リアルタイムログ分析

「すぐに使える」最新の監視システムでは、単一のシステムノードのほぼすべてのインジケータを追跡できますが、多くの重大な欠点があります。

• 1つのノードに関するすべてを知っているので、システム全体の動作についてはまったくわかりません。「1200RPSが前面にある時点で、ページの90％が300msで、95％が650msで、システムエラーとタイムアウトが少ない」 1秒あたり10」（カットの下の写真を参照）
• システムノードのいずれかのシステムインジケータの1つを超えても、アラームの価値があるという意味ではありません。ノードの負荷が増大したか、開発者がアルゴリズムを変更した可能性があります
• 個々のノードの監視の一環として、サービスの段階的な低下を追跡することはほとんど不可能です-原則として、「何も機能しない」場合にのみ機能します
• 外部サービスのパフォーマンスの低下は原則として監視されません（CDNによって禁止されたことはありますか？）

私たちのサイトの最初のサイトには、1,000,000を超えるユニークビジター、1日にフロントエンドで1億件までのhttpリクエスト、そしてサポートに関してはプロジェクトの動物園があります。 キーワードのセット-nginx、apache、php（2つのバリエーション）、oracle。 執vetな周期性により、個々の責任ゾーンで「すべてが私たちのために働く」、または珍しいことではないが「何もあなたのために働かない」という状況が生じます。 責任の境界では、チケットの継続的な転送があります。

車輪の再発明を開始することはせず、バックエンドの応答、および特定の要求の処理に関与したユーザーを追跡して、ユーザーへの応答の時間と正確さを監視することにしました。 まあ、それに加えてボリューム-それほど大きくはありませんが、プレゼンテーションの過程でいくつかのレーキを示すことができます。





最終的に得たもの。

1.ソースデータの準備。

システム内に複数のノードがある場合、システム全体を通して最初から開始する1つの要求を追跡する方法があると便利です。 ノードが多数ある場合、クライアントIPは役に立たなくなります。 ベースが下にある場合、DBAははんだごてと「whose request ???」というフレーズで実行されることがあります。 まあ、結合された標準には、バックエンドの処理時間、アップストリームによって選択されたキャッシュのヒット、データがユーザーに送信された時間に関する情報が含まれていません。 標準のnginxモジュールには、必要なほぼすべてのものが含まれています。 HeadHunterからモジュールを1つだけ追加しました

github.com/hhru/nginx_requestid。nginxの各リクエストに一意の識別子を割り当て、ログに書き込み、ヘッダーで上下に転送できるようにします。 nginxログの最終形式は次のとおりです。







怖い アップストリームタイプのフィールドには、このリクエストを処理したすべてのバックエンドに対して、「upstream_1：Upstream_2」という次のものが存在することができます。 Request_idはすでに説明されています。最後の2つのuid_got、uid_setはngx_http_useridモジュールで、システムCookieをインストールすることで特定のユーザーを追跡できます。 区切り文字として4つのスペースが使用される理由については、解析セクションで説明します。 Apacheまたはphp-fpmレベルでは、上から来たrequest_idをログに書き込み、リクエストバランサーがアップストリームとして指定されている場合はホスト名を渡すのが理にかなっています。 アプリケーションレベルでは、エラーメッセージでrequest_idを示すルールを確立する価値があります。 要求データをOracleセッションに転送する方法の1つは、短いメモで説明しました。 その利点は、開発者に同じ方法で同じことをするように依頼する必要がなく、すべてのプロジェクトのデータを一度に取得できるという保証があることです。 また、pinbaまたはxhprofの方向を調べて、各リクエストおよびプロジェクト/サイトの平均的な外部リソース（ベース、APIサービス、システムコール）のレイテンシを追跡することも理にかなっています。 この分野での当社のソリューションは、冬に近づく準備ができています。



さらなる議論は、現在のシステムで最も情報量が多く膨大なnginxログを使用してログを分析する試みに専念します。

2.単一のセンターでのログの収集。

ログ集約の事実上の標準は、syslogのさまざまな分岐と子孫です。 UDPは、接続サポートおよび配信保証の形式でオーバーヘッドを回避するためのトランスポートとして使用されます。 通常モードでは、メッセージの数パーセントを失う余裕があります;より多くのグローバルな損失は、インフラストラクチャのグローバルな問題に既に関連しており、他のソースから学習します。 hh.ru Operations Directorのレポート「The Experience to Switching of SOA」 www.slideshare.net/kuchinskaya/sivkoのレポートから、大量のメッセージの落とし穴について詳しく知ることができます。ログを1か所で収集するためのいくつかのオプションについて説明しています。 udp配信に加えて、将来のためにログを単一のファイルストレージに収集することは理にかなっています。



