Những kiến thức nâng cao về Graylog

1. Graylog-Advanced
MạnhDV

2. Cloud Team
Điểm lại nội dung buổi 1
1. Một vài kiến thức về Log trong Linux
2. Giới thiệu chung về Graylog.
3. Cấu trúc và mô hình triển khai của Graylog.
4. Cơ chế nhận log của Graylog.
5. Giới thiệu và demo các chức năng chính của Graylog trên
Web-Interface.
30/04/2016 2TIÊU ĐỀ CỦA SLIDE

3. Cloud Team
Tồn đọng trong buổi 1
• Tương tác giữa Graylog với Elasticsearch và MongoDB
• Làm rõ cơ chế hoạt động giữa Graylog client và server
• Sizing cho hệ thống triển khai Graylog thực tế
• Giới thiệu về Graylog 2.0
30/04/2016 3TIÊU ĐỀ CỦA SLIDE

4. Cloud Team
Mục lục
1. Elasticsearch và MongoDB trong mô hình Graylog
2. Giao tiếp giữa Graylog-collector và Server
3. Đường đi của bản tin log
4. Graylog 2.0 review
30/04/2016TIÊU ĐỀ CỦA SLIDE 4

5. Cloud Team
1. Elasticsearch và MongoDB trong mô hình Graylog
1.1 Elasticsearch :
A. Cấu trúc và cơ chế làm việc
• Cấu trúc :
- Chạy Cluster
- Các node giao tiếp bằng API
- Dùng unicast-discovery để nhận
biết các node.
30/04/2016 5TIÊU ĐỀ CỦA SLIDE
Nguồn: https://www.elastic.co/guide/en/elasticsearch/guide/current/distributed-cluster.html

6. Cloud Team
1. Elasticsearch và MongoDB trong mô hình Graylog
• Cơ chế làm việc
*Cơ chế Shard
- Phân bổ dữ liệu
- 2 loại: Primary và Replica
- Peplica backup cho Primary
- Tự động chuyển khi node
fail hoặc có node mới
=> Đảm bảo dữ liệu được an toàn.
30/04/2016 6TIÊU ĐỀ CỦA SLIDE
Nguồn: https://www.elastic.co/blog/what-is-an-elasticsearch-index

7. Cloud Team
1. Elasticsearch và MongoDB trong mô hình Graylog
*Cơ chế Index :
- Logical namespace
- Index theo 1 format cố định
Ví dụ : Logs-2013-02-2
Logs-2013-02-21
- Giống như 1 database
- Cho phép query nhiều index 1 lúc
=> Việc tìm kiếm trở nên nhanh chóng.
30/04/2016 7TIÊU ĐỀ CỦA SLIDE
Nguồn: https://www.elastic.co/blog/what-is-an-elasticsearch-index

8. Cloud Team
1. Elasticsearch và MongoDB trong mô hình Graylog
B. Tương tác Elasticsearch và Graylog
- Coi Graylog là 1 node, giao tiếp
qua API
- Graylog server khai báo : index,
shard…như Elasticsearch node
- Data truyền vào Graylog theo chuẩn của Elasticsearch
=> Việc trao đổi dữ liệu với Elasticsearch diễn ra nhanh
chóng
30/04/2016 8TIÊU ĐỀ CỦA SLIDE
Nguồn : http://www.slideshare.net/Graylog/graylog-engineering-design-your-architecture

9. Cloud Team
1. Elasticsearch và MongoDB trong mô hình Graylog
1.2 MongoDB
*Tương tác giữa MongoDB và Graylog-Server
- Cơ chế client-server
- Graylog cài client driver, giúp tương
tác với MongoDB
* Nhiệm vụ của MongoDB
- Lưu trữ Metadata : user, setting,
dữ liệu cấu hình của : stream, dashboard, extractor…
30/04/2016 9TIÊU ĐỀ CỦA SLIDE
Nguồn : http://www.slideshare.net/Graylog/graylog-engineering-design-your-architecture
https://docs.mongodb.org/manual/applications/drivers/

10. Cloud Team
2. Giao tiếp giữa Graylog-collector và Server
Graylog-collector :
- Ứng dụng Java dùng thu thập log
- Cơ chế giao tiếp với Graylog : API
30/04/2016 10TIÊU ĐỀ CỦA SLIDE
Nguồn : http://docs.graylog.org/en/1.3/pages/collector.html

