Zentralisiertes Log Management

Ähnliche Dokumente
Umsetzung von BI-Lösungen mit Unterstützung einer Suchmaschine. TDWI Stuttgart Tobias Kraft, exensio GmbH

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Florian Hopf elasticsearch. Bern

Installation SQL- Server 2012 Single Node

Frage und Antworten zum Webcast: Virtual Server 2005 :

Mein eigener Homeserver mit Ubuntu LTS

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Guide DynDNS und Portforwarding

FL1 Hosting FAQ. FL1 Hosting FAQ. V1.0 (ersetzt alle früheren Versionen) Gültig ab: 18. Oktober Telecom Liechtenstein AG

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Florian Hopf elasticsearch.

Jeunesse Autopiloten

4D Server v12 64-bit Version BETA VERSION

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

Was meinen die Leute eigentlich mit: Grexit?

Auf den Elch gekommen: Logfile-Analyse mit ELK-Server

Anleitung zur Nutzung des SharePort Utility

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. 7 Key Features.

ICS-Addin. Benutzerhandbuch. Version: 1.0

1 Lizenzkey Wo finde ich den Lizenzkey? Lizenzkey hochladen Nameserver einrichten Domains einrichten 7

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Anwendungsbeschreibung an einem Beispiel

Menü auf zwei Module verteilt (Joomla 3.4.0)

Battlefield 2 BF2CCD Anleitung

Wie verbinde ich ein JBOD-System mit dem QStore QMX? - 1

ecaros-update 8.2 Update 8.2 procar informatik AG 1 Stand: DP 02/2014 Eschenweg Weiterstadt

Upgrade von Windows Vista auf Windows 7

WordPress installieren mit Webhosting

Elasticsearch aus OPS-Sicht Teil1. Markus Rodi Karlsruhe,

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Wir machen neue Politik für Baden-Württemberg

Vorgehensweise bei der Installation Bob50SQL für einen unabhängigen PC.

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Kurzleitfaden für Schüler

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Internationales Altkatholisches Laienforum

Wie bekomme ich eine Adresse. Eva Lackinger, Rene Morwind Margot Campbell

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

SSI WHITE PAPER Design einer mobilen App in wenigen Stunden

1. Adressen für den Serienversand (Briefe Katalogdruck Werbung/Anfrage ) auswählen. Die Auswahl kann gespeichert werden.

Anleitung Grundsetup C3 Mail & SMS Gateway V

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten

Windows Server 2012 R2 Essentials & Hyper-V

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Eine komplette Übersicht über auf mein.homelinux.com verfügbare Anleitungen findest du im Wiki.

Anleitung C3 IP Tools V loxone.c3online.at. Kontakt & Support. Brielgasse 27. A-6900 Bregenz. TEL +43 (5574) MAIL info@c3online.

Das sogenannte Beamen ist auch in EEP möglich ohne das Zusatzprogramm Beamer. Zwar etwas umständlicher aber es funktioniert

Web Shop Anleitung 1

WordPress lokal mit Xaamp installieren

Domain Registration & Transfer. Version: 1.3 Datum: Alexander Pascual

CSS-Grundlagen. Etwas über Browser. Kapitel. Die Vorbereitung

JMeter & ELK. Search Meetup Jan. 2015

Printserver und die Einrichtung von TCP/IP oder LPR Ports

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

Backup-Server einrichten

Updatehinweise für die Version forma 5.5.5

Reporting Services und SharePoint 2010 Teil 1

SolarWinds Engineer s Toolset

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

MUNIN - Langzeitmonitoring

FIREBIRD BETRIEB DER SAFESCAN TA UND TA+ SOFTWARE AUF MEHR ALS EINEM COMPUTER

Kurzanleitung zur Bereitstellung von Sachverhalten und Lösungen zum Universitätsrepetitorium auf dem Server unirep.rewi.hu-berlin.

Anleitung zur Erstellung von Serienbriefen (Word 2003) unter Berücksichtigung von Titeln (wie Dr., Dr. med. usw.)

OS IDE Webserver Integration des Webservers in die IDE Wireshark Webserver II Dynamisches Webprojekt in Eclipse

Toolbeschreibung: EVERNOTE

Windows 10 - Clean Install und Aktivierung

Webmail Login mit nicht IE Browsern INDEX

Erstellen einer Collage. Zuerst ein leeres Dokument erzeugen, auf dem alle anderen Bilder zusammengefügt werden sollen (über [Datei] > [Neu])

Standard Daten-Backup-Script

IPTables und Tripwire

mit ssh auf Router connecten

Affiliate Marketing Schnellstart Seite 1

Auswertung JAM! Fragebogen: Deine Meinung ist uns wichtig!

