- Logstash
- Logstash - 入门示例
- 入门示例 - 下载安装
- 入门示例 - hello world
- 入门示例 - 配置语法
- 入门示例 - plugin的安装
- 入门示例 - 长期运行
- Logstash - 插件配置
- 插件配置 - input配置
- input配置 - file
- input配置 - stdin
- input配置 - syslog
- input配置 - tcp
- 插件配置 - codec配置
- codec配置 - json
- codec配置 - multiline
- codec配置 - collectd
- codec配置 - netflow
- 插件配置 - filter配置
- filter配置 - date
- filter配置 - grok
- filter配置 - dissect
- filter配置 - geoip
- filter配置 - json
- filter配置 - kv
- filter配置 - metrics
- filter配置 - mutate
- filter配置 - ruby
- filter配置 - split
- filter配置 - elapsed
- 插件配置 - output配置
- output配置 - elasticsearch
- output配置 - email
- output配置 - exec
- output配置 - file
- output配置 - nagios
- output配置 - statsd
- output配置 - stdout
- output配置 - tcp
- output配置 - hdfs
- Logstash - 场景示例
- 场景示例 - nginx访问日志
- 场景示例 - nginx错误日志
- 场景示例 - postfix日志
- 场景示例 - ossec日志
- 场景示例 - windows系统日志
- 场景示例 - Java日志
- 场景示例 - MySQL慢查询日志
- Logstash - 性能与测试
- 性能与测试 - generator方式
- 性能与测试 - 监控方案
- 监控方案 - logstash-input-heartbeat方式
- 监控方案 - jmx启动参数方式
- 监控方案 - API方式
- Logstash - 扩展方案
- 扩展方案 - 通过redis传输
- 扩展方案 - 通过kafka传输
- 扩展方案 - AIX 平台上的logstash-forwarder-java
- 扩展方案 - rsyslog
- 扩展方案 - nxlog
- 扩展方案 - heka
- 扩展方案 - fluent
- 扩展方案 - Message::Passing
- Logstash - 源码解析
- 源码解析 - pipeline流程
- 源码解析 - Event的生成
- Logstash - 插件开发
- 插件开发 - utmp插件示例
- Beats
- Beats - filebeat
- Beats - packetbeat网络流量分析
- Beats - metricbeat
- Beats - winlogbeat
- ElasticSearch
- ElasticSearch - 架构原理
- 架构原理 - segment、buffer和translog对实时性的影响
- 架构原理 - segment merge对写入性能的影响
- 架构原理 - routing和replica的读写过程
- 架构原理 - shard的allocate控制
- 架构原理 - 自动发现的配置
- ElasticSearch - 接口使用示例
- 接口使用示例 - 增删改查操作
- 接口使用示例 - 搜索请求
- 接口使用示例 - Painless脚本
- 接口使用示例 - reindex接口
- ElasticSearch - 性能优化
- 性能优化 - bulk提交
- 性能优化 - gateway配置
- 性能优化 - 集群状态维护
- 性能优化 - 缓存
- 性能优化 - fielddata
- 性能优化 - curator工具
- 性能优化 - profile接口
- ElasticSearch - rally测试方案
- ElasticSearch - 多集群互联
- ElasticSearch - 别名的应用
- ElasticSearch - 映射与模板的定制
- ElasticSearch - puppet-elasticsearch模块的使用
- ElasticSearch - 计划内停机升级的操作流程
- ElasticSearch - 镜像备份
- ElasticSearch - rollover和shrink
- ElasticSearch - Ingest节点
- ElasticSearch - Hadoop 集成
- Hadoop 集成 - spark streaming交互
- ElasticSearch - 权限管理
- 权限管理 - Shield
- 权限管理 - Search-Guard 在 Elasticsearch 2.x 上的运用
- ElasticSearch - 监控方案
- 监控方案 - 监控相关接口
- 监控相关接口 - 集群健康状态
- 监控相关接口 - 节点状态
- 监控相关接口 - 索引状态
- 监控相关接口 - 任务管理
- 监控相关接口 - cat 接口的命令行使用
- 监控方案 - 日志记录
- 监控方案 - 实时bigdesk方案
- 监控方案 - cerebro
- 监控方案 - zabbix trapper方案
- ElasticSearch - ES在运维监控领域的其他玩法
- ES在运维监控领域的其他玩法 - percolator接口
- ES在运维监控领域的其他玩法 - watcher报警
- ES在运维监控领域的其他玩法 - ElastAlert
- ES在运维监控领域的其他玩法 - 时序数据库
- ES在运维监控领域的其他玩法 - Grafana
- ES在运维监控领域的其他玩法 - juttle
- ES在运维监控领域的其他玩法 - Etsy的Kale异常检测
- Kibana 5
- Kibana 5 - 安装、配置和运行
- Kibana 5 - 生产环境部署
- Kibana 5 - discover功能
- Kibana 5 - 各visualize功能
- 各visualize功能 - area
- 各visualize功能 - table
- 各visualize功能 - line
- 各visualize功能 - markdown
- 各visualize功能 - metric
- 各visualize功能 - pie
- 各visualize功能 - tile map
- 各visualize功能 - vertical bar
- Kibana 5 - dashboard功能
- Kibana 5 - timelion 介绍
- Kibana 5 - console 介绍
- Kibana 5 - setting功能
- Kibana 5 - 常用sub agg示例
- 常用sub agg示例 - 函数堆栈链分析
