我的安裝食譜 – 第 2 頁

ElasticSearch Auto Build With Docker

By paul | 2018-03-26 | Comments 0 Comment

近日因為大數據寫入與分析應用需求的關系

需要大量的使用到ElasticSearch

然而，每次在不同的環境要佈署ELK並配置不同的node來達到Sharding的效果的工作覺得繁瑣

因此手刻了一些半自動化部署Elasticsearch的Cluster的機制(同一台主機，不同的Docker)，不同台需要參考使用Docker Swarn

以下是相關Shell Script操作，相關步驟如下：

0.設定相關的環境變數，例如java memory, elasticsearch version

1.詢問要建立的容器名稱

2.詢問export的port名稱(有2組，通常為9200、9300)

3.動態建立容器網路(若容器放在同一個網路下無綁定方向問題問題)

4.動態建立cluster的目錄(容器名稱會建立在此目錄下再建立對應容器的目錄)與相關config/esdatadir、log、data目錄，並設立權限

5.動態從版控取得對應的ElasticSearch的config，也可以自行改成放在某個統一位置取得 (網址：http://xxx.xxx.xxx.xxx:yyyy是git的位置)

6. sudo sysctl -w vm.max_map_count=262144(這句不知為什麼一定要執行..java環境才起的來)

7.啟動Docker(並結合相關參數)

#!/bin/bash


sudo docker ps -a
read -p "Enter your elasticsearch container_name(eg. es1, es2): " p_container_name

container_name=$p_container_name
java_memory="2g"
es_version="5.6.6"

read -p "Enter your elasticsearch container_name default export port1(eg. 9200, 9201, 9202): " port1

export_port1=$port1

read -p "Enter your elasticsearch container_name default export port1(eg. 9300, 9301, 9302): " port2
export_port2=$port2

network_name="es_net"

if [ ! "$(sudo docker network ls |grep $network_name)" ]; then
  sudo docker network create "$network_name"
  echo "network created!"
else
  sudo docker network ls | grep "$network_name"
  echo "network $network_name already exist!"
fi

echo "continue..."

DIRECTORY="es_cluster"

sudo cd /mnt

if [ ! -d "$DIRECTORY" ]; then
  sudo mkdir "$DIRECTORY"
fi

cd es_cluster
sudo mkdir "$container_name"
cd "$container_name"

echo "$container_name folder created!"

sudo git init
sudo git remote add origin "http://xxx.xxx.xxx.xxx:yyyy/scm/mes/elasticsearch.git"
sudo git pull origin master
sudo mkdir config/scripts
sudo mkdir esdatadir
cd esdatadir
sudo mkdir log
sudo mkdir data
sudo chmod 777 /mnt/es_cluster/$container_name/esdatadir/*
sudo chmod 777 /mnt/es_cluster/$container_name/config/scripts

echo "$container_name configuration setting done!"

cd /mnt/es_cluster/$container_name

sudo sysctl -w vm.max_map_count=262144

sudo docker run -d -v "/mnt/es_cluster/$container_name/esdatadir/data":/var/lib/elasticsearch \
 -v "/mnt/es_cluster/$container_name/esdatadir/log":/var/log/elasticsearch \
 -v "/mnt/es_cluster/$container_name/config":/usr/share/elasticsearch/config \
 -p "$export_port1:9200" -p "$export_port2:9300" --name $container_name -e "bootstrap.memory_lock=true" \
 -e ES_JAVA_OPTS="-Xms$java_memory -Xmx$java_memory" --ulimit memlock=-1:-1 \
 --restart always \
 --net "$network_name" \
 elasticsearch:$es_version

echo "$container_name docker container up done!"

結合docker swarm 建置ElasticSearch Cluster

By paul | 2018-01-26 | Comments 0 Comment

最近因為有要整合ELK方案的需求，因此又再度接觸了這個曾經相當熟悉的工具，還記得那個時候(也才1年多前)，還是在2.x版左右，kibana的介面還是長這個樣子的時候。

在先前的公司，有平台團隊專門架設這個服務提供RD團隊整合使用，對於使用是絲毫不陌生，但是建置卻完全沒有經驗。沒想到現在已經轉眼間來到了6.1版本，介面跟架構看起來調整的更鮮艷與簡潔(？)，我知道ELK目前在windows上面仍然是有一鍵安裝的版本。對於開發要測試的需求上已經相當足夠(連結)，但因為我們目前對外主機主要都是CentOS，因此我這次預計實作如下：