Installationsvoraussetzungen

[SUCHMACHINE DER HELFER IM DATENNETZ]

So richten Sie Outlook Express ein. Einrichten von Outlook Express (hier am Beispiel von Outlook Express 6) für den Empfang meiner s

a.i.o. control AIO GATEWAY Einrichtung

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto auf Ihrem Android Tablet

Anleitung zur Einrichtung des WDS / WDS with AP Modus

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Geld Verdienen im Internet leicht gemacht

Einführung in TexMaker

Publizieren von Webs mit SmartFTP

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Festplatte defragmentieren Internetspuren und temporäre Dateien löschen

Sie finden im Folgenden drei Anleitungen, wie Sie sich mit dem Server der Schule verbinden können:

Positionierungsspiel. Statements und Fragen zu Werbung im Social Web

visionapp Base Installation Packages (vbip) Update

Aktivieren des Anti-SPAM Filters

Repetitionsaufgaben Wurzelgleichungen

Einrichten eines Exchange-Kontos mit Thunderbird

Anleitung zur Erstellung und Bearbeitung von Seiten in Typo3. Typo3. Anleitung. Wenpas Informatik

Howto. Einrichten des TREX Monitoring mit SAP Solution Manager Diagnostics

Apache HBase. A BigTable Column Store on top of Hadoop

Einrichten einer mehrsprachigen Webseite mit Joomla (3.3.6)

KURZANLEITUNG CYBERDUCK MIT CLOUD OBJECT STORAGE

Transkript:

Zentralisiertes Log Management Ein Erfahrungsbericht Michael Mimo Moratti mimo@mimo.ch Michael Mimo Moratti 2015

Wer bin ich Michael Mimo Moratti, mimo@mimo.ch, jmimo on Github Java, C, C++, Python, Lua, Bash, Linux, Web zeugs, Architektur, WAF / Entry Server, Code review, Kernel hacking. 3 RLK Installationen aufgebaut Die Größte Installation: CSS Versicherung (+740 mio. Events) Und wenn ich gerade mal nicht am Schreibtisch stehe dann: 2

Warum sollten wir das tun? 3

Ich hatte gerade eine Fehlerantwort, was geschah da genau? Irgendetwas geht nicht, schau doch bitte schnell nach! Kannst du bitte die Logs von Gestern zwischen 14:36 und 15:12 auf Fehler prüfen! Kannst du bitte alle Logs der letzen Woche auf Fehler überprüfen! 4

5

Und jetzt Werden wir uns an einer Vielzahl von Systemen anmelden. Mit find, grep und anderen Tools die Logfiles nach Anzeichen von Fehler durchsuchen. Und versuchen die gefundenen Daten zu Korrelieren und Interpretieren. Jan 10 00:51:37 BigThougt.local configd[25]: LINKLOCAL en0: parent has no IP Jan 10 00:51:37 BigThougt.local networkd[198]: +[NETLedBelly stopfastfail] Clearing ledbelly failure cache Jan 10 00:51:37 BigThougt.local configd[25]: network changed: v4(en0-:192.168.0.20) DNS- Proxy- Jan 10 00:51:37 BigThougt.local discoveryd[50]: Basic Warn DD_Warn: Corrupt NSEC RDATA size Jan 10 00:51:37 BigThougt.local discoveryd[50]: Basic WABServer NetResolverEvent no resolvers, resetting domains Jan 10 00:51:37 BigThougt.local discoveryd[50]: Basic Bonjour Failed to delete registration recordid=518 error=4 Jan 10 00:51:38 BigThougt.local networkd[198]: +[NETLedBelly stopfastfail] Clearing ledbelly failure cache Jan 10 00:51:38 BigThougt.local configd[25]: network changed: v4(en0+:192.168.0.20) DNS+ Proxy+ SMB Jan 10 00:51:38 BigThougt.local discoveryd[50]: Basic Sockets,Warn UDS FD=90 ERROR: Send failed errno=32 Jan 10 00:51:39 BigThougt.local discoveryd[50]: Basic Bonjour Failed to delete registration recordid=522 error=4 Jan 10 00:51:46 BigThougt.local sharingd[7192]: 00:51:46.555 : SDStatusMonitor::kStatusWirelessPowerChanged Jan 10 00:51:46 BigThougt.local sharingd[302]: 00:51:46.555 : SDStatusMonitor::kStatusWirelessPowerChanged Jan 10 00:51:46 BigThougt.local sharingd[7192]: 00:51:46.604 : SDStatusMonitor::kStatusWirelessPowerChanged Jan 10 00:51:46 BigThougt.local sharingd[302]: 00:51:46.604 : SDStatusMonitor::kStatusWirelessPowerChanged Jan 10 00:51:47 BigThougt.local ntpd[199]: wake time set +0.335678 s Jan 10 00:51:55 BigThougt.local configd[25]: [0x7fe689e54af0] [m]dns query timeout (query time = 13.752251), [46TE] Jan 10 00:52:10 BigThougt.local configd[25]: [0x7fe689d43ee0] [m]dns query timeout (query time = 29.040382), [46TE] Jan 10 00:52:13 BigThougt.local configd[25]: [0x7fe689d42920] [m]dns query timeout (query time = 32.261717), [46TE] 6

