Size: a a a

Сбор и аналитика системных сообщений

2021 July 07

SK

S Kirill in Сбор и аналитика системных сообщений
да там понятно, меня интересует кто в реальном мире использует для доставки логов
источник

SP

Sergey Pechenkó in Сбор и аналитика системных сообщений
rsyslog - kafka - logstash - elastic
источник

SK

S Kirill in Сбор и аналитика системных сообщений
это если "рядом" а если доставка через "интернет" из не очень стабильных места
источник

SK

S Kirill in Сбор и аналитика системных сообщений
идея  в общем такая
app->syslog->kafka(single) -> mirror over internet + tls -> kafka cluster-> ES

если часто делать "ротацию" то по ресурсам не сильно дороже обычной доставки
сейчас доставка через парсинг локальных файлов
источник

V

Vovan in Сбор и аналитика системных сообщений
вам нужно не кафку крутить, а гарантированную доставку. Для доставки нужно использовать агенты, у них это работает из коробки
источник

SK

S Kirill in Сбор и аналитика системных сообщений
агенты чего? о чём речь
источник

V

Vovan in Сбор и аналитика системных сообщений
задача какая? Доставка логов через интернет?
источник

SK

S Kirill in Сбор и аналитика системных сообщений
да. если в кратце
источник

SK

S Kirill in Сбор и аналитика системных сообщений
безопасная и по возможности без потерь
источник

V

Vovan in Сбор и аналитика системных сообщений
"из не очень стабильных места" - классическая задача гарантированной доставки
источник

YB

Yury Bushmelev in Сбор и аналитика системных сообщений
если логов не овердохера, то rsyslog relp с tls справится отлично
источник

YB

Yury Bushmelev in Сбор и аналитика системных сообщений
овердохера = больше ядра cpu
источник

GG

George Gaál in Сбор и аналитика системных сообщений
гарантированной не будет
источник

SK

S Kirill in Сбор и аналитика системных сообщений
с виду кафка более гибкая будет в доставке, возможно управлять количеством воркеров
источник

ИБ

Игорь Богомолов... in Сбор и аналитика системных сообщений
Здравствуйте, как правильно в кубере очистку логов настроить? Стэк opendistro (эластик) и curator для ротации. Есть около 20 индексов постоянно пишущих, у меня проблема, в том, что все упирается в 1000 шардов (падает с ошибкой maximum shards). Увиличить лимит не вариант - рано или поздно забьется. Хочется, чтобы логи не превышали фиксированный размер (например, 1гб), при этом гарантированно не исчезали, например, за последнюю неделю.  Читал это https://www.elastic.co/blog/resizing-elasticsearch-shards-for-fun-and-profit но shrink API не подходит, так как индексы разные.  Может в цикле чистить самые старые логи, пока не освободится N места на диске?
источник

V

Vovan in Сбор и аналитика системных сообщений
поставьте оригинальный Elastic Stack и используйте ILM Policy, как раз решает вашу задачу
источник

ИБ

Игорь Богомолов... in Сбор и аналитика системных сообщений
в opendistro вроде есть аналог  (ISM: https://opendistro.github.io/for-elasticsearch-docs/docs/im/ism/policies/)  , я так понимаю можно задать какие-то настройки вроде min_size  min_index_age и он будет удалять старые логи сам нормально. Но у меня проблема в том, что каждый день появляется новый индекс и я бы хотел уметь ставить ограничение "сумма всех логов < N ГБ", чтобы на диск влезало на одной ноде. Вот для этого похоже надо все-таки curator использовать
источник
2021 July 16

MS

Mikolaj Sobolewski in Сбор и аналитика системных сообщений
коллеги, всем привет подскажите пожалуйста promtail умеет такое
labels: 
label1: [var1,var2]
и соответственно передавать массив?
источник

MS

Mikolaj Sobolewski in Сбор и аналитика системных сообщений
или есть какой то иной способ ему список групп передать?
источник
2021 July 25

TF

Terry Filch in Сбор и аналитика системных сообщений
источник