首页 文章 精选 留言 我的

基于AWS-ELK部署系统日志告警系统

2018-04-29 551

前言

运维故障排障速度往往与监控系统体系颗粒度成正比,监控到位才能快速排障

在部署这套系统之前,平台所有系统日志都由Graylog+Zabbix,针对日志出现的错误关键字进行告警,这种做法在运维工作开展过程中暴露出多个不足点,不详述;在考虑多方面原因后,最终对日志告警系统进行更换,选用的方案是:ELK + Kafka+ Filebeat + Elastalert

本文主要以两个需求为主轴做介绍

  • 非工作时间服务器异常登录告警
  • 系统日志出现错误关键字告警

架构

架构图

服务选型

name version info
Amazon Elasticsearch Service v6.2 AWK官网部署教程
Logstash v6.2.3 选用与ES相同版本
Filebeat v6.2.3 选用与ES相同版本
Confluent(Kafka) v4.0 这里推荐 Confluent 的版本,Confluent 是 kafka 作者 Neha Narkhede 从 Linkedin 出来之后联合 LinkedIn 前员工创建的大数据公司,专注于 kafka 的企业应用。
Elastalert v0.1.29 原先考虑采用X-Pack但由于AWS目前还不支持

部署

本文采用的操作系统 :CentOS release 6.6

Filebeat

# 下载源
$ curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.3-x86_64.rpm

# 安装
$ sudo rpm -vi filebeat-6.2.3-x86_64.rpm

Logstash

# 导入Yum源
$ rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
$ cat <<EOF > /etc/yum.repos.d/logstash.repo
[logstash-6.x]
name=Elastic repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

# 安装
yum install logstash -y

Elastalert

# pip直接安装
$ pip install elastalert

# 如果出现依赖包报错,以下为常用开发所需依赖包
$ yum install -y zlib openssl openssl-devel gcc gcc-c++ Xvfb libXfont Xorg libffi libffi-devel python-cffi python-devel libxslt-devel libxml2-devel zlib-devel bzip2-devel xz-libs wget

配置

Filebeat
/etc/filebeat/filebeat.yml

filebeat.config:
  prospectors:
    path: /etc/filebeat/conf/*.yml
    reload.enabled: true
    reload.period: 10s

output.kafka:
  # kafkaNode为Kafaka服务所在服务器 
  hosts: ["kafkaNode:9092"]

  # 索引取fields.out_topic
  topic: "%{[fields][out_topic]}"
  partition.round_robin:
    reachable_only: false

/etc/filebeat/conf/base.yml


# 收集系统日志
- type: log
  paths: 
    - /var/log/messages
    - /var/log/syslog*
  exclude_files: [".gz$"]
  exclude_lines: ["ssh_host_dsa_key"]
  tags: ["system_log"]
  scan_frequency: 1s
  fields:
    # 新增字段用于辨别来源客户端
    server_name: client01

    # 索引
    out_topic: "system_log"
  multiline:
    pattern: "^\\s"
    match: after

# 收集登录日志
- type: log
  paths:
    - /var/log/secure*
    - /var/log/auth.log*
  tags: ["system_secure"]
  exclude_files: [".gz$"]
  scan_frequency: 1s
  fields:
    server_name: client01
    out_topic: "system_secure"
  multiline:
    pattern: "^\\s"
    match: after

Logstash

/etc/logstash/conf.d/system_log.conf 

input {
    kafka {
        bootstrap_servers => "kafkaNode:9092"
        consumer_threads => 3
        topics => ["system_log"]
        auto_offset_reset => "latest"
        codec => "json"
    }
}

filter {

    # 排除logstash日志
    if [source] == "/var/log/logstash-stdout.log" {
        drop {}
    }

    if [fields][out_topic] == "system_log" {
        date {match => [ "[system][syslog][timestamp]", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]}
        grok {
            match => { "message" => ["%{SYSLOGTIMESTAMP:[system][syslog][timestamp]} %{SYSLOGHOST:[system][syslog][hostname]} %{DATA:[system][syslog][program]}(?:\[%{POSINT:[system][syslog][pid]}\])?: %{GREEDYMULTILINE:[system][syslog][message]}"] }
            pattern_definitions => { "GREEDYMULTILINE" => "(.|\n)*" }
            remove_field => "message"
        }
    }
}

output {
        elasticsearch {
            hosts => ["<亚马逊ES地址>"]
            index => "%{[fields][out_topic]}_%{+YYYYMMdd}"
            document_type => "%{[@metadata][type]}"
        }
}

