Este documento discute el uso de herramientas de logging como Logstash, Elasticsearch y Kibana para recolectar, procesar, almacenar y visualizar logs de aplicaciones. Logstash se usa para recolectar y procesar logs de diferentes fuentes, Elasticsearch almacena los datos de forma escalable y Kibana permite crear visualizaciones e informes para analizar tendencias y solucionar problemas. El documento también presenta una arquitectura de logging distribuida y concluye enfatizando la importancia de registrar todo tipo de eventos para obtener estadísticas y

1. DENTRO DE UN
BACKEND
¿Esta mi aplicación funcionando?
Sandino Núñez / @sandinosaso

2. OBJETIVOS
 ¿Esta mi aplicación funcionando?
 Si no lo está, ¿que parte esta fallando?
 ¿Que áreas necesitan mejorar el rendimiento?
 ¿Necesito escalar?
 ¿Cual fue el impacto del último código deployado?
¿Ha repercutido sobre los usuarios? ¿Negativamente?
 ¿Deberíamos hacer rollback?
 ...

4. Agenda
 Introducción
 Logging
 Logstash
 Elasticsearch
 Kibana
 Arquitectura
 Demo

5. Introducción a Logging
Porque cada log nos cuenta una historia

6. Porque necesitamos logs
Desde el punto de vista de los desarrolladores
1. Para detectar problemas
2. Seguridad
3. Monitoreo
4. Métricas
5. Analizar tendencias
• Ayudar a debuggear el código
• Nunca en producción!!!!

7. Anatomía de un log
[Thu Aug 06 07:49:38.953108 2015] [notice] [pid 3343] AH00163: Apache/2.4.12 Resuming normal operations
TIMESTAMP DATA

8. Porque los logs no son tan divertidos?

9. Puedes chequear que errores tuvimos
ayer entre las 22:17 y las 22:22 hs?

10. Manejo de Logs (Como buscamos información)
netstat -an | awk '{print $5}' | grep -o "[0-9]{1,3}.[0-9]{1,3}.[0-
9]{1,3}.[0-9]{1,3}" | egrep -v "(`for i in `ip addr | grep inet |grep
eth0 | cut -d/ -f1 | awk '{print $2}'`;do echo -n "$i|"| sed
's/././g;';done`127.|0.0.0)" | sort -n | uniq -c | sort -n
sandino@envy:~$ awk -F" '{print $6}' /var/log/apache2/access.log | sed 's/(([^;]+;
[^;]+)[^)]*)/(1)/' | sort | uniq -c | sort -fr
8 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/42.0.2311.90 Safari/537.36
1 Apache/2.4.12 (Ubuntu) PHP/5.5.9-1ubuntu4.9 (internal dummy connection)

11. Ninja de Expresiones Regulares
(Superhéroe)

13. Porque es complejo analizar logs?
• Distintas formas de logging
• Muchos formatos de timestamp
• No hay contexto
• Mensajes poco útiles
• No escalan

14. Logstash
Recolecta, Transmite, Interpreta y Almacena logs

15. Logstash
• Corre en JVM (JRuby)
• Open Source
• Altamente Configurable
• Centraliza Logs
• Recolecta y Parsea Logs
• Persiste y hace forward

17. Cómo funciona logstash?

18. Ejemplo Configuración Básica

19. Ejemplo Output Condicional

20. Estructurando la información

21. Reusando Patrones
%{SINTAXIS:SEMANTICA}

22. Creando nuestros propios patrones
https://grokdebug.herokuapp.com/

23. Inferencia de Patrones
https://grokdebug.herokuapp.com/

24. Elasticsearch
Almacenamiento y Motor de búsqueda escalable

25. Características
• Herramienta para indexar documentos y búsquedas
• La información esta disponible a través de REST
• Indexación para búsqueda de texto (basado en Apache
Lucene)
• Puede estar distribuido en múltiples "shards"
• 2 Tipos de shard: Primaria, Réplica
• Escrito en JAVA

26. Elasticsearch Cluster

27. Kibana
Interfaz Web para búsquedas sobre elasticsearch

28. Características
• Open Source
• Código en Node.js
• Acceso a los datos de elasticsearch a través de REST
• Permite extensión mediantes Plugines
• Creación de distintas gráficas
• Creación de Dashboards

31. Arquitectura
Como unir todas las partes

32. Centralizando la información

33. Arquitectura Distribuida

34. Moraleja?
• Que loguear? TODO !!!
• Guardar logs por mucho tiempo
• Big Data
• Movimiento DevOps
• Estadísticas de Uso de Aplicación

36. Demo
Estadísticas de Apache

39. sandinosaso@gmail.com
Twitter: @sandinosaso