假設我有2台CentOS主機的情境下(一台稱為A Host, 一台稱作B Host)，如何透過各別安裝elasticsearch的docker 容器，來串連成elasticsearch 的集群。

同一台的多個容器理論上是相對簡單的，而這邊會遇到的問題，主要的關鍵就是如何解決跨主機間docker容器的通信問題，網路架構也通常都是應用程式間管控較為複雜的一個部分

這邊我打算採用Docker Swarm，Swarm為Docker自行開發的容器調度工具，其中的跨主機建立overlay網路功能看起來是非常符合我的情境需求，由於是Docker平台內建工具，看起來並不需要額外的安裝與學習，因此我先從這套工具開始著手，至於關於其他容器調度工具還包含了，Kubernetes、Mesos等。甚至現在的顯學看起來是Kubernetes(k8s)，有許多的討論也直指要如何決定該採用哪種方案。

目前看到這一篇(連結)是相對從各面向都有討論到，有興趣的可以看看

Docker swarm的架構圖(來自Docker官網)

從docker 1.9版開始，DockerSwarm已經是內建工具，因此透過以下指令，就可以將主機宣告成DockerSwarm的Manager主機(第一台總是master嘛)

sudo docker swarm init

若有成功啟動DockerSwarm的話，會提示以下訊息

docker swarm join –token SWMTKN-1-5wsc3yya3e87w2e84jkzbpieubpxr9v6qwnbj87m6t2ynv7kxm-8q5amih216368atw8adklx24f %A Host IP%:2377

這個hint很明顯就是我們可以在其他的Host(稱作Worker)，透過以上指令來加入到Manager下的叢集中。同時他是透過A Host的2377 Port來進行串連

但假如希望建立起來的Swarm使用其他Port的話，我們可以使用以下指令來做

docker swarm init –advertise-addr=%A Host IP% –listen-addr %A Host IP%:2377

所以我們也可以使用這句語法檢查，是否有啟動了這兩個Port

sudo netstat -nap | grep ^tcp.*dockerd

正常應該會列出對應的2377與7946

tcp6 0 0 :::7946 :::* LISTEN 28184/dockerd
tcp6 0 0 :::2377 :::* LISTEN 28184/dockerd

接著我們在B Host上，輸入剛剛建立完swarm manager 所提示的加入語法

docker swarm join –token SWMTKN-1-5wsc3yya3e87w2e84jkzbpieubpxr9v6qwnbj87m6t2ynv7kxm-8q5amih216368atw8adklx24f %A Host IP%:2377

在這邊若有無法加入的情況的話，可以往防火牆先檢查，若是防火牆確定有通(telnet看看)，那我這邊有遇到原本怎樣都加入不了，但是重開機、重啟docker後，就可以加入的情況。

若Worker成功加入Swarm的話，我們可以在A Host輸入以下指令確認是否節點都完整

docker node ls

既然A-B Host已經加入了同一個網路架構，接著就是建立覆疊網路

sudo docker network create –driver overlay –attachable es_net

註：這邊–attachable 若後續要透過run 語法加入指定網路的話，參數一定要加，是不是Docker Compose就不用加，我不確定

成功建立overlay網路後，我們就可以透過以下指令看到我們的網路已經被建立起來，SCOPE是顯示swarm , Driver是顯示overlay

sudo docker network ls

現在網路架構已經看似完成，接著我們來準備Elasticsearh的服務配置吧

這邊我寫了一個腳本來自動建立elasticsearch的相關目錄，目前只要elasticsearch會異動到的檔案目錄權限要開啟來，否則之後容器啟動後，會有權限例外產生：

腳本中改777的部分都是因為遇到所以加上去的，可以自行改成合適的權限配置。

sudo cd /mnt
sudo mkdir elasticsearch
cd elasticsearch
sudo git init
sudo git remote add origin "http://git server ip/scm/mes/elasticsearch.git"
sudo git pull origin master
sudo mkdir config/scripts
sudo mkdir esdatadir
cd esdatadir
sudo mkdir log
sudo mkdir data
sudo chmod 777 /mnt/elasticsearch/esdatadir/*
sudo chmod 777 /mnt/elasticsearch/config/scripts

cd /mnt/elasticsearch

config下的檔案，因為A, B Host各自擁有自己的獨立硬碟，因此我假設他們的環境配置應該都一致，jvm.options、log4j2.properties、檔案都一樣，只有Elasticsearch的yml檔會有些許差異：

path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
cluster.name: meso_es_cluster1
node.master: true #if worker then mark it
node.name: ${HOSTNAME}
network.host: 0.0.0.0
discovery.zen.ping.unicast.hosts: ["A HOST IP", "B HOST IP"]