/etc/logstash/conf.d/secure_log.conf

input {
    kafka {
        bootstrap_servers => "kafkaNode:9092"
        consumer_threads => 3
        topics => ["system_secure"]
        auto_offset_reset => "latest"
        codec => "json"
    }
}

filter {
    if [fields][out_topic] == "system_secure" {
        grok {
          match => { "message" => ["%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} sshd(?:\[%{POSINT:[system][auth][pid]}\])?: %{DATA:[system][auth][ssh][event]} %{DATA:[system][auth][ssh][method]} for (invalid user )?%{DATA:[system][auth][user]} from %{IPORHOST:[system][auth][ssh][ip]} port %{NUMBER:[system][auth][ssh][port]} ssh2(: %{GREEDYDATA:[system][auth][ssh][signature]})?",
                   "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} sshd(?:\[%{POSINT:[system][auth][pid]}\])?: %{DATA:[system][auth][ssh][event]} user %{DATA:[system][auth][user]} from %{IPORHOST:[system][auth][ssh][ip]}",
                   "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} sshd(?:\[%{POSINT:[system][auth][pid]}\])?: Did not receive identification string from %{IPORHOST:[system][auth][ssh][dropped_ip]}",
                   "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} sudo(?:\[%{POSINT:[system][auth][pid]}\])?: \s*%{DATA:[system][auth][user]} :( %{DATA:[system][auth][sudo][error]} ;)? TTY=%{DATA:[system][auth][sudo][tty]} ; PWD=%{DATA:[system][auth][sudo][pwd]} ; USER=%{DATA:[system][auth][sudo][user]} ; COMMAND=%{GREEDYDATA:[system][auth][sudo][command]}",
                   "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} groupadd(?:\[%{POSINT:[system][auth][pid]}\])?: new group: name=%{DATA:system.auth.groupadd.name}, GID=%{NUMBER:system.auth.groupadd.gid}",
                   "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} useradd(?:\[%{POSINT:[system][auth][pid]}\])?: new user: name=%{DATA:[system][auth][user][add][name]}, UID=%{NUMBER:[system][auth][user][add][uid]}, GID=%{NUMBER:[system][auth][user][add][gid]}, home=%{DATA:[system][auth][user][add][home]}, shell=%{DATA:[system][auth][user][add][shell]}$",
                   "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} %{DATA:[system][auth][program]}(?:\[%{POSINT:[system][auth][pid]}\])?: %{GREEDYMULTILINE:[system][auth][message]}"] }
        pattern_definitions => {"GREEDYMULTILINE"=> "(.|\n)*"}
        remove_field => "message"
        }
    }
}

output {
        elasticsearch {
            hosts => ["<亚马逊ES地址>"]
            index => "%{[fields][out_topic]}_%{+YYYYMMdd}"
            document_type => "%{[@metadata][type]}"
        }
}

Kafka


# 导入
rpm --import https://packages.confluent.io/rpm/4.0/archive.key

cat <<EOF > /etc/yum.repos.d/confluent.repo
[Confluent.dist]
name=Confluent repository (dist)
baseurl=https://packages.confluent.io/rpm/4.0/6
gpgcheck=1
gpgkey=https://packages.confluent.io/rpm/4.0/archive.key
enabled=1

[Confluent]
name=Confluent repository
baseurl=https://packages.confluent.io/rpm/4.0
gpgcheck=1
gpgkey=https://packages.confluent.io/rpm/4.0/archive.key
enabled=1
EOF

yum install confluent-platform-oss-2.11

Elastalert

Elastalert可以部署到任何一台能够读取到ES的服务器上;配置文件中modules.eagle_post.EagleAlerter blacklist_v2经过修改,后面会介绍到

rules/system_log.yaml

es_host: <亚马逊ES地址>
es_port: 80
name: system log rule
type: blacklist_v2
index: system_log*
timeframe:
    minutes: 1

