Как группировать журналы по «начальной точке» среди распределенной системы

Question

У меня есть распределенная система с множеством машин, каждая машина производит журналы и может вызывать услуги на других машинах (которые также создают журналы).

Я использую централизованную службу журнала (Logentries), и то, что у меня есть это:

12:00:00 Server1 apache log 
12:00:01 Server1 application log 
12:00:01 Server1 apache log 
12:00:02 Server2 Some service log 
12:00:02 Server1 application log 
12:00:03 Server2 Some service log 

но то, что я действительно хочу это:

12:00:00 Server1 apache 
12:00:01 Server1 application log 
12:00:02 Server2 Some service log 

12:00:01 Server1 apache 
12:00:02 Server1 application log 
12:00:03 Server2 Some service log 

Эти журналы сгруппированы по начальная точка (журнал Apache).

Есть любое решение для этого? Я могу остановить использование logentries и использовать другие Log Management SaaS.

Answer 1

У вас нет этой информации в журналах, поэтому вы не можете ее группировать. Вы можете сгенерировать идентификатор, возможно, GUID и записать его вместе с любым другим сообщением. Таким образом, вы знаете путь выполнения.

Я не уверен, как ваши журналы отправляются в централизованную систему, но если вы асинхронно, вам также необходимо предоставить его logical clock (lamport clock), если вы переходите между разными экземплярами и службами, потому что порядок, в котором они Прибытие на центральный сервер может измениться.

Answer 2

Это можно легко сделать, используя стек ELK, который выходит из коробки с сильными возможностями аналитики. Вы можете установить его самостоятельно из github или использовать ELK-as-a-service из Logz.io (отказ от ответственности: я работаю для Logz.io).

На главной странице поиска вы можете просто отсортировать события по хосту. Это создаст желаемый результат.

Answer 3

Splunk Storm and Loggly - это облачные централизованные сервисы SaaS для регистрации. Причины перехода к такому решению одинаковы для обоих:

• Посмотрите все ваши журналы на том же месте.
• не терять журналы, когда ваши серверы закрываются.
• иметь возможность поискать журналы.
• тратить время на разработку собственного продукта вместо решения для управления журналом.

Из моего собственного исследования этих видов продукции:

• Splunk Сторм обеспечивает специализированные аппаратные в облаке. Логги действительно многопользовательские.
• Loggly позволяет вам выбрать период хранения учетной записи. Splunk Storm этого не делает.
• Временная всплеск в ваших собственных данных журнала замедлит вашу индексацию в Splunk Storm. Ловушка другого клиента замедлит вашу индексацию в Loggly.

Почему я не выбрал бы одну из них:

• Нет Пользовательские сохранение
• Все ваши данные в одном месте (продают фьючерсы около приборных панелей, нескольких продуктов и т.д.)
• Ни один install

Отказ от ответственности: Я работаю на OpsBunker Lumberjack. Мы выпускаем нашу BETA в конце этого года. Я бы посоветовал вам прийти на наш сайт @ www.opsbunker.com, чтобы узнать больше о различиях, а также о том, что мы строим.