11. Cloud Team
2. Giao tiếp giữa Graylog-collector và Server
Quá trình đẩy log :
Client :
Khai báo trong collector.conf
Type : GELF TCP
Server:
Khai báo trên Web-interface
30/04/2016 11TIÊU ĐỀ CỦA SLIDE

12. Cloud Team
3. Đường đi của bản tin log
• Trên Client :
- Java Tool : GELF Library
- Đưa log vào các queue
- Có support TLS cho GELF TCP input
- Queue size mặc định : 512bytes
30/04/2016 12TIÊU ĐỀ CỦA SLIDE
Nguồn : http://docs.graylog.org/en/1.3/pages/collector.html

13. Cloud Team
3. Đường đi của bản tin log
Trên Server :
Log message => Input => Journal => Process Chain => Output
30/04/2016 13TIÊU ĐỀ CỦA SLIDE
Nguồn : http://www.slideshare.net/Graylog/graylog-engineering-design-your-architecture

14. Cloud Team
3. Đường đi của bản tin log
Tiến trình xử lý log :
* Step 1 : Journal
Message được spooling vào disk,
chuẩn bị quá trình Buffer
* Step 2 : Input Buffer
Message lấy từ Disk, đẩy vào
Input Buffer (Ring + Processor)
- Nhiệm vụ : Lọc, định tuyến
message cho Stream.
30/04/2016 14TIÊU ĐỀ CỦA SLIDE
Nguồn : http://www.slideshare.net/Graylog/graylog-engineering-design-your-architecture

15. Cloud Team
3. Đường đi của bản tin log
* Step 3 : Output Buffer
Message đã lọc tiếp tục đẩy
vào Output Buffer
- Nhiệm vụ : phân loại, đóng
index và đẩy ra Output.
30/04/2016 15TIÊU ĐỀ CỦA SLIDE
Nguồn : http://www.slideshare.net/Graylog/graylog-engineering-design-your-architecture

16. Cloud Team
3. Đường đi của bản tin log
CPU Sizing :
• Hệ thống tiêu chuẩn:
20 indexes = 8 CPU ( 5CPU : Process Buffer + 3CPU :
Output Buffer)
1 Index = 1GB dữ liệu => 1 CPU chịu tải được 2,5GB dữ
liệu
30/04/2016 16TIÊU ĐỀ CỦA SLIDE
Nguồn: Graylog config file + tham khảo thực tế

17. Cloud Team
4. Graylog 2.0 review
• Web-Interface đã được tích hợp trong Graylog Server
• Sử dụng cơ chế Tail -f với các bản tin
Bản tin log mới nhất được tự động update
• Cơ chế xử lý log message : Pipline
Tạo rule và phối hợp các rule đó để xử lý các message truyền vào.
• Map widget
Visualize các địa chỉ IP lên map
• Stream Filter
Lọc Stream theo title hoặc description
• Tìm kiếm xung quanh bản tin log
Tìm kiếm thêm các bản tin liên quan đến event trong 1 bản tin
30/04/2016 17TIÊU ĐỀ CỦA SLIDE
Nguồn : https://www.graylog.org/blog/52-announcing-graylog-v2-0-beta-2

18. Cloud Team
Báo cáo hiện trạng monitor của dịch vụ VNPT CLOUD (1)
• Các ứng dụng đang áp dụng
• Zabbix: Thu thập và cảnh báo các metric của máy chủ
• Grafana: Hiển thị các biểu đồ thay cho zabbix
• Các ứng dụng đang tìm hiểu (áp dụng trên LAB)
• Graylog: Thu thập log
• Graphite + Collectd: Thu thập các metric về APP
30/04/2016 18TIÊU ĐỀ CỦA SLIDE

19. Cloud Team
ĐÃ LÀM ĐƯỢC
• Các metric về Server
• CPU: Used, Ide, System
• DISK: Capacity
• Network: In/Out traffic
• RAM: Free, Cache, Total
• Các metric về APP
• SSH: login/logout
• VPN: user vpn
• MySQL: dung lượng các DB
• CEPH: +20 metric đối với CEPH
30/04/2016 19TIÊU ĐỀ CỦA SLIDE
• Giám sát các dịch vụ của
OpenStack
• Giám sát máy ảo  Portal
• Hệ thống lại các metric và
mức đặt ngưỡng phù hợp sau
khi có phản hồi.
Báo cáo hiện trạng monitor của dịch vụ VNPT CLOUD (2)
MỤC TIÊU