問題の2番目の部分は、最初にサイトで解決されました。すべてのログは、最初にネットワーク接続ストレージに書き込まれます。 アナライザーのプロトタイプを単純化するために、nfsログを読み取るだけです。 原理的にこれが悪いのはなぜですか？ログは24時間システム全体のリソースを消費し、ログの可用性はネットワークストレージの健全性に依存します（仕事中にNetAppを削除したことがありますか？） また、テキスト形式の行がログファイルに書き込まれます。リクエストデータがシリアル化された形式で送信される場合、受信側での解析のコストを回避します。

2.5ログの解析。

この場合、パーサーはPerlで作成され、データはMongoDB 2.2.0に保存されます。 アルゴリズムは不名誉に簡単です-デルタがカットオフよりも大きい場合、ファイル内の最後に処理された位置を覚えて、現在のサイズを比較します-解析でファイルの解析に送信し、解析でレコードの正確さをチェックします（記録のバッファリングに関するすべてを覚えていますか？） 熊手から

• 多くのファイルがある場合-毎回ファイルを開くのではなく、記述子を保存します。時間内にそれほど多くはありませんが、ストレージはより快適になります
• この形式のreg expは、1秒あたり700行を処理しました。標準のセパレーター形式に切り替えて、通常の形式を分割に置き換えた後、速度は1秒あたり1万から2万行に増加しました。 ここで、数字は内なる信念よりも優れている
• 反復時間が2〜3秒未満の場合-少しスリープ状態にすると、ストレージは毎秒数百のファイル統計にプルされないのでさらに快適になります。
• batch_insertはベースを快適にしますが、mongoには1回の挿入呼び出しで16MBの制限があります（4MBから2.2）

これらの魅力はすべて、udpデータを送信することで回避できます。

3.コンピューティング分析および検索用の一時ストレージ。

すべてのデータをインデックスとともに長時間保存することは可能ですが、非常に高価です。 実際には、一時ストレージが使用され、過去数時間-1日のデータを使用して分析を構築できます。 運用診断の場合、より多くのデータは意味がありません;常に生データに基づいてグローバルな履歴レポートを作成できます。



MongoDBを使用するのは、...本当にしたかったからです。 大ざっぱですが、そうです-そのようなシステムを実装する準備ができている任意のツールを選択できます。 レコードのグループ化とリポジトリ内のデータの更新がより便利で高速に実装されるほど、より良い結果が得られます。



モンゴの非宗教的利益のうち

• 上限付きコレクション-レコードのfifoコレクション、この場合は十分な3GBコレクションがあり、そのファイルはRAMディスク上にあります
• 集約フレームワーク-バージョン2.2の新機能。1秒あたり1.200〜10.000のタスクグループ用、50〜200ミリ秒
• ttlコレクション-レコードの有効期間（memcacheの期限切れのアナログ）を指定できるコレクション、imhoはやや粗雑です
• 1つのストリームでの書き込み速度-1秒あたり5〜6千レコード、複数の記録ストリームでスケーリング可能

すくい

• 集約$プロジェクトのバージョン2.2.0-rc0では、文字列を$ add演算子に渡すことができたため、複数のフィールドのグループキーを形成しました。バージョン2.2.0-rc1以降では、そのような可能性はなく、$ concat演算子は2.3で約束されています。 x期限なし。 パーサーでより高いレベルに移動する必要がありました-各レコードにグループキーを書き込む
• 作成されるインデックスが多いほど、挿入が遅くなります。 インデックスが少ないほど、検索の機会が少なくなります。 現在、システム識別子とレコードのタイムスタンプという2つのインデックスがあります。 テストベンチではこれ以上の余裕はありません。
• キャップ付きコレクションは組み込みツールによってシャッフルされないため、アプリケーションレベルで実行する必要があります。

2回目のレーキにもかかわらず、「リクエスト数、バックエンドロード、直前のトラフィックで上位50のIPを見つける」という比較的複雑なリクエストは、800〜1200ミリ秒で計算されます。 私たちの場合、鉄の片方がデータを記録し、それらを強制的に出力します（マスター）、もう片方はレプリカであり、分析計算が記録を遅くしないようにします。



Mail Tarantool（tarantool.org）を試してみたいという要望もあります。正規表現を使用してパーサーのレーキを修正する前に、データの読み込み速度についてあまり良い数字を示していませんでした。 修正がテストされなかった後、嬉しい驚きを期待しています。



タランツールの潜在的な利点の

• メモリベースのデータベース
• ストアドプロシージャ用のlua組み込み言語
• ロシアおよびモスクワの高パフォーマンスパーティーでの著者の利用可能性

4.単位、パーセンタイル...