Aber wirklich wollen wir Eine Analyse über alle Logdaten aller Systeme mit Hilfe einer Query und Filter basierten Visualisierung im Web-browser machen. 7

Nur, was braucht es dazu 8

Klassisches (manuelles) Vorgehen Sammeln (scp / ftp ) Analyse (find / grep / sed / awk ) Visualisierung (Excel / Birt / LogMX ) 9

ELK Stack Elasticsearch (NoSQL / speichern / suchen) Logstash (sammeln / transformieren) Kibana (visualisieren) 10

Elasticsearch NoSQL Big data Volltext Suchmaschine Java / basiert auf Apache Lucene" Suchen und Indexieren Verteilt (shards & copies) Clustering API JSON / RESTful 11

Elasticsearch 12

Logstash Schweizer Sackmesser zum Sammeln, Transformieren und Weiterleiten von Logdaten. JRuby MiMo (multiple in / multiple out) Sammeln Analysieren (Filter) Speichern / Weiterleiten 13

Logstash Input Filter Output File Syslog Redis Forwarder JSON Grok Drop Mutate Elasticsearch Redis StatsD Graphite 14

Kibana AngularJS Drill-down / Roll-up Visualisierung (Histogram / Pie / Term.) Version 4.0 ist in der pipeline, (beta 3) und wird aus dem leichtgewichtigen Javascript Frontend einen Server Prozess machen welcher dann aber auch (dank Elasticsearch 1.4) Daten aggregieren kann. 15

Kibana 16

Tools ElasticHQ Curator curator host localhost port 9200 delete time-unit months older-than 2 17

Architektur Syslog Logstash Elasticsearch 18

Realistische Architektur :-) Logstash Syslog Log4j Logstash Redis Logstash Elasticsearch 19

Elasticsearch Node Architektur 20

Übliche Fallstricke Nicht genügend Abeitsspeicher (RAM, RAM, RAM ) Elasticsearch Server nutzt Swap Speicher! Langsamer Physischer Speicher. Java Memory Fragmentierung (Heap > 20GB) Elasticsearch mixed nodes (z.b.: master und data) Index Frequenz (Tag, Woche, Monat, Jahr) Shards und Copies (Split Brain) Logstash: CPU intensive Grok (regex) Ausdrücke. 21

Und nun Die Daten sind zentral indexiert und können mit Volltextsuche analysiert werden. Wir haben die Möglichkeit uns eine Übersicht im Dschungel der Logdaten zu verschaffen. Aus den Daten können wir viel neues Lernen 22

Anwendung Analyse von WAF Daten können Usability Probleme in Webapplikationen aufzeigen. Pattern welche durch das Korrelieren von Logdaten ersichtlich werden, können aufgedeckt und analysiert werden. Performance kann ausgewertet werden. Business Intelligence 23

Demo input { twitter { consumer_key => "vhfubj4vccromirzesu9br" consumer_secret => "v9xez0tcggwo0zqjwdur02khwnh1w2slgpkqjmkgyf2grzw" oauth_token => "51665235-TASGSSMzAFyjGlmeHd0mmkYrqJuUw50TZImZf" oauth_token_secret => "yf6pmwqozjmwdvsuoxod3zrnviwpoqxwamcase47r" keywords => [ "lauberhorn", "wengen", "abfahrt", "skirennen" ] full_tweet => true } } filter { prune { blacklist_names => [ "retweeted_.*" ] } } output { elasticsearch_http { host => "localhost" index => "lauberhorn" } } 24

a fool with a tool is still a fool 25

Any Questions? 26

DANKE 27

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback