6장. 로그스태시

[seryang]

6.1 로그스태시 소개

• 플러그인 기반의 오픈소스 데이터 처리 파이프라인 도구
• 다소 복잡하고 귀찮은 데이터 전처리 과정을 별도의 애플리케이션 작성 없이 비교적 간단한 설정만으로 수행할 수 있음
• 데이터를 저장하기 전에 사용자가 원하는 형태로 변경할 수 있는 강력한 기능을 제공
• 데이터 수집(비츠/데이터) -> 데이터가공/변환(로그스태시) -> 데이터 저장(엘라스틱서치) -> 분석&시각화(키바나)
• 로그스태시 특징
  • 파이프라인을 구성하는 각 요소들은 전부 플로그인 형태로 만들어져 있음
  • 모든 형태(JSON, XML등)의 데이터 처리
  • 자체적으로 내장되어 있는 메모리와 파일 기반의 큐를 사용하므로 처리 속도와 안정성이 높음
  • 엘라스틱서치의 장애 상황에 대응하기 위해 재시도 로직이나 오류가 발생한 도큐먼트를 따로 보과나는 데드 레터 큐를 내장하고 있음

6.2 로그스태시 실행

• 커맨드라인에서 다음 명령으로 실행 ./bin/logstash -e "input {stdin { } } output { stdout { } }"
• 로그스태시를 실행하기 위해서는 반드시 파이프라인 설정이 필요함
• 일반적으로 파이프라인은 따로 설정 파일을 만들어서 기록하거나 config 폴더의 pipelines.yml에 기록하는데, -e 옵션을 사용하면 콘솔에서 직접 파이프라인을 설정할 수 있음
• 위 명령에 적은 파이프라인은 운영체제의 표준 입력(stdin)으로 전달받은 메시지를 다시 표준 출력(stdout) 으로 표시함 ./bin/logstash -e "input {stdin { } } output { stdout { } }" --log.level error
• --log.level error는 로그 중 error 레벨 미만의 로그는 감추는 설정
• 로그스태시에 제공하는 로그 레벨은 다음과 같음
  • fatal
  • error
  • warn
  • info
  • debug
  • trace
• error 로그 레벨은 스크린샷이 길어지는 것을 막기 위해 추가한 옵션

6.3 파이프라인

• 파이프라인은 데이터를 입력받아 실시간으로 변경하고 이를 다른 시스템에 전달하는 역할을 하는 로그스태시의 핵심 기능
• 입력, 필터, 출력이라는 세 가지 구성요소로 이뤄짐
• 입력과 출력은 필수 구성요소이고, 필터는 옵션
• 파이프라인 실행 순서
  • 데이터 소스 -> 로그스태시 파이프라인(입력->필터->출력) -> 엘라스틱서치
• 로그스태시가 입력, 필터, 출력 순으로 실행
• 입력은 소스로부터 데이터를 받아들이는 모듈
• 필터는 입력으로 들어오는 데이터를 원하는 형태로 가공하는 모듈
• 출력은 데이터를 외부로 전달하는 모듈
• 파이프라인에 입력과 출력은 반드시 포함돼야 하며 입력, 필터, 출력 각 단계에서 복수의 플러그인을 포함시킬 수 있음
• 로그스태시를 실행하고 'hello world'를 타이핑하면 모니터에 다음과 같이 출력됨
• 로그스태시는 JSON 형태로 데이터를 출력하는데, @version이나 @timestamp는 로그스태시가 만든 필드로 혹시 사용자가 만든 필드와 충돌이 날 것을 대비해 앞에 @ 기호가 붙어 있음
• message, host 필드는 데이터와 시스템 사용자를 나타냄. 여기에는 @ 기호가 붙지 않았는데, @ 기호는 로그스태시에 의해 생성된 필드, 붙지 않은 필드는 수집을 통해 얻어진 정보라고 이해하자
• 간단한 파이프라인일 경우 방금처럼 콘솔에서 직접 작성할 수 있지만 작업의 이력 관리를 위해 pipelines.yml이나 파이프라인 설정 파일을 만들어 로그스태시를 동작하는 것이 좋음
• 파이프라인을 작성하는 기본 템플릿은 다음과 같다

  
  input {
   { 입력 플러그인 }
  }

filter { { 필터 플러그인 } }

output { { 출력 플러그인 } }

- 파이프라인 구성요소인 입력, 필터, 출력의 내부에 플러그인을 지정할 수 있음
- 용도나 형태에 맞춰 이미 만들어진 수많은 플러그인이 있기 때문에 필요한 기능을 지원하는 플러그인을 검색하여 템플릿에 추가하면 됨