# 监控key
compare_key: system.syslog.message

# 出现下面任意关键字将告警,按需添加
blacklist_v2:
  - "ERROR"
  - "error"

alert: "modules.eagle_post.EagleAlerter"
eagle_post_url: "<eagle>"
eagle_post_all_values: False
eagle_post_payload:
  server: "fields.server_name"
  info: "system.syslog.message"
  source: "source"

rules/system_log.yaml

es_host: <亚马逊ES地址>
es_port: 80
name: system secure rule
type: frequency
index: system_secure*
num_events: 1
timeframe:
    minutes: 1
filter:
- query:
    wildcard:
       system.auth.user : "*"
alert: "modules.eagle_post.EagleAlerter"
eagle_post_url: "<eagle>"
eagle_post_all_values: False

# 非工作时间
eagle_time_start: "09:00"
eagle_time_end: "18:00"
eagle_post_payload:
  user: "system.auth.user"
  server: "fields.server_name"
  ip: "system.auth.ssh.ip"
  event: "system.auth.ssh.event"

Elastalert

自定义typealert

为了能够将告警接入到Eagle(自研统一接口平台)在尝试使用http_post做告警类型过程中,发现无法传入ES结果作为POST参数,所以对其进行简单修改,新增类型,实现能够无缝接入Eagle

Alert

moudules/eagle_post.py

将文件夹保存到site-packages/elastalert

import json
import requests
import dateutil.parser
import datetime
from elastalert.alerts import Alerter
from elastalert.util import EAException
from elastalert.util import elastalert_logger
from elastalert.util import lookup_es_key

class EagleAlerter(Alerter):
    def __init__(self, rule):
        super(EagleAlerter, self).__init__(rule)

        # 设定时间有效范围
        self.post_time_start = self.rule.get('eagle_time_start','00:00')
        self.post_time_end = self.rule.get('eagle_time_end','00:00')

        # post链接
        self.post_url = self.rule.get('eagle_post_url','')
        self.post_payload = self.rule.get('eagle_post_payload', {})
        self.post_static_payload = self.rule.get('eagle_post_static_payload', {})
        self.post_all_values = self.rule.get('eagle_post_all_values', False)
        self.post_lock = False

    def alert(self, matches):
        if not self.post_url:
            elastalert_logger.info('Please input eagle url!')
            return False

        for match in matches:

            # 获取所有payload
            payload = match if self.post_all_values else {}

            # 构建字典
            for post_key, es_key in self.post_payload.items():
                payload[post_key] = lookup_es_key(match, es_key)

            # 获取当前时间
            login_time = datetime.datetime.now().time()

            # 获取时间限制
            time_start = dateutil.parser.parse(self.post_time_start).time()
            time_end =  dateutil.parser.parse(self.post_time_end).time()

            # 如果在时间范围内,将不做告警
            self.post_lock = False if login_time > time_start and \
                                login_time < time_end else True

            # 合并两种类型payload
            data = self.post_static_payload
            data.update(payload)

            # 发送告警
            if self.post_lock:
                myRequests = requests.Session()
                myRequests.post(url=self.post_url,data=data,verify=False)
                elastalert_logger.info("[-] eagle alert sent.")
            else:
                elastalert_logger.info("[*] nothing to do.")
    def get_info(self):
        return {'type': 'http_post'}

type

在使用blaklist过程发现改类型是全匹配,为了方便编写配置文件,所以对其做了简单修改

elastalert/ruletypes.py

# 新增

class BlacklistV2Rule(CompareRule):
    required_options = frozenset(['compare_key', 'blacklist_v2'])

    def __init__(self, rules, args=None):
        super(BlacklistV2Rule, self).__init__(rules, args=None)
        self.expand_entries('blacklist_v2')

    def compare(self, event):
        term = lookup_es_key(event, self.rules['compare_key'])

        # 循环配置文件, 这种做法对性能有一定的损耗,在没找到更合适的解决方案前,就采取这种方式
        for i in self.rules['blacklist_v2']:
            if i in term:
                return True 
        return False

elastalert/config.py

# 新增
rules_mapping = {
    'frequency': ruletypes.FrequencyRule,
    'any': ruletypes.AnyRule,
    'spike': ruletypes.SpikeRule,
    'blacklist': ruletypes.BlacklistRule,
    'blacklist_v2': ruletypes.BlacklistV2Rule,
    'whitelist': ruletypes.WhitelistRule,
    'change': ruletypes.ChangeRule,
    'flatline': ruletypes.FlatlineRule,
    'new_term': ruletypes.NewTermsRule,
    'cardinality': ruletypes.CardinalityRule,
    'metric_aggregation': ruletypes.MetricAggregationRule,
    'percentage_match': ruletypes.PercentageMatchRule,
}

elastalert/schema.yaml

# 新增

  - title: BlacklistV2
    required: [blacklist_v2, compare_key]
    properties:
      type: {enum: [blacklist_v2]}
      compare_key: {'items': {'type': 'string'},'type': ['string', 'array']}
      blacklist: {type: array, items: {type: string}}

打进Docker

做了个简单DockerFile做参考

FROM python:2.7-alpine
ENV SITE_PACKAGES /usr/local/lib/python2.7/site-packages/elastalert
WORKDIR /opt/elastalert

RUN apk update &&     apk add gcc ca-certificates openssl-dev openssl libffi-dev  gcc musl-dev tzdata openntpd && \ 
    pip install elastalert && cp -rf /usr/share/zoneinfo/Asia/Taipei /etc/localtime
COPY ./ /opt/elastalert
CMD ["/opt/elastalert/start.sh"]

start.sh

#!/bin/sh
SITE_PATH=/usr/local/lib/python2.7/site-packages/elastalert
CONFIG=/opt/elastalert/config/config.yaml
MODULES=/opt/elastalert/modules

if [ -n "${MODULES}" ]
then
    \cp -rf ${MODULES}  ${SITE_PATH}
    echo "[-] Copy ${MODULES} to ${SITE_PATH}"
fi

\cp -rf elastalert/* ${SITE_PATH}/
echo "[-] Copy elastalert/* to ${SITE_PATH}"
python -m elastalert.elastalert --verbose  --config ${CONFIG}

基础工作准备就绪,加入Bee容器管理平台完成自动构建。

实现效果

效果图

碰到的坑

Zookeeper

问题描述

老版Kafaka依赖Zookeeper,默认安装时注册地址为:localhost,导致问题的现象:

filebeat错误日志

2018-04-25T09:14:55.590+0800    INFO    kafka/log.go:36    client/metadata fetching metadata for [[[system_log] kafkaNode:9092]] from broker %!s(MISSING)

2018-04-25T09:14:55.591+0800    INFO    kafka/log.go:36    producer/broker/[[0]] starting up

2018-04-25T09:14:55.591+0800    INFO    kafka/log.go:36    producer/broker/[[0 %!d(string=system_log) 0]] state change to [open] on %!s(MISSING)/%!d(MISSING)

2018-04-25T09:14:55.591+0800    INFO    kafka/log.go:36    producer/leader/[[system_log %!s(int32=0) %!s(int32=0)]]/%!d(MISSING) selected broker %!d(MISSING)

2018-04-25T09:14:55.591+0800    INFO    kafka/log.go:36    producer/leader/[[system_secure %!s(int32=0) %!s(int=3)]]/%!d(MISSING) state change to [retrying-%!d(MISSING)]

2018-04-25T09:14:55.591+0800    INFO    kafka/log.go:36    producer/leader/[[system_secure %!s(int32=0) %!s(int32=0)]]/%!d(MISSING) abandoning broker %!d(MISSING)

2018-04-25T09:14:55.592+0800    INFO    kafka/log.go:36    producer/broker/[[0]] shut down

2018-04-25T09:14:55.592+0800    INFO    kafka/log.go:36    Failed to connect to broker [[localhost:9092 dial tcp [::1]:9092: getsockopt: connection refused]]: %!s(MISSING)

日志出现两个地址,一个是kafka地址,另外出现一个localhost地址。
这是因为filebeat已经跟kafaka建立了连接,但是从kafakazookeeper这一段找不到

