Introdução à Análise de Dados com Elastic Stack

Introdução à Análise de Dados com Elastic Stack Cleiton Francisco

Quem sou Cleiton Francisco Analista de Tecnologia do Jus.com.br Desenvolvedor
Full Stack (a long time)

➔ Apresentação ◆ Motivação ◆ Pipeline de análise de dados
◆ Porque Elastic? ➔ A Elastic Stack ◆ Beats ◆ Logstash ◆ Elasticsearch ◆ Kibana O que vamos ver? ➔ Modelo de aplicação ➔ Como funciona ◆ Filebeat ◆ Logstash ➔ Instalação e Configuração ➔ Kibana ➔ Elastic na Nuvem

Apresentação

➔ Quem precisa fazer análise de dados? ➔ Como começar?
Motivação

➔ Aquisição de dados ➔ Exploração e Entendimento ➔ Limpeza
e Manipulação ➔ Análise e Modelagem ➔ Comunicar e operacionalizar Pipeline de análise de dados

➔ Simples e acessível ➔ Integra facilmente com outras ferramentas
➔ Baixa/média curva de aprendizagem ➔ Diversos cases e players já adotam ➔ Tá surfando na crista da onda Porque Elastic

Buzzwords 2018 ➔ Artificial Intelligence (AI) ➔ Internet of Things
➔ Blockchain ➔ Digital Detox / Digital Productivity ➔ Microservices / Microservice Architecture ➔ Quantum Computing ➔ Serverless Architecture ➔ Mobile First ➔ Dark Data ➔ Actionable Analytics / Self-Service Analytics

O que é Elastic Stack

Elastic Stack conhecida anteriormente como ELK Stack

Os entregadores Beats é a plataforma de entrega de dados.
Eles são instalados como agentes leves e enviam dados de centenas ou milhares de máquinas para o Logstash ou o Elasticsearch. Beats

Beats Os entregadores A família do Beats é composta por:
• Filebeat (Log Files) • Metricbeat (Metrics) • Packetbeat (Network Data) • Winlogbeat (Windows Event Logs) • Auditbeat (Audit Data) • Heartbeat (Uptime Monitoring)

Pipeline O Logstash é o motor de fluxo de dados
do Elastic Stack para coletar, enriquecer e unificar todos os seus dados independentemente do formato ou esquema. Logstash

O coração da Stack Elasticsearch é um software open source,
que provê uma interface RESTful de pesquisa e análise de dados capaz de solucionar um número crescente de casos de uso. Baseado no Apache Lucene. Elasticsearch

Kibana A Interface Kibana é uma janela dentro do Elastic
Stack. Ele permite a exploração visual, criação de dashboards e análise em tempo real dos dados no Elasticsearch. Ele quem torna mais fácil e compreensível a interpretação de grandes e complexos fluxos de dados.

Modelo de aplicação

Elastic Stack Um conjunto de servidores de aplicação

Elastic Stack Começam a produzir diversos logs

Elastic Stack Cada servidor de App passa a contar então
com o Filebeat

Elastic Stack Que será responsável por enviar os logs para
o Logstash

Elastic Stack Os logs serão processados, filtrados e transformados

Elastic Stack Depois serão encaminhados para o Elasticsearch

Elastic Stack Que vai indexar e analisar os dados que
estavam nos logs

Elastic Stack O Kibana irá organizar visualmente estas informações

Como funciona

1 Filebeat em ação Cada prospector do Filebeat possui as
regras para captar logs específicos e enviá-los para um output que pode ser o Elasticsearch, Logstash, Kafka, Redis, etc.

1 Tudo vai ser entregue Se o Logstash estiver ocupado,
processando um grande volume de dados, o Filebeat desacelera suas atividades, até que o congestionamento seja resolvido.

1 Logstash ama dados O Logstash aceita dados de todas
as formas e tamanhos. Depois pode encaminhar seus dados pra onde for mais importante. INPUT OUTPUT FILTERS

➔ Weblogs / Syslog ➔ Logs customizados ➔ Métricas do
sistema ➔ Logs de eventos ➔ Dados da Rede / Firewall ➔ Filas de processamento ➔ Bancos de dados Relacionais / Não Relacionais ➔ Streaming Inputs

Outputs: Análise e Arquivamento

Outputs: Monitoramento e Alerta Watcher com Elasticsearch

Instalação e Configuração

Instalação Documentação do Elastic Stack https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html Pacotes de instalção: zip/tar.gz
| deb | rpm | msi | docker Gerenciamento de Configuração: Puppet | Chef | Ansible

Configuração do Elasticsearch Edite o arquivo /etc/elasticsearch/elasticsearch.yml e altere as
seguintes linhas: node.name: es-node-1 network.host: localhost

Configuração do Kibana Edite o arquivo /etc/kibana/kibana.yml e altere as
seguintes linhas: #server.port: 5601 server.host: "localhost" #server.name: "your-hostname" elasticsearch.url: "http://localhost:9200"

O logstash precisa do Java 8 (Java 9 não é
suportado) Instalação do Logstash

filebeat.prospectors: - type: log enabled: true paths: - /var/log/*.log Configuração
do Filebeat

- input_type: log paths: - /home/user/www/site/count_hits.log tags: ["count_hits"] Configuração do
Filebeat

#output.elasticsearch: #hosts: ["localhost:9200"] output.logstash: hosts: ["192.168.220.141:5044", "192.168.199.130:5044"] Configuração do Filebeat

Configuração do Logstash Crie um arquivo de configuração. Exemplo: /etc/logstash/conf.d/config-1.conf

input { beats { port => 5044 ssl => true
ssl_certificate => "/etc/pki/tls/certs/logstash.crt" ssl_key => "/etc/pki/tls/private/logstash.key" } }

filter { if [type] == "syslog" { grok { match
=> { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_ pid}\])?: %{GREEDYDATA:syslog_message}" } # continua

add_field => ["received_at", "%{@timestamp}"] add_field => ["received_from", "%{host}"] } date
{ match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] } } # fim do "syslog"

if "count_hits" in [tags] { json { skip_on_invalid_json => true
source => "message" } geoip { source => "client_ip" } } } # fim do filter

output { elasticsearch { hosts => ["localhost:9200"] sniffing => true
manage_template => false index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}" document_type => "%{[@metadata][type]}" } }

Kibana

Discover do Kibana

Visualize do Kibana

Dashboard do Kibana

Visualize do Kibana

Elastic na Nuvem

Elastic na nuvem

Perguntas?

Muito Obrigado! @cleitonfco

Introdução à Análise de Dados com Elastic Stack

Introdução à Análise de Dados com Elastic Stack

More Decks by Cleiton Francisco

Other Decks in Technology

Featured

Transcript