Файлики?
в смысле файлики? поток по сети в формате syslog. Или я не поняла, что ты спрашиваешь
Polnoch
G72K
Народ, а объясните, почему greylog что-то хорошее, или, наоборот, полное говно, и нужно использовать ELK, Кибану или Logstash - я немного поработала только с последней.
Можно без logstash, filebeat может слать напрямую в ES
Polnoch
Можно без logstash, filebeat может слать напрямую в ES
мне всё равно по большей части как это сделать. Мне нужен инструмент с API, что бы интегрировать с Zabbix и может ещё с чем-то, и какой-то удобный способ поиска момента события в разных логах, что бы понять, почему всё упало.
G72K
Splunk на таком миллионы делает, а ваш работодатель хочет дешево отделаться:))
Polnoch
т.е. упор на автоматизацию, а не на HighLoad. Что лучше выбрать?
🏳️ Phil
в смысле файлики? поток по сети в формате syslog. Или я не поняла, что ты спрашиваешь
Если логов немного, в файлики складывай и мозг себе не имей
Polnoch
Если логов немного, в файлики складывай и мозг себе не имей
сейчас так и сделано, прилетает на центральный syslog. Позавчера стало понятно, что набор костылей вокруг этого инстанса с миллионом разных питон-скриптов это что-то неправильное :)
Polnoch
Это нужно разломать, выкинуть, и сделать по-другому
🏳️ Phil
Это нужно разломать, выкинуть, и сделать по-другому
И сделать поставить три стройных помойки на жабе и просто монгу?
🏳️ Phil
Круто
🏳️ Phil
ну да, что бы красиво было
и все подпорки тоже останутся, потому что чем-то надо будет дату-то анализировать
Polnoch
А что такое "красиво"?
Это сложно формализовать :) Но обычно понятно, что что-то сделано красиво, а что-то ужасно. Наш сервер логов как раз и оставляет такое очевидное(ужасное) впечатление. Его ещё сопровождать сложно, разные разработчики пишут разные скрипты, потом уходят, и никто не знает как и что для чего это было сделано
Vladimir
@polnoch проблема в том что разные скрипты останутся
Vladimir
просто логи пойдут в базу, а не в файлики
Polnoch
просто логи пойдут в базу, а не в файлики
а там нет разве каких-то инструментов по их анализу?
Vladimir
как мне кажется чтобы все эти поиски начали себя оправдывать, нужно предпринять волевое решение и писать исключительно структурированные логи
Vladimir
а там нет разве каких-то инструментов по их анализу?
ну ты будешь писать в каком-нибудь rsyslog'е или logstash'е наборы правил на каждый долбанный формат логов
Vladimir
чтобы по этому было можно искать как-то лучше чем с помощью grep *
Polnoch
ну ты будешь писать в каком-нибудь rsyslog'е или logstash'е наборы правил на каждый долбанный формат логов
ну это можно формализовать. Сказать на ближайшем спринте, что из приложений логи теперь только вот так, а не иначе отправляем
Vladimir
притом это еще будет вызывать боль когда разработчику стукнет в голову поменять все )
Vladimir
ну это можно формализовать. Сказать на ближайшем спринте, что из приложений логи теперь только вот так, а не иначе отправляем
ну попробуй зафорсить их слать логи в json'е для начала
Vladimir
разбитыми по полям
Vladimir
даже одно это тебе позволит делать более адекватные выборки с помощью jq
Vladimir
даже в файликах
Polnoch
правильно ли я понимаю, что все эти штуки (ELK, greylog, etc) нужны, только если поток в гигабайты-терабайты, а в автоматизации они не особенно помогают?
Vladimir
правильно ли я понимаю, что все эти штуки (ELK, greylog, etc) нужны, только если поток в гигабайты-терабайты, а в автоматизации они не особенно помогают?
Они дают красивый интерфейс для поиска и построения графиков по логам
Vladimir
автоматизации как-то конечно помогут
Polnoch
угу, а где интерфейс поиска лучше?