以上都完成以後，就是來啟動Docker 容器的時候了，以A Host為例，啟動語法如下，B Host只是改–name成es2

sudo docker run -d -v /mnt/elasticsearch/esdatadir/data:/var/lib/elasticsearch -v /mnt/elasticsearch/esdatadir/log:/var/log/elasticsearch -v /mnt/elasticsearch/config:/usr/share/elasticsearch/config -p 9200:9200 -p 9300:9300 --net=es_net --name es1 --security-opt seccomp=unconfined -e "bootstrap.memory_lock=true" -e ES_JAVA_OPTS="-Xms1g -Xmx1g" --ulimit memlock=-1:-1 elasticsearch:5.6.6

分別執行後，我們可以看到docker ps 下是否狀態是正常在up的。

補充說明，啟動es容器時，我曾經發現會有以下的錯誤訊息：max virtual memory areas vm.max_map_count [65530] is too low(請透過docker logs查看)

這個問題若資源分配問題的話，可以透過以下指令解決：

sudo sysctl -w vm.max_map_count=262144

但我也有一個疑問，logs是記錄容器內部的jvm的錯誤，但是我是在容器外部下語法可解決，這個原因我確實不清楚就是了..

若都是正常，我們可以透過elasticsearch的Api來檢查我們的es cluster是否有正常運作起來

從瀏覽器輸入A Host IP:9200，會返回相關json資訊，若是如下，我們可以認定cluster有啟動，而且服務版本正確，

可以看到name的部分，就正是各別主機上Docker 容器的name，而cluster_name因為配置所以會一致、而若有正確加入的話，cluster_uuid必須要一致
註：我在實作的時候，就一直遇到B Host啟動的起來，但是他無法加入cluster，所以cluster_uuid一直顯示為_na_，後來竟然是整個docker服務重啟就好了，這個羅生門，讓我相信3R的救命招(Recycle, Reset, Reboot)，測試期間，也可以透過docker exec -it B HOST Container IP ping -c 3 A_Host_IP來看看是否可以透過容器內解析出跨主機的另一個同網路下的容器名稱

如何觀察Elasticsearch的Cluster狀態呢？具瞭解在es 2.x版本的時候，有一套es的plugin，叫作kopf，是拿來可以直接透過es api來監控es服務的工具

後來5.x版以後，發現plugin功能被拔掉了，取而代之是獨立的”cerebro“套件可以達成完全一樣的功能，看來是同個作者寫的。

介面如下

只要在Node Address輸入A Host es容器名稱:9200(注意容器互連必須透過容器名稱，而不能只是ip)，就可以看到以下的dashboard，相當的方便，除了可以即時監控Node的資源使用狀況，也可以看到目前的index數量與使用狀況、空間

cerebro 這邊，只需要透過以下指令，就可以啟動：

sudo docker run -d -p 9000:9000 –name cerebro –net es_net yannart/cerebro:latest

同場加映Kibana 5.6.6的啟動指令

sudo docker run –name meso-kibana –link es1:elasticsearch –net es_net -p 5601:5601 -d kibana:5.6.6

透過A Host IP:5601啟用Kibana後，就可加入已經自定好的Index pattern來使用囉

將你的Nodejs React Web App Docker化

By paul | 2018-01-08 | Comments 0 Comment

假設目前已選用React的框架，我試驗的這套名叫https://github.com/zuiidea/antd-admin

方案目錄結構如下：

主要react程式都放在src的目錄下

node_modules是在npm install的時候，才會把相依套件安裝在這個目錄裡面

以下步驟的目的主要是希望啟動一個node.js 的web server，將我們的react web啟動後，可以透過外部編修程式來除錯與開發

production環境，不需要另外開放目錄了，而且依正常nodejs 的production build，就也編譯好了，所以不會因為src的code異動而影響！

1.在webapp的根目錄，建立DockerFile (touch Dockerfile)

# You should always specify a full version here to ensure all of your developers
# are running the same version of Node.
FROM node:7.8.0

# Override the base log level (info).
ENV NPM_CONFIG_LOGLEVEL warn

# Install and configure `serve`.
RUN npm install -g serve
CMD serve -s build
EXPOSE 8000

# Install all dependencies of the current project.
COPY package.json /node-app/package.json
#COPY npm-shrinkwrap.json npm-shrinkwrap.json
# The -g switch installs the Express Generator globally on your machine so you can run it from anywhere.
RUN cd /node-app;npm install

# Copy all local files into the image.
COPY . /node-app

# Build for production. 正式機時，要解除註解重建images，不然會大大影響效能
# RUN cd /node-app; npm run build

2. 建立Docker Images

docker build -t react-test-docker .

