Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Логи: больше - лучше, 
но как же с этим жить?

Avatar for Vladislav Senin Vladislav Senin
April 05, 2019
Programming
0
120

Логи: больше - лучше, 
но как же с этим жить?

С ростом количества сервисов и нагрузки растет и объём логов. Рано или поздно для компании наступает момент, когда использовать такие инструменты как grep не целесообразно. На докладе вы узнаете, как мы переезжали с сервера на bash’е на elasticsearch для поиска по логам.
Avatar for Vladislav Senin

Vladislav Senin

April 05, 2019
Tweet

Other Decks in Programming

See All in Programming
Goで作る、開発・CI環境
Avatar for Shinpei Mine sin392
0
180
Code as Context 〜 1にコードで 2にリンタ 34がなくて 5にルール? 〜
Avatar for Yoda Keisuke yodakeisuke
0
120
『自分のデータだけ見せたい!』を叶える──Laravel × Casbin で複雑権限をスッキリ解きほぐす 25 分
Avatar for AkitoTsukahara akitotsukahara
1
590
なぜ適用するか、移行して理解するClean Architecture 〜構造を超えて設計を継承する〜 / Why Apply, Migrate and Understand Clean Architecture - Inherit Design Beyond Structure
Avatar for shiro seike seike460
PRO
1
710
システム成長を止めない!本番無停止テーブル移行の全貌
Avatar for さかうぇ sakawe_ee
1
150
都市をデータで見るってこういうこと PLATEAU属性情報入門
Avatar for nokonoko1203 nokonoko1203
1
580
関数型まつりレポート for JuliaTokai #22
Avatar for GOTOH Shunsuke antimon2
0
160
LT 2025-06-30: プロダクトエンジニアの役割
Avatar for Keisuke Yamamoto yamamotok
0
640
明示と暗黙 ー PHPとGoの インターフェイスの違いを知る
Avatar for shimabox shimabox
2
380
PostgreSQLのRow Level SecurityをPHPのORMで扱う Eloquent vs Doctrine #phpcon #track2
Avatar for Hiromi Hishida 77web
2
410
Node-RED を(HTTP で)つなげる MCP サーバーを作ってみた
Avatar for High U highu
0
110
生成AIコーディングとの向き合い方、AIと共創するという考え方 / How to deal with generative AI coding and the concept of co-creating with AI
Avatar for shiro seike seike460
PRO
1
340

Featured

See All Featured
Docker and Python
Avatar for Tania Allard trallard
44
3.5k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.4k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
124
52k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
331
24k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.4k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.6k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
72
4.9k
Side Projects
Avatar for Sacha Greif sachag
455
42k

Transcript

  1. Логи: больше - лучше,
 но как же с этим жить?

    1

  2. hh.ru: ожидание 2 СТО, нанимает первого тестировщика мой стул и


    половина стола столы для будущих сотрудников человек-ML, ищет вакансии
 для вас замаскированный
 MAC PRO

  3. hh.ru: реальность 3 front1 front2 frontN api hh m.hh backoffice

    … xmlback search relations session negotiations billing mailer salary-stat hh-test … …

  4. • более 150 инженеров • 2 дц • 50+ сервисов

    • 150+ машин, 780+ инстансов • терабайты логов в сутки • часовая ротация в сервисах • льются самописным демоном на отдельную машину и раскладываются по директориям • старее чем за сутки сжимаются xz Intro !4

  5. Просто по логам: • “дедовский” способ: grep/xzgrep Как в этом

    что-то поискать? !5

  6. Просто по логам: • “дедовский” способ: grep/xzgrep По request id:

    !6 Как будем что-то искать?

