fiseisky May 30 2017 at 12:51

Ещё раз о хранении логов в Zabbix

27 min

25K

Business Infinity Group corporate blogSystem administration*IT Infrastructure*Server Administration*

+11

Comments 19

fiseisky May 30 2017 at 15:19

Del

0x12ee705 May 30 2017 at 15:19

а зачем в заббиксе хранить логи?

fiseisky May 30 2017 at 15:20

Из нашей практики это бывает нужно, когда логов еще не настолько много чтобы держать под них специальную систему хранения.

past May 30 2017 at 15:32

И как Вы их потом обрабатываете/ищете? В заббиксе же нет такого функционала.
У нас стоит и заббикс и грейлог. По ощущениям первый значительно более требователен к ресурсам.

fiseisky May 30 2017 at 21:05

Лог я использую для выдачи в триггере. То есть Heka фильтрует нужные записи, те, что подпадают под фильтр отправляются в Zabbix, а там стоит траппер, который поднимает соответствующий триггер при приходе сообщения. Сам Zabbix для парсинга и фильтрации логов не используется.

В статье, кратко описано как это устроено: в Zabbix настроены трапперы, и Heka при приходе определенного сообщения отправляет его на соответствующий траппер, а тот вызывает срабатывание триггера. Ну и заодно, лог сохраняется в Zabbix.

StickyBit May 30 2017 at 15:20

Heka вроде как почти умерла (https://mail.mozilla.org/pipermail/heka/2016-May/001059.html)?

fiseisky May 30 2017 at 15:28

Все верно, Heka давно не развивалась, но как показывает правктика, она вполне себе еще работает.

ZaitsXL May 30 2017 at 19:25

поддержу одного из прошлых комментаторов: а как вы потом обрабатываете логи и сколько занимает в среднем поиск по ключевому слову? насчёт ELK: это уже давно удел не только лишь богов, к тому же логсташ вполне себе может и один трудиться, без E и K, набор output плагинов достаточно длинный

Talik0507 May 31 2017 at 06:26

Соглашусь. У нас развернут ELK и трудится он в помощь к основному мониторингу Zabbix. Даже поизвращались и прикрутили E к Zabbix, в качестве проверки возможности реализации. Широкого применения пока не получилось, но возможность реализовали

fiseisky May 31 2017 at 17:26

А вот я не дотянулся до присоединения к Zabbix. Но еще не вечер.

fiseisky May 31 2017 at 09:34

Разворачивать ELK стек для мониторинга 5-10 событий лога излишне. Да, Logstash может работать и отдельно, но хотелось более легкий в плане ресурсов инструмент.

UFO just landed and posted this here

fiseisky May 31 2017 at 09:31

Да, все работает, на всякий случай сейчас даже перепроверил.

AlexeevEugene May 31 2017 at 07:11

После того как я ознакомился с функционалом ELK, хранение логов я могу доверить только ему. Это «Яндекс» по логам. Zabbix — это реактивное реагирование. И он прекрасен в своей нише. Но реально получить данные по маске от 5 серверов за определенный период с северити-Error — тут ELK батя.

fiseisky May 31 2017 at 17:25

Я тоже использовал ELK, писал шаблоны в Кибане 3 и 4 версии, пробовал уведомления. Одно время в базе было больше 100 Гб лога. И я даже не сомневаюсь в его мощи, но в данной ситуации он реально выглядел излишним.

UFO just landed and posted this here

fiseisky May 31 2017 at 17:23

Да,… и какой глубины ящички, на которых он висит.

pauliusm May 31 2017 at 09:34

В Elastic stack надо хранить.

fiseisky May 31 2017 at 09:36

Можно, но каждой задаче свой инструмент.
В моем случае Zabbix справляется хорошо.