percolator 接口

在运维体系中,监控和报警总是成双成对的出现。Elastic Stack 在时序统计方面的便捷,在很多时候被作为监控的一种方式在使用。那么,自然就引申出一个问题:Elastic Stack 如何做报警?

对于简单而且固定需求的模式,我们可以在 Logstash 中利用 filter/metricfilter/ruby 等插件做预处理,直接 output/nagiosoutput/zabbix 来报警;但是对于针对全局的、更复杂的情况,Logstash 就无能为力了。

目前比较通行的办法。有两种:

  1. 对于匹配报警,采用 ES 的 Percolator 接口做响应报警;
  2. 对于时序统计,采用定时任务方式,发送 ES aggs 请求,分析响应体报警。

针对报警的需求,ES 官方也在最近开发了 Watcher 商业产品,和 Shield 一样以 ES 插件形式存在。本节即稍微描述一下 Percolator 接口的用法和 Watcher 产品的思路。相信稍有编程能力的读者都可以根据自己的需求写出来类似的程序。

Percolator 接口

Percolator 接口和我们习惯的搜索接口正好相反,它要求预先定义好 query,然后通过接口提交文档看能匹配上哪个 query。也就是说,这是一个实时的模式过滤接口。

5.0 版中,对 Percolator 功能做了大幅度改造,现在已经没有单独的接口,而是作为一种 mapping 类型存在。也就是说,我们在创建索引的时候需要预先定义。

比如我们通过 syslog 来发现硬件报错的时候,需要预先定义 mapping:

  1. # curl -XPUT http://127.0.0.1:9200/syslog -d '{
  2. "mappings" : {
  3. "syslog" : {
  4. "properties" : {
  5. "message" : {
  6. "type" : "text"
  7. },
  8. "severity" : {
  9. "type" : "long"
  10. },
  11. "program" : {
  12. "type" : "keyword"
  13. }
  14. }
  15. },
  16. "queries" : {
  17. "properties" : {
  18. "query" : {
  19. "type" : "percolator"
  20. }
  21. }
  22. }
  23. }
  24. }'

然后我们往 syslog/queries 里注册 2 条 percolator 请求规则:

  1. # curl -XPUT http://127.0.0.1:9200/syslog/queries/memory -d '{
  2. "query" : {
  3. "query_string" : {
  4. "default_field" : "message",
  5. "default_operator" : "OR",
  6. "query" : "mem DMA segfault page allocation AND severity:>2 AND program:kernel"
  7. }
  8. }
  9. }'
  10. # curl -XPUT http://127.0.0.1:9200/syslog/queries/disk -d '{
  11. "query" : {
  12. "query_string" : {
  13. "default_field" : "message",
  14. "default_operator" : "OR",
  15. "query" : "scsi sata hdd sda AND severity:>2 AND program:kernel"
  16. }
  17. }
  18. }'

然后,将标准的数据写入请求做一点改动,通过搜索接口进行:

  1. # curl -XPOST http://127.0.0.1:9200/syslog/_search -d '{
  2. "query" : {
  3. "percolate" : {
  4. "field" : "query",
  5. "document_type" : "syslog",
  6. "document" : {
  7. "program" : "kernel",
  8. "severity" : 3,
  9. "message" : "swapper/0: page allocation failure: order:4, mode:0x4020"
  10. }
  11. }
  12. }
  13. }'

得到如下结果:

  1. {
  2. ...,
  3. "hits": [
  4. {
  5. "_index": "syslog",
  6. "_type": "queries",
  7. "_id": "memory",
  8. ...
  9. }
  10. ]
  11. }

从结果可以看出来,这条 syslog 日志匹配上了 memory 异常。接下来就可以发送给报警系统了。

如果是 syslog 索引中已经有的数据,也可以重新过一遍 Percolator 查询。比如我们有一条之前已经写入到 http://127.0.0.1:9200/syslog/cisco/1234567 的数据,如下命令就可以把这条数据再过一次 percolate:

  1. # curl -XPOST http://127.0.0.1:9200/syslog/_search -d '{
  2. "query" : {
  3. "percolate" : {
  4. "field" : "query",
  5. "document_type" : "syslog",
  6. "index" : "syslog",
  7. "type" : "cisco",
  8. "id" : "1234567",
  9. }
  10. }
  11. }'

利用更复杂的 query DSL 做 Percolator 请求的示例,推荐阅读官网这篇 geo 定位的文章:https://www.elastic.co/blog/using-percolator-geo-tagging