginx.conf,输入以下内容,完成后记得重启rsyslog服务。

$ModLoad imfile
$Modload mmjsonparse
action(type="mmjsonparse")
template(name="nginx-json" type="list") {
    property(name="$!all-json")
}

$InputFileName /home/nginx/log/access.log
$InputFileTag nginx-access
$InputFileStateFile nginx-accessfile
$InputFileSeverity info
$InputFileFacility local7
$InputRunFileMonitor
$InputFilePersistStateInterval 1

if $syslogtag startswith 'nginx' then @@10.160.209.10:514;nginx-json

3. 服务端配置

3.1 Logstash 配置

新建一个Logstash配置,名称为metric_nginx.conf,内容如下

input {
    syslog {
        host => "10.160.209.10"
        port => "514"
        codec => "json"
        }
}
filter {
      json {
        source => "msg"
        }
      mutate {
        convert => ["request_time",float]
        }
      mutate {
        remove_field => ["msg"]
        remove_field => ["@version"]
        remove_field => ["port"]
        remove_field => ["facility"]
        remove_field => ["priority"]
        remove_field => ["severity"]
        remove_field => ["severity_label"]
        remove_field => ["facility_label"]
        }
    metrics {
        meter => "error.%{status}" #按不同的status值建立计数器
        add_tag => "metric"
        ignore_older_than => 10
    }
}

output {
  if "metric" in [tags] {
      if [error.504][rate_1m] > 0.0 { # 当达504计数器到达设定的阈值则告警
        stdout {
            codec => line {
            format => "alarm: %{[error.504][rate_1m]}" #模拟告警
          }
        }
      }
  }
}

之后使用下面的命令启动Logstash服务

 logstash -f metric_nginx.conf

关于上面[rate_1m]计数器的定义请参考:https://www.elastic.co/guide/en/logstash/current/plugins-filters-metrics.html#_literal_meter_literal_values

4. 基于Logstash模型的运维自动化模型

介绍完上面的实例,相信大家可以看到Logstash的作用远不止如此,在熟悉Logstsh这套日志处理流程以后,完全可以实现一套基于日志驱动的自动化运维平台。如下图所示,可以将Mon、OSD等各类服务的日志接入Logtash,通过Logstash处理以后借助不同的output插件,可以选择性进行Alarm告警,或者是触发Ansible playbook操作,亦或是存储到redis、kafka一类的消息中间件从而打通和其他业务系统的数据通道。特别是当你的运维熟悉了Ceph的各种日志异常情况以后,完全可以做到一些线上故障的自动化处理。

output插件介绍:https://www.elastic.co/guide/en/logstash/current/output-plugins.html



以上是关于基于Logstash的自动化运维系统实现的主要内容,如果未能解决你的问题,请参考以下文章

用Kibana和logstash快速搭建实时日志查询收集与分析系统

自动运维|logstash收集syslog及保存实践

python学习之自动化运维项目

自动化运维-PXE实现自动安装系统

基于自动化运维工具SaltStackAnsiblePuppet等运维中的难点解析

自动化运维:Cobbler批量部署操作系统