Chronograf+Telegraf+InflexDB로 Syslog Viewer 만들기
5281 단어 syslogTelegrafinfluxdbChronograf
최근 웹UI에서 Syslog를 검색하고 열람하는 용도에는 일반적으로 Elasticsearch를 사용하는 경우가 많다고 생각합니다.다만 나는 특히 집단으로 구성된 소규모 구조가 필요 없이 더욱 간단하게 구축할 수 있다는 생각에 서둘러 자기 집 환경을 도입했다.
Syslog의 시퀀스 히스토그램이 표시됩니다.로그 메시지 검색도 정규 표현식일 수 있습니다.Severity, Facility, Hostname에서도 필터링할 수 있습니다.물론 특정 시간대의 기록만 추출할 수도 있다.
프로비저닝
서버 측에서 준비한 것은
514/udp
포트에서 클라이언트의systlog6514/tcp
를 수신하고 포트로 전송하는 Rsyslog와 Chronograf,Telegraf,InflexDB입니다. +------------------------------------------------+
| |
| +---------+ server |
+--------+ 514/udp | | | |
| client +-------------> | |
+--------+ | | | |
| | rsyslog | |
+--------+ 514/udp | | | |
| client +-------------> | |
+--------+ | | | |
| +----+----+ |
| | |
| | 6514/tcp |
| | |
| +----v-----+ +----------+ +------------+ |
| | telegraf +--> influxdb +--> chronograf | |
| +----------+ +----------+ +------------+ |
| |
+------------------------------------------------+
설정
InfluxCouldChronograf,Telegraf,InflexDB를 다운로드하여 절차에 따라 설치&서비스를 시작합니다.
sudo systemctl start chronograf
sudo systemctl start telegraf
sudo systemctl start influxdb
Rsylog는 client514/udp
포트에서 수신된 syslog를 6514/tcp
포트로 전달합니다./etc/rsyslog.d/50-forward.conf
문서를 작성하여 다음과 같이 기술한다.$ModLoad imudp
$UDPServerRun 514
$ActionQueueType LinkedList # use asynchronous processing
$ActionQueueFileName srvrfwd # set file name, also enables disk mode
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
*.* @@(o)127.0.0.1:6514;RSYSLOG_SyslogProtocol23Format
Telegraf는 6514/tcp
포트에서 수신한syslog를 InflexDB에 저장합니다.편집
/etc/telegraf/telegraf.conf
, 다음에 필요한 부분에 대해 논평합니다.# # Accepts syslog messages per RFC5425
[[inputs.syslog]]
# ## Specify an ip or hostname with port - eg., tcp://localhost:6514, tcp://10.0.0.1:6514
# ## Protocol, address and port to host the syslog receiver.
# ## If no host is specified, then localhost is used.
# ## If no port is specified, 6514 is used (RFC5425#section-4.1).
server = "tcp://:6514"
Rsylog 및 Telegraf 반영 설정을 다시 시작합니다.sudo systemctl restart rsyslog
sudo systemctl restart telegraf
여기서 끝내도록 설정합니다.아주 간단합니다.조작 방법
위의 설정을 통해 로그 데이터를 Influmxdb에 저장하기 시작했습니다.
액세스
http://<サーバーのIPアドレス>:8888/
, Chronograf 확인을 시작합니다.초기화가 시작되었기 때문에 지시에 따라 설정을 순조롭게 완성하였습니다...
클릭
Log Viewer
!참고로 다음 명령을 통해 위조 로그를 건너뛰어 정확하게 수신되고 표시되는지 확인할 수 있기 때문에 아무것도 표시하지 않은 상태에서 이걸로 분할한다.
logger -n <サーバーのIPアドレス> -d test
이후 공식 사이트를 보면서 다양한 시도를 할 수 있다.메시지 검색 등은 다소 무게를 느끼지만, 대상의 시간대를 미리 분할하면 되기 때문에 문제없다.그리고 검색은 대문자와 소문자로 나뉜다.
다음은 공식 사이트의 인용이다.
이렇게 머리를 쥐어짜서 여러 가지 일을 하다니...
특정 시간의 로그를 찾습니다...
신난다!
Release note버전 1.6에서 설치한 패턴↩
Reference
이 문제에 관하여(Chronograf+Telegraf+InflexDB로 Syslog Viewer 만들기), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/haccht/items/82e8694c57202135ae5e텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)