3. 啟動Docker Container(註，因為沒有標記production build，所以要指定start的路徑，start後，要加上prefix參數，指定你的web app目錄)

sudo docker run -d \

           -v /mnt/nodejs-app/mesodashboard/antd-admin-dashboard/src:/node-app/src \

           -p 8000:8000 \

        –name react-test-server \

           react-test-docker \

           npm start --prefix /node-app

[記錄] python 3.x版安裝在CentOS 7(與python2.7併存)與安裝python虛擬環境

By paul | 2017-10-15 | Comments 0 Comment

最近常常在多個環境中要建置python多版本相容的環境，主因是我們的專案是3.5版，但linux原生已經有2.7版本

$ wget https://www.python.org/ftp/python/3.5.x/Python-3.5.x.tgz

$ tar xzf Python-3.5.1.tgz
cd Python-3.5.1
./configure
make

$ sudo make altinstall

這個時候，我們可能都要安裝一些必要的套件，遇到套件相依的問題，我建議要安裝virtualenv

通常透過pip就可以進行安裝，只是若我們沒有root的權限的話，而sudo又認不得pip指令時(command not found)怎麼辦呢？

常見錯誤：PermissionError: [Errno 13] Permission denied: ‘/usr/local/lib/python3.5/site-packages/virtualenv.py’

以下一個解法提供記錄：

1.切換到user的home目錄~/

cd ~

2.編輯.bashrc檔

sudo nano ~/.bashrc

3.在最下面alias區塊貼上，python版本路徑依個人安裝狀況調整：

alias python3=’/usr/local/bin/python3.5′
alias pip3=’/usr/local/bin/pip3.5′
alias sudo=’sudo ‘

4.使alias變更生效

source .bashrc

透過virtualenv建立虛擬環境

PS..有些人可能會問，我們統一指定3.5版本了，為什麼還是要安裝虛擬環境呢？

我的想法主要是至少要將開發環境、測試環境、正式環境盡可能獨立。

開發的時候，像是可能會要嘗試新的套件安裝了新的函式庫或是導入ai模組套件等等

或是當我們必須handle不同版本的產品程式碼時，環境的一致性對於重現問題是有助於我們專注在產品程式碼本身的焦點上！

因此無論如何，都建議安裝！！這是個好習慣!

sudo pip3 install virtualenv
在專案所存存的目錄(e.g. /home/user/projects/) 執行 $ virtualenv -p python3.5 xxxxxx
啟用 source xxxxxx/bin/activate

這樣，就可以用虛擬環境安裝好獨立的套件囉…

其中我有遇到在virtualenv安裝requirement.txt時，出現

Command “python setup.py egg_info” failed with error code 1 in /tmp/pip-build-vozt3r98/mysqlclient/

若你在centos的話，可以透過安裝mysql dev套件到linux上解決這個問題

yum install mariadb-devel

若是在Ubuntu的話，請參考之

apt-get install libmariadbclient-dev

HDFS的其他選擇-GlusterFS in Docker的安裝記錄

By paul | 2017-09-04 | Comments 0 Comment

有鑑於最早時，對於hadoop的hdfs建置後，雖然對於其提供hdfs的api方便性感到相當的便利，但是苦於結合docker後，始終於無法找到”跨實體主機”的cluster建置與hadoop的備份與還原機制。(若有好心人知道也麻煩指點指點)，這一點對於維運議題是不可容忍的。因此現階段我必須去找一個hdfs的替代方案…必須考慮到hdfs的特性下，我們有找到幾套方案，大如ceph，小如hdfs的落地方案都有，像是orangefs, glusterfs。而本篇，針對其資源較多的glusterfs，進行試用與評估看看。

