konchangakita

KPSを一番楽しんでいたブログ 会社の看板を背負いません 転載はご自由にどうぞ

【Nutanix ログほいほい】シスログ ほいほい

Nutanix ログほいほい

次はシスログをホイホイします

一旦シスログサーバに飛ばしたログを検索するようなシステムにしています

初期段階でのイメージ図

シスログビューワー

Nutanixのシスログは現状クラスタから送信するには、CVMでCLI設定しなきゃいけなかったり
事前の設定がメンドウです、、、そこはこのシスログほいほいでも事前の設定だけはしてやらないといけないのですが
他のログとまとめて見れますってのが、メリットかな

今回の仕組み


裏は Elasticsearch だ
Elastic の Filebeat でシスログを受け取って、Elasticsearchへ送信

工夫した点

・初期値は現時点から2週間分
・検索を表示し、Filter付き

シスログビューワー使い方

ソースコードコチラから入手し、起動します

クラスタシスログ設定

まずは、クラスタシスログ設定が必要です
シスログサーバ側は Filebeat で設定済みなので、特に何もする必要はないです

どれでもいいので CVM に ssh で接続します

> ncli


まずはシスログサーバ(Filebeat)の登録する
ポートは 7515 を指定します

rsyslog-config add-server name=elastic-filebeat ip-address=xx.xxx.xxx.xxx port=7515 network-protocol=TCP relp-enabled=false


実行サンプル

<ncli> rsyslog-config add-server name=elastic-filebeat ip-address=10.38.4.22 port=7515 network-protocol=TCP relp-enabled=false

    Name                      : elastic-filebeat
    IP Address                : 10.38.4.22
    Port                      : 7515
    Protocol                  : TCP
    Relp Enabled              : false

そして各モジュールを一行づつ登録していきます、今回の全モジュールをログレベル「ERROR」で登録しておきます

rsyslog-config add-module server-name=elastic-filebeat module-name=CASSANDRA level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=CEREBRO level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=CURATOR level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=GENESIS level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=PRISM level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=STARGATE level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=SYSLOG_MODULE level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=ZOOKEEPER level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=UHURA level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=LAZAN level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=API_AUDIT level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=CALM level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=EPSILON level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=ACROPOLIS level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=MINERVA_CVM level=ERROR include-monitor-logs=false
rsyslog-config add-module server-name=elastic-filebeat module-name=FLOW level=ERROR include-monitor-logs=false



Prism Central の場合

Prism Central では、GUIで設定できます




Kibana で確認もできる

http://サーバIP:5601でKibana に接続して状態を確認できます

ここではKibanaについて細かくは説明しません(Kibanaで全部できちゃうもん)

シスログビューワーの画面

シンプルな画面になっています



「検索キーワード」と「検索範囲」に日時を指定します



「SEARCH」を押すとシスログでマッチしたものが表示されます


フィルタに文字列を入力することで、一致したメッセージ行を絞ることができます


検索されたシスログのダウンロードにも対応

ハマったところ

一番メンドウなのは、クラスタシスログ登録です
なんでGUIでできないの?なんで一台しかシスログサーバ登録できないの?などなど


次は、オリジナリティあふれるログコレクターです