Vladimir
ну точнее как помогут
Vladimir
оно везде транслироваться будет в Lucene query
Vladimir
тебе все равно ставить ES
Vladimir
а морды можешь крутить какие нравятся
Vladimir
У них вроде есть какие-то инструменты даже по алертингу и прочему, но все будет зависить от того что в ES
Vladimir
Тебе нужно чем-то (rsyslog/logstash/fluentd) парсить эти логи и делать из них структурированные логи )
Vladimir
тогда это имеет какой-то смысл
Vladimir
а парсеры надо настраивать под каждый формат логов
Vladimir
плюс ты получишь operational overhead на работу с ES
Vladimir
он не беспроблемный, его надо будет поддерживать, чинить, обновлять, тюнить
Polnoch
Да, я знаю, уже сталкивалась, но не как с хранилкой логов
Vladimir
короче идеальный случай когда тебе логи уже будут идти структурированные
Vladimir
но тогда тебе даже руками из консоли станет проще делать выборки
Polnoch
Мне скорее нужно написать утилиты, которые будут делать эти выборки сами, и повесить логику на результаты этих выборок
Yevhenii
Ага. Я программеров заставил в джсоне логи писать. Но ес с кабаной нужен саппорту
Yevhenii
Ес просто удобно централизирует хранение
Vladimir
@polnoch я 5-ую кибану еще не видел, но 4-ая очень инопланетная, грейлог был понятнее
Polnoch
Но у чата нет какого-то общего мнения, что лучше, greylog, или ELK, или что ещё?
Vladimir
но если с нуля ставить то это уже ес5, и либо кибана5, либо грейлог
Vladimir
вот что лучше - смотри ты, потому что тебе этим пользоваться
Vladimir
у них разные подходы к организации интерфейса
Vladimir
грейлог создает впечатление более админско-ориентированного, а кибана как некий интерфейс где ты хочешь найти не знаешь что и узнаешь в процессе поиска
Ivan
у нас грейлог используют для хранения логов самописных приложений, а ЕЛК для хранения логов сервисов
Ivan
Polnoch
ну пользоваться - на самом деле этому некому. Т.е. сейчас рабочий процесс построен так, что в красивый интерфейс zabbix никто не смотрит, разве что раз в месяц, а используются в основном его фишки по автодискавери и автоподключению темплейтов
Vladimir
@polnoch выбирай что ТЕБЕ понравится
Polnoch
поэтому красота интерфейса опять же не важна, зато важно, что бы было красивое API
Vladimir
если что переиграешь потом
Polnoch
у нас грейлог используют для хранения логов самописных приложений, а ЕЛК для хранения логов сервисов
а почему не что-то одно?
Vladimir
А что больше нравится?
Yevhenii
у меня саппорт не смог в грейлог
Yevhenii
хз почему
Denis
но если с нуля ставить то это уже ес5, и либо кибана5, либо грейлог
я пытаюсь съехать с 1го эластика на 5й, у меня деградация с 300к инсертов в минуту до 10к, при тюнинге до 50к
Denis
я не понимаю как им пользуются для логов люди )
Yevhenii
У меня логи в очереди в реббите лежат
Yevhenii
Иначе не успеваю закидывать данные
Vladimir
я пытаюсь съехать с 1го эластика на 5й, у меня деградация с 300к инсертов в минуту до 10к, при тюнинге до 50к
Может, да. Я эластиком не занимаюсь
niko
в минуту?
niko
это даже не смешно:)
Dmitrii
Я вот все читаю все эти "достижения" людей, как они логи собирают, ставят ELK, собирают террабайты логов в день. А потом задаюсь вопросом — зачем?
Dmitrii
Ну серьезно, зачем вам куча бесхозной информации, которую надо обрабатывать, хранить, обслуживать и не терять.
Dmitrii
Это примерно как с мониторингом. "У нас 100500 метрик отслеживается, смотрите какой я молодец!". Собсна, вопрос, зачем? Нахуя столько метрик, когда можно подумать головой один раз, и собирать 10 метрик, по которым можно сделать вывод о выходе из строя какой-то из подсистем.
Dmitrii
Может мне кто-нибудь объяснить? Может я отсталый просто?)
Dmitry
Зачем 10 метрик, если достаточно одной - "все работает / ничего работает".
Magistr
Может мне кто-нибудь объяснить? Может я отсталый просто?)
чтобы расследовать когда сломаеться что-то новое
Denys 💛📈
Отсталый :)
Denys 💛📈
Шутко