GlusterFS架構如下：

…

Read More Read More

[Docker] docker-compose定義檔範例

By paul | 2017-08-31 | Comments 0 Comment

當平台漸漸成形，對於外部套件、方案相依性定調以後，每次都要手動建置測試運行環境，即使docker已經把建置動作簡化到一行指令了，但是還是令人覺得瑣碎。

這個時候，docker-compose這個解決方案，大幅的簡化了我們的部署工作:傳送門

它僅需要配置服務定義檔(yml檔名)，就可以跟現有的docker images整合，立即建置出所需的架構環境！

version: '2.1'

services:
  memcache:
    image: memcached
    ports:
      - "11211:11211"
    command: memcached -m 1024m

  hadoop:
    image: "sequenceiq/hadoop-docker:2.7.0"
    ports:
     - "8030:8030"
     - "8040:8040"
     - "8042:8042"
     - "8088:8042"
     - "19888:19888"
     - "49707:49707"
     - "50010:50010"
     - "50020:50020"
     - "50070:50070"
     - "5007:5007"
    command: /etc/bootstrap.sh -d

  cassandra:
    image: "cassandra"
    ports:
     - "9042:9042"
    volumes:
     - /mnt/cassandra/data:/var/lib/cassandra
 
  mariadb:
    image: mariadb
    ports:
     - "3306:3306"
    volumes:
     - /mnt/mariadb/data:/var/lib/mysql
     - /mnt/mariadb/config:/etc/mysql/conf.d
    restart: always
    environment:
       MYSQL_ROOT_PASSWORD: 525402040966518776
       MYSQL_USER: ap_user
       MYSQL_PASSWORD: jUqJ75aFbJEU
  
  phpmyadmin:
    image: phpmyadmin/phpmyadmin
    links:
      - mariadb
    environment:
      PMA_HOST: mariadb
      PMA_PORT: 3306
    ports:
     - "8088:80"

  my-python-app:
    depends_on:
     - mariadb
     - cassandra
     - hadoop
     - memcache
    image: python35-app
    volumes:
     - /mnt/python-app/src:/usr/src/app
    ports:
     - "12345:12345"
    command: /usr/src/app/run.sh

註：

1.首先是version，據我所知，目前大部分幾個月前安裝的docker，至少可以支持到2.1，但不見得能支持到3.0的版本。相關upgrade的議題，必須持續survey

2.不需要export的port就不要開，可以透過link或是建立network來進行容器互連

3.可以善用command、environment、volumn等docker支持的掛載與注入的方式來配置容器

4.可以透過現成已build好的image或是動態透過build dockerfile來定義服務。這一段上述例子沒有，有需要時再查使用方式

最後，啟動服務群指令(記得加-d，否則會被lock在shell，被script轟炸)：

sudo docker-compose up -d

若要下架也很簡單(其他還有run、stop等指令可用)

sudo docker-compose down

[ubuntu] 透過fdisk擴展你的vm硬碟空間

By paul | 2017-08-31 | Comments 0 Comment

因為玩了很多docker的套件，像是hadoop的image就佔了1.7g，當初開的10g硬碟空間已不夠用了，雖然之前在windows的經驗都有一些好用的gui軟體可以做repartition，但是在linux上，我沒有經驗，因此，這次來試著手動擴展vm的硬碟空間吧！~

…

Read More Read More

以Dockerfile建置python-app的映象檔

By paul | 2017-08-01 | Comments 0 Comment

繼上一篇：初試啼聲以後，我們希望能以更少的動作來佈署我們的應用程式，當然我們也可以一步一步pull下來python環境，然後連進去做一些環境準備，最後commit回來，後續可以export成tar檔或是push到registery中，達到分享與移動。其實這個時候，我們還可以應用到Dockerfile的機制來”包裝”我們的應用程式，讓剛剛所有的事情都可以自動化做掉 …

Read More Read More

ELK Stack安裝的眉眉角角-Part3:FileBeat

By paul | 2017-07-31 | Comments 0 Comment

上一篇尾聲記得我還提到，當時沒有使用FileBeat的原因是因為還沒架起來

結果今天重新從 getting started with filebeat的官網文件(傳送門)重新照表操課了一次

結果意外地就架起來了(所以讀官網文件是何等重要的一件事)，雖然成果相當的陽春，但是也很足夠記錄下來

首先-設定檔，僅保留最簡單且最必要的部分

我如往常的在mnt下建立了filebeat的目錄，並加入了/mnt/filebeat/filebeat.yml檔案，內容如下

filebeat.prospectors:
- type: log
  enabled: true
  paths:
    - /var/log/mesocollection/*/*.log
  
  reload.enabled: true
  reload.period: 30s

#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  hosts: ["elasticsearch:9200"]
  template.enabled: false
  index: "meso_sys_localfile_fb"