- 常用sub agg示例 - 分图统计
- 常用sub agg示例 - TopN的时序趋势图
- 常用sub agg示例 - 响应时间的百分占比趋势图
- 常用sub agg示例 - 响应时间的概率分布在不同时段的相似度对比
- Kibana 5 - 源码解析
- 源码解析 - .kibana索引的数据结构
- 源码解析 - 主页入口
- 源码解析 - discover解析
- 源码解析 - visualize解析
- 源码解析 - dashboard解析
- Kibana 5 - 插件
- 插件 - 可视化开发示例
- 插件 - 后端开发示例
- 插件 - 完整app开发示例
- Kibana 5 - Kibana报表
- 竞品对比
文章来源于网络收集而来,版权归原创者所有,如有侵权请及时联系!
ES在运维监控领域的其他玩法 - juttle
juttle 是一个 nodejs 项目,专注于数据处理和可视化。它自定义了一套自己的 DSL,提供交互式命令行、程序运行、界面访问三种运行方式。
在 juttle 的 DSL 中,可以用 | 管道符串联下列指令实现数据处理:
- 通过 read 指令读取来自 http、file、elasticsearch、graphite、influxdb、opentsdb、mysql 等数据源,
- 通过 filter 指令及自定义的 JavaScript 函数做数据过滤,
- 通过 reduce 指令做数据聚合,
- 通过 join 指令做数据关联,
- 通过 write 指令做数据转储,
- 通过 view 指令做数据可视化。
更关键的,可以用 () 并联同一层级的多条指令进行处理。
看起来非常有意思的项目,赶紧试试吧。
安装部署
既然说了这是一个 nodejs 项目,自然是通过 npm 安装了:
sudo npm install -g juttlesudo npm install -g juttle-engine
注意,如果是在 MacBook 上安装的话,一定要先通过 AppStore 安装好 Xcode 并确认完 license。npm 安装依赖的 sqlite3 的时候没有 xcode 会僵死在那。
juttle 包提供了命令行交互,juttle-engine 包提供了网页访问的服务器。
juttle 的配置文件默认读取位置是 $HOME/.juttle/config.json。比如读取本机 elasticsearch 的数据,那么定义如下:
{"adapters": {"elastic": {"address": "localhost","port": 9200}}}
甚至可以读取多个不同来源的 elasticsearch,这样:
{"adapters": {"elastic": [{"id": "one","address": "localhost","port": 9200}, {"id": "two","address": "localhost","port": 9201}],"influx": {"url": "http://examples_influxdb_1:8086","user": "root","password": "root"}}}
命令行运行示例
配置完成,就可以交互式命令行运行了。终端输入 juttle 回车进入交互界面。我们输入下面一段查询:
juttle> read elastic -id one -index 'logstash-*' -from :1 year ago: -to :now: 'MacBook-Pro' | reduce -every :1h: c = count() by path | filter c > 1000 | put line = 10000 | view table -columnOrder 'time', 'c', 'line', 'path'
输出如下:
┌────────────────────────────────────┬──────────┬──────────┬─────────────────────────────┐│ time │ c │ line │ path │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-02T10:00:00.000Z │ 4392 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-02T11:00:00.000Z │ 4818 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-02T12:00:00.000Z │ 2038 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-02T13:00:00.000Z │ 1826 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-02T15:00:00.000Z │ 10267 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-02T16:00:00.000Z │ 10999 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-02T17:00:00.000Z │ 3528 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-03T00:00:00.000Z │ 2498 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-03T03:00:00.000Z │ 4600 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-03T04:00:00.000Z │ 7751 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-03T05:00:00.000Z │ 3249 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-03T06:00:00.000Z │ 5715 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-03T07:00:00.000Z │ 4374 │ 10000 │ /var/log/system.log │├────────────────────────────────────┼──────────┼──────────┼─────────────────────────────┤│ 2016-03-03T08:00:00.000Z │ 2600 │ 10000 │ /var/log/system.log │└────────────────────────────────────┴──────────┴──────────┴─────────────────────────────┘
漂亮的终端表格!