  7. Просто по логам: • “дедовский” способ: grep/xzgrep По request id:

    • “особый” request id: timestamp+hash • бэк на bash+python и binary search по файлам • первый же ответ кэшируется на стороне nginx !7 Как будем что-то искать? Подробнее https://www.youtube.com/watch?v=8k2dPiUZXtI&t=1658s

  8. • масштабируемость • отказоустойчивость • временнóе ограничение для поиска по

    request id • grep/xzgrep по логам • дальнейшая обработка Проблемы !8

  9. Плюсы: • быстрый полнотекстовый поиск • масштабируемость и отказоустойчивость •

    уже был удачный опыт эксплуатации elasticsearch Минусы: • накладные расходы на индексацию • эксплуатационная поддержка еще n сервисов Elasticsearch! !9

  10. • 3 инстанса • 2x Intel(R) Xeon(R) CPU E5-2640 v4

    @ 2.40GHz x10/20 • диски 12x8Tb 7200 rpm • по 128 Gb RAM на машинах А что по железу? !10

  11. Плюсы: • все слышали, юзают - мейнстрим Минусы: • под

    logstash нужно дополнительное железо • logstash - хороший сервис, жаль не работает ELK: elasticsearch + logstash + kibana !11

  12. Плюсы: • filebeat легковесный и надёжный демон для доставки логов

    • elasticsearch ingest API: гибко, меньшие накладные расходы по сравнению с logstash Минусы: • теперь всё делает elastic, следовательно больше нагрузки на cpu EF: elasticsearch + filebeat !12 Подробнее https://dzone.com/articles/elasticsearch-ingest-node-vs-logstash-performance-2

  13. Покажи уже графики !13

  14. Ingest API и правда хорош Выводы !14

  15. Ingest API и правда хорош Но может есть способ сделать

    еще лучше? Выводы !15

  16. raw logs: 2019-04-03 17:10:02.372+0300 127.0.0.1 - GET 200 2 noRequestId

    /status structured logs: {"ts":"2019-04-03 17:10:02.372+0300","cache":"-","method":"GET","ip":"127.0.0.1","time": 2,"rid":"noRequestId","uri":"/status","status":200} Structured logs !16

  17. Снова скриншоты !17 вот теперь хорошо

  18. Cоставим пример запроса: • простое совпадение по фразе • ограничим

    выдачу последним часом и 100 результатами • с обратной сортировкой по timestamp, т.к. хотим самые свежие логи • перечислим несколько полей, например: ts, hostname, lvl, msg, exception, rid, status и uri Окей, окей, но поискать-то теперь как? !18

  19. curl -X POST localhost:9211/ indexname/_search --data ‘{"size": 100,"query":{"bool":{"must": [{"match_phrase":{"msg": {"query":"some

    text","analyzer":"whitespace"}}}],"filter": {"range":{"ts":{"gte":"now-1h/ h","lte":"now/h"}}}}},"sort":[{"ts": {"order":"DESC"}}],"_source": ["ts","beat.hostname","lvl","msg","excep tion","rid","status","uri"]}' -H "Content- Type:application/json" Окей, окей, но поискать-то теперь как? !19 curl запрос ответ

  20. curl -X POST localhost:9211/ indexname/_search --data ‘{"size": 100,"query":{"bool":{"must": [{"match_phrase":{"msg": {"query":"some

    text","analyzer":"whitespace"}}}],"filter": {"range":{"ts":{"gte":"now-1h/ h","lte":"now/h"}}}}},"sort":[{"ts": {"order":"DESC"}}],"_source": ["ts","beat.hostname","lvl","msg","excep tion","rid","status","uri"]}' -H "Content- Type:application/json" Окей, окей, но поискать-то теперь как? !20 curl запрос ответ

  21. Окей, окей, но поискать-то теперь как? !21 dev tool в

    kibana запрос ответ

  22. Окей, окей, но поискать-то теперь как? !22 dev tool в

    kibana запрос ответ

  23. Окей, окей, но поискать-то теперь как? !23 discover в kibana

    ответ

  24. Идеальный вариант: • простой интерфейс • “склеивать” логи в удобный

    для чтения людьми формат • возможность доработки новых фич Хочется всё и сразу? !24

  25. Интерфейс сервиса elmo (ELastic MOrda) !25

  26. • до 500к dps (document per second) на индексацию в

    пике, присутствует существенный запас по железу • масштабируемо и отказоустойчиво • поиск по логам стал значительно быстрее • простой интерфейс с дополнительными плюшками Итого !26

  27. • лить через kafka • trace id в приложениях и

    визуализация трассировки в elmo • прикрутить в помощь тестированию Что дальше? !27

  28. Всем спасибо !28