解决方法

# get /brokers/ids/0 
{"listener_security_protocol_map":{"PLAINTEXT":"PLAINTEXT"},"endpoints":["PLAINTEXT://localhost:9092"],"jmx_port":-1,"host":"localhost","timestamp":"1523429158364","port":9092,"version":4}
cZxid = 0x1d
ctime = Wed Apr 11 14:45:58 CST 2018
mZxid = 0x1d
mtime = Wed Apr 11 14:45:58 CST 2018
pZxid = 0x1d
cversion = 0
dataVersion = 0
aclVersion = 0
ephemeralOwner = 0x162b374170d0000
dataLength = 188
numChildren = 0

# 发现注册地址是localhost,修改之
set /brokers/ids/0  {"listener_security_protocol_map":{"PLAINTEXT":"PLAINTEXT"},"endpoints":["PLAINTEXT://kafkaNode:9092"],"jmx_port":9999,"host":"kafkaNode","timestamp":"1523429158364","port":9092,"version":4}

修改完重启,问题解决。

博文链接:http://a-cat.cn/2018/04/29/aws-elk/

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://blog.51cto.com/maoyao/2109147

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

一次与sql注入 & webshell 的美丽“邂逅”

引言  一波未平,一波又起。金融公司的业务实在是太引人耳目,何况我们公司的业处正处于风口之上(区块链金融),并且每天有大量现金交易,所以不知道有多少躲在暗处一直在盯着你的系统,让你防不胜防,并且想方设法的找到突破点,以达到的目的来获取非法利益。 俗话说:“道高一尺,魔高一丈”。系统和代码也可以这么理解,防的在好,总有漏洞。系统和代码也没有绝对的安全。该来的总会来...... sql注入与“她”相遇 某一天,天气晴朗,心情舒畅。“她”来了,打破了笔者的美好时光。下午2点多钟,笔者和朋友在苏州街的天使汇二楼极客咖啡参加某个云厂商的Kubernetes一场技术沙龙,正听得兴致勃勃的时候,笔者的公司群里有个php开发突然帖出一张图:  这个时候,群里翻腾了。没错,被SQL注入了,数据库的表被注入了字段,并且经检查后,发现这个库中的大部分表都被注入了这个字段。我的电脑没带在身边,真是着急,马上跟总监说明问题严重性。由于我电脑不在身边, 只能把数据库账号授权(读写权限)给那个php开发,让他检查所有的表,把被注入的字段删除掉。并查看数据和其它表有没有被修改。好在发现急时,数据和业务都没有被丢失和损...
2018-04-27
656
上一篇

spring boot + shiro 动态更新用户信息

spring boot + shiro 动态更新用户信息 场景 用户A在线,管理员在后台更改了用户A信息(资料或权限)之后;用户A再进行下一步操作时,会被拦截并退出登录状态,再登录才可以执行操作;来确保用户A的信息同步更新。 后台权限管理系统 技术实现 前篇: spring boot + mybatis + layui + shiro后台权限管理系统:https://blog.51cto.com/wyait/2082803 springboot + shiro之登录人数限制、登录判断重定向、session时间设置:https://blog.51cto.com/wyait/2107423 基于前篇,新增功能: 新增用户表版本version字段; 更新用户操作时,通过version字段来保证数据一致; 新增通过拦截器实现动态更新用户信息(用户资料、用户权限); 新增登录成功后默认页面home.html; 页面操作细节优化 wyait-manage、wyait-manage-1.2.0源码都更新了以上功能! 以及新增了springboot项目,开发和线上jdk版本不一致导致项目无法启动、无法...
2018-05-03
635
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2025-12-12 大小: 211.28KB 下载: 54次
Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

时间: 2025-12-21 大小: 189MB 下载: 2次
Rocky Linux

Rocky Linux

Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。

时间: 2026-01-03 大小: 1.42GB 下载: 2次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
Gemini3 Jdk25 Kubernetes SpringCloud Service Mesh Nacos3 OpenAi Rocky Redis Docker DeepSeek SpringBoot4 HarmonyOS6

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册