註：這邊path因為上一篇google 到可以用*追蹤動態目錄(例如以日期、小時分類目錄)的情況，filebeat一樣可以支持，另外關於elasticsearch的index，我們一併在這邊設定好，後續可以透過es的api來檢查寫入的狀況。關於輸入elasticsearch，我們這次與logstash的file寫入少了定義filelds parsing的流程，這一段目前查詢起來，除了general像是apache、mysql等大應用的log格式(所以可以參考他們的log格式，可以省點事)，否則可能必須透過filebeat轉接logstash再透過fileter parsing後，才能寫入自定義的fields到elasticsearch的index中。(待查證)

接著key入以下指令，我們就可以把filebeat的image run起來：

docker run -d --link elasticsearch-test:elasticsearch -v /mnt/filebeat/filebeat.yml:/filebeat.yml -v /mnt/python-app/mesocollection/logs:/var/log/mesocollection prima/filebeat:5

接著我們可以觸發一下記錄log的行為，例如call api，我們輸入docker logs的指令追蹤一下看看：

2017/07/31 02:57:30.841300 log.go:116: INFO File is inactive: /var/log/mesocollection/20170731/grpc_server_10.log. Closing because close_inactive of 5m0s reached.
2017/07/31 02:57:30.841296 log.go:116: INFO File is inactive: /var/log/mesocollection/20170731/RepositorySettingsHelper_10.log. Closing because close_inactive of 5m0s reached.
2017/07/31 02:57:32.836147 log.go:116: INFO File is inactive: /var/log/mesocollection/20170731/MC_Entry_10.log. Closing because close_inactive of 5m0s reached.
2017/07/31 02:57:32.836248 log.go:116: INFO File is inactive: /var/log/mesocollection/20170731/MC_MainService_10.log. Closing because close_inactive of 5m0s reached.
2017/07/31 02:57:32.836211 log.go:116: INFO File is inactive: /var/log/mesocollection/20170731/MC_Return_10.log. Closing because close_inactive of 5m0s reached.
2017/07/31 02:57:45.646417 metrics.go:39: INFO Non-zero metrics in the last 30s: filebeat.harvester.closed=5 filebeat.harvester.open_files=-5 filebeat.harvester.running=-5 publish.events=5 registrar.states.update=5 registrar.writes=1

若出現以上的logs，代表filebeat有偵測到檔案的變動。

接著我們一樣透過$ curl -XPOST http://yourhost:9200/meso_sys_filelog_fb/_search?pretty=true來看看es寫入的狀況

{
  "took" : 8,
  "timed_out" : false,
  "_shards" : {
    "total" : 5,
    "successful" : 5,
    "failed" : 0
  },
  "hits" : {
    "total" : 41,
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "meso_sys_localfile_fb",
        "_type" : "log",
        "_id" : "AV2WiYNRVf3DdKZYkE65",
        "_score" : 1.0,
        "_source" : {
          "@timestamp" : "2017-07-31T02:46:15.762Z",
          "beat" : {
            "hostname" : "6c8d38b686db",
            "name" : "6c8d38b686db",
            "version" : "5.3.0"
          },
          "input_type" : "log",
          "message" : "2017-07-31 10:46:11,021 - MC_MainService - INFO - entry log : behavior:update_system_user_rdb, data={\"$data$\": \"{\\\"firstName\\\": \\\"I-Ping\\\", \\\"email\\\": \\\"paul@meso-tek.com\\\", \\\"lastName\\\": \\\"Huang\\\"}\", \"$query$\": \"{\\\"id\\\": \\\"0e5564e8-1ac7-45db-9d0b-6f79643ca857-1501469142.056618\\\", \\\"account\\\": \\\"paul\\\"}\"}, files_count=0",
******************************************************略

若有以上的json記錄，那代表elasticsearch也可以正常的寫入了

大部分到此，kibana也不太有什麼問題了。

但問題仍是，因為log message沒有被拆解，所以我們只能把每一行當成是log message欄位來搜尋，對於報表並沒有直接幫助。

因此關於設定log message的機制，究竟只能透過logstash轉接，還是有filebeat的plugin可以用呢？這個列為本週任務來研究看看吧~

以上先記錄了filebeat最簡單的啟用與串接方式囉

參考：

FileBeat getting started：https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-getting-started.html

How Filebeat works：https://www.elastic.co/guide/en/beats/filebeat/current/how-filebeat-works.html

ELK Stack安裝的眉眉角角-Part2:Logstash File Input

By paul | 2017-07-28 | Comments 0 Comment

繼上一篇ELK Stack整合mysql資料來源以後，我發覺我應該先把檔案來源弄清楚才對 …

Read More Read More