基于Logstash的自动化运维系统实现
基于Logstash的自动化运维系统实现
利用Logstash实现Nginx日志的监控与告警
1.实现思路
首先将Nginx日志按json格式保存到文件,之后利用rsyslog服务将日志数据推送到Logstash节点上,最后通过配置Logstash服务对日志进行json格式化,并按status状态码统计出对应的异常状态发生频率并触发阈值告警,本文以统计504错误并告警为例,具体操作如下。
2. 客户端配置
2.1 Nginx日志配置
编辑 /etc/nginx/nginx.conf 添加以下内容
log_format json '{"@timestamp":"$time_iso8601",'
'"host":"$host",'
'"scheme":"$scheme",'
'"server_addr":"$server_addr",'
'"client_ip":"$remote_addr",'
'"server_protocol":"$server_protocol",'
'"method":"$request_method",'
'"query_string":"$query_string",'
'"body_bytes_sent":$body_bytes_sent,'
'"bytes_sent":$bytes_sent,'
'"request_length":$request_length,'
'"request_time":$request_time,'
'"upstream_time":"$upstream_response_time",'
'"upstream_host":"$upstream_addr",'
'"upstream_status":"$upstream_status",'
'"server_name":"$server_name",'
'"url":"$uri",'
'"request_url":"$request_uri",'
'"http_x_forwarded_for":"$http_x_forwarded_for",'
'"referer":"$http_referer",'
'"agent":"$http_user_agent",'
'"status":$status}';
access_log /home/nginx/log/access.log json;2.2 rsyslog配置
使用rsyslog推送日志到Logstash,编辑/etc/rsyslog.d/nginx.conf,输入以下内容,完成后记得重启rsyslog服务。
$ModLoad imfile
$Modload mmjsonparse
action(type="mmjsonparse")
template(name="nginx-json" type="list") {
property(name="$!all-json")
}
$InputFileName /home/nginx/log/access.log
$InputFileTag nginx-access
$InputFileStateFile nginx-accessfile
$InputFileSeverity info
$InputFileFacility local7
$InputRunFileMonitor
$InputFilePersistStateInterval 1
if $syslogtag startswith 'nginx' then @@10.160.209.10:514;nginx-json3. 服务端配置
3.1 Logstash 配置
新建一个Logstash配置,名称为metric_nginx.conf,内容如下
input {
syslog {
host => "10.160.209.10"
port => "514"
codec => "json"
}
}
filter {
json {
source => "msg"
}
mutate {
convert => ["request_time",float]
}
mutate {
remove_field => ["msg"]
remove_field => ["@version"]
remove_field => ["port"]
remove_field => ["facility"]
remove_field => ["priority"]
remove_field => ["severity"]
remove_field => ["severity_label"]
remove_field => ["facility_label"]
}
metrics {
meter => "error.%{status}" #按不同的status值建立计数器
add_tag => "metric"
ignore_older_than => 10
}
}
output {
if "metric" in [tags] {
if [error.504][rate_1m] > 0.0 { # 当达504计数器到达设定的阈值则告警
stdout {
codec => line {
format => "alarm: %{[error.504][rate_1m]}" #模拟告警
}
}
}
}
}之后使用下面的命令启动Logstash服务
logstash -f metric_nginx.conf关于上面[rate_1m]计数器的定义请参考:https://www.elastic.co/guide/en/logstash/current/plugins-filters-metrics.html#_literal_meter_literal_values
4. 基于Logstash模型的运维自动化模型
介绍完上面的实例,相信大家可以看到Logstash的作用远不止如此,在熟悉Logstsh这套日志处理流程以后,完全可以实现一套基于日志驱动的自动化运维平台。如下图所示,可以将Mon、OSD等各类服务的日志接入Logtash,通过Logstash处理以后借助不同的output插件,可以选择性进行Alarm告警,或者是触发Ansible playbook操作,亦或是存储到redis、kafka一类的消息中间件从而打通和其他业务系统的数据通道。特别是当你的运维熟悉了Ceph的各种日志异常情况以后,完全可以做到一些线上故障的自动化处理。
output插件介绍:https://www.elastic.co/guide/en/logstash/current/output-plugins.html