前の段階で、システムのノードのログファイルからレコードの配列を受け取り、必要なルールに従って迅速な検索とグループ化を行うことができました。 Perlのテストスクリプトは、次の部分のデータを準備します

my $res3=$slave->logs2->run_command( { aggregate=>'lines', pipeline=>[ {'$match'=>{'tstamp'=>{'$lt'=>$i,'$gte'=>$i-1}}}, {'$project'=>{ 'gf'=>1, 'upstream_time'=>1 ,'resp_time'=>1 ,'size'=>1 } }, {'$group'=>{'_id'=>'$gf',total=>{'$sum'=>1},traffic=>{'$sum'=>'$size'},'times'=>{'$push'=>'$upstream_time'},'response'=>{'$push'=>'$resp_time'}}} ] } );
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

gfフィールドはどこですか

 $inf{gf}=join(' ',($inf{upstream},$inf{code},$inf{host},$inf{backend},$inf{frontend},$inf{cache_status},$inf{content_type},$inf{url},$inf{upstream_code}));
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

出力では、事前にグループ化されたデータの配列へのリンクを取得します。これは後で有限メトリックに変わります。 このケースでは、クールネス=サイトの負荷、エンドユーザーの一般的な応答時間インジケータ/コンテンツタイプ、キャッシュの有効性、エラー数の一般的なメトリックに関心があります。 サイト全体の概観図は、投稿の冒頭のスクリーンショットのように見える場合があります。 プロジェクトベース/システム全体のメトリックのセットは、運用サービス、管理者グループ（たとえば、異なるプロジェクトからのフルテキストインデックスのリクエスト専用の別の画面があり、サイトの負荷のソースを確認するため）、開発者、サイト所有者、および直接管理から形成されます。 最初のデモの後、私たちの願いから週に1つまたは2つの画面が形成され始めました。



重要な計算要件は、時間間隔の計算時間と監視システムへのロードがこの間隔よりも短いことです。



この時間は、1秒あたり100〜200ミリ秒の間隔です。 2番目の間隔は、最も厳しい条件ですべてを壊すために、コンストラクターのアセンブリの段階で選択されます。 実際の条件下では、平均で5/10/30/60秒の方が生命に対する権利が多くなります。

5.計算しましたか？

まず、データは何らかの形でうまく表示される必要があります。 前の手順をデバッグする段階で、highchartsライブラリが使用され、データはMongoDBから取得され、ポイント4からのスクリプトによって追加されました。

• エンドユーザーによるページごとのグラフの任意の形成の問題を解決しません
• 原則としてタスクの監視には適合していません（境界値の追跡、SLAによるサービス可用性の計算など）
• すごい効果を提供しました

将来的には、データをアップロードするモニタリングシステムの主要な要望が策定されました。

• メトリックを開始する機能
• それらを外部からダウンロードする（api /ダウンロードするソフトウェア）

タイトル画面に表示されるzabbixは、それほど多くありませんでした。 ここでは、mongoと同様に、個人的な好みや特定の状況にすべて依存しています。 それらのメトリックはzabbixトラッパータイプで開始され、データはzabbix_senderユーティリティによってバッチモードでmysqlベースとしてロードされます。 数百の値のダウンロードには1〜2ミリ秒かかります。

6.まとめ

バックグラウンドで約1か月かかった作業が完了した後、

• 90秒の遅延を伴う選択したメトリックに関する最新情報（バッファ、解析、mongoでの記録、スレーブへのレプリケーション、計算による記録時間の保証）
• すべてのシステムノードでのユーザーリクエスト処理を追跡する機能（ngx_request_id）
• 最下位レベルで理解-db、上からロードされるより（セッション情報内のホスト、request_uri、request_idの転送）
• プロジェクトによる全文検索サービスの使用の統計
• 提供されるサービスの観点からサイトを見る-多くのプロジェクトによるコンテンツの生成と配信
• 個々のプロジェクトおよびサイト全体に固有のビーコン測定基準
• ガイダンスのための美しい写真
• 最も可能性のあるウィッシュリストを実装するためのプラットフォーム（現在の段階ではゼロポイントでなければなりません）

開発パスへ

• 弾丸がエンドユーザーに到達する方法を追跡する（読み込み時間とすべてのページ要素の表示）
• ウィンドウを90秒から30秒に短縮
• サービスの段階的な低下を追跡するためのアルゴリズム
• 生データ検索-ここでは、splunkと2週間のデータを含むテストベンチを収集します
• xhprofの希望への適応

トピックをさらに詳しく掘り下げたいという要望がある場合-過去1年間のハングアウトで、コメントとそのような出版物へのリンクがある場合、監視とプロファイリングのトピックが繰り返し提起されました-嬉しいだけです。



この記事では、具体的になり始めたばかりのシステムの主要な輪郭を概説します。 最初のステップは最も重要であり、私はあなたのシステムの基本である原則と技術を聞いてうれしいです。