警告
需要注意的是,juttle 和 es-hadoop 一样,也是通过 RESTful API 和 elasticsearch 交互,所以除了个别已经提前实现好了的 reduce 方法可以转换成 aggregation 以外,其他的 juttle 指令,都是通过 query 把数据拿回来以后,由 juttle 本身做的运算处理。juttle-adapter-elastic 模块的 DEFAULT_FETCH_SIZE 设置是 10000 条。
而比 es-hadoop 更差的是,因为 juttle 是单机程序,它还没有像 es-hadoop 那样并发 partition 直连每个 elasticsearch 的 shard 做并发请求。
juttle-viz 可视化界面
上一小节介绍了一下怎么用 juttle 交互式命令行查看表格式输出。juttle 事实上还提供了一个 web 服务器,做数据可视化效果,这个同样是用 juttle 语言描述配置。
我们已经安装好了 juttle-engine 模块,那么直接启动服务器即可:
~$ juttle-engine -d
然后浏览器打开 http://localhost:8080 就能看到页面了。注意,请使用 Chrome v45 以上版本或者 Safari 等其他浏览器,否则有个 Array 上的 bug。
但是目前这个页面上本身不提供输入框直接写 juttle 语言。所以需要我们把 juttle 语言写成脚本文件,再来通过页面加载。
~$ cat > ~/test.juttle <<EOFread elastic -index 'logstash-*' -from :-2d: -to :now: 'MacBook-Pro'| reduce -every :1h: count() by 'path.raw'| (view timechart -row 0 -col 0;;view table -height 200 -row 1 -col 0;view piechart -row 1 -col 0;);(read elastic -index 'logstash-*' -from :-2d: -to :-1d: 'MacBook-Pro' AND '/var/log/system.log'| reduce -every :1h: count();read elastic -index 'logstash-*' -from :-1d: -to :now: 'MacBook-Pro' AND '/var/log/system.log'| reduce -every :1h: count();)| (view timechart -duration :1 day: -overlayTime true -height 400 -row 0 -col 1 -title 'syslog hour-on-hour';view table -height 200 -row 1 -col 1;);EOF
然后访问 http://localhost:8080?path=/test.juttle,注意这里的path参数的写法,这个/其实指的是你运行 juttle-engine 命令的时候的路径,而不是真的设备根目录。
就可以在浏览器上看到如下效果:
页面上还有一行有关 path.raw 的 WARNING 提示,那是因为 juttle 目前对 elasticsearch 的 mapping 解析支持的不是很好,但是不影响使用,可以不用管。
可视化相关指令介绍
我们可以看到这次的 juttle 脚本,跟昨天在命令行下运行的几个区别:
- 我们用上了
(),这是 juttle 的一大特技,对同一结果并联多个 view ,或者并联多个输入结果做相同的后续处理等等。 - 我们对 view 用上了
row和col参数,用来指定他们在页面上的布局。 - 有一个
timechart我们用了-durat :1d: -overlayTime true参数。这是timechart独有的参数,专门用来实现同比环比的。在图上的效果大家也可以看到了。不过目前也有小问题,就是鼠标放到图上的时候,只能看到第二个结果的指标说明,看不到第一个的。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论