## 6.3.1 입력
- 파이프라인의 가장 앞부분에 위치하며 소스 원본으로부터 데이터를 입력받은 단계
- 직접 대상에 접근해 읽어 들이는 경우도 있지만 서버를 열어놓고 받아들이는 형태의 구성도 가능
- 로그스태시 입력이 받아들일 수 있는 데이터 소스
   - 파일, 통계, 웹, 데이터베이스, 스트림
- 다양한 형태의 데이터를 인식할 수 있고 이를 쉽게 처리하기 위해 다양한 입력 플러그인들이 존재
- ex) 특정 파일은 파일 플러그인을, 실시간 트윗은 트위터 플러그인을 통해 가져올 수 있음

> 자주 사용하는 입력 플러그인

입력 플러그인 | 설명
--| --
file | 리눅스의 tail -f 명령처럼 파일을 스트리밍하여 이벤트를 읽어 들임
syslog | 네트워크를 통해 전달되는 시스로그를 수신
kafka | 카프카의 토픽에서 데이터를 읽어 들임
jdbc | jdbc 드라이버로 지정한 일정마다 쿼리를 실행해 결과를 읽어 들임

- 로그스태시의 플러그인은 대부분 사용법이나 형태가 비슷하므로 파일 플러그인 사용법을 배워두면 다른 입력 플러그인 사용도 크게 어렵지 않음

## 실습 
- 로그스태시가 설치된 config 폴더에 logstash-test.conf라는 파이프라인 설정 파일을 만들어 보자
- 확장자가 꼭 conf일 필요는 없음
- 파이프라인 설정 파일의 위치 역시 크게 중요하지는 않지만 가능하면 프로젝트끼리 묶어두는 것이 소스 관리 차원에서 좋음
- 이제 logstash-test.conf 파일에 파일 입력 플러그인을 적용해보자.
![image](https://user-images.githubusercontent.com/7028121/173599383-9e26c61d-5faa-4601-9d55-dade08df0c77.png)
- 필터 로그인을 사용하지 않음
- 입력으로는 파일 플러그인, 출력으로는 표준 출력을 사용
- 파일 플러그인에는 여러 옵션이 있는데 그중 path는 읽어들일 파일 위치를 결정
- elasticsearch.log 파일을 읽는 것으로 설정했는데, 파일에 로그가 쌓이면 실시간으로 elasticsearch.log 파일의 변경을 감지해 읽어 들임
- start_position은 최초 파일을 발견했을 때 파일을 읽을 위치로, 파일의 시작 부분부터 읽어들일지 끝부분부터 새로운 라인만 읽어들일지 정할 수 있음
- 출력은 표준 출력 플러그인을 사용했기 때문에 입력이 발생하면 모니터에 출력
- 실시간으로 출력되는 elasticsearch.log를 수집하기 위해 먼저 엘라스틱서치를 실행하고 로그스태시를 실행해보자.
`user@AL01978864 logstash-8.2.2 % ./bin/logstash -f ./conf/logstash-text.conf`
![image](https://user-images.githubusercontent.com/7028121/173616515-57c3cf2e-4cdc-4363-bd17-30da0f5c7072.png)
- -f 옵션은 설정 파일이나 폴더를 지정하는 옵션으로 방금 만들었던 logstash-test.conf를 파이프라인 설정에 사용하게 됨
- 입력 플러그인 경로에 적힌 elasticsearch.log 파일이 업데이트될 떄마다 출력 플러그인의 stdout(표준 출력)에 의해 모니터에 위 이미지 같은 로그들이 보이게 됨
- message에 적힌 구문을 분석해 의미 있는 데이터로 변환하는 역할을 필터 플러그인이 해야 하며 이는 로그스태시의 가장 중요한 업무라고 할 수 있음

## 6.3.2 필터
- 입력 플러그인이 받은 데이터를 의미 있는 데이터로 구조화하는 역할을 함
- 로그스태시 필터는 비정형 데이터를 정형화하고 데이터 분석을 위한 구조를 잡아줌
- 필터 역시 플러그인 형태이며 입력과 비슷하게 다양한 필터 플러그인이 존재함

> 자주 사용되는 필터 플러그인

필터 플러그인 | 설명
--| --
grok | grok 패턴을 사용해 메시지를 구조화된 형태로 분석. grok 패턴은 일반적인 정규식과 유사하나, 추가적으로 미리 정의된 패턴이나 필드 이름 설정, 데이터 타입 정의 등을 도와줌
dissect | 간단한 패턴을 사용해 메시지를 구조화된 형태로 분석한다. 정규식을 사용하지 않아 grok에 비해 자유도는 조금 떨어지지만 더 빠른 처리가 가능
mutate | 필드명을 변경하거나 문자열 처리 등 일반적인 가공 함수들을 제공
date | 문자열을 지정한 패턴의 날짜형으로 분석

## 실습

>filter-example.log
```text
user@AL01978864 log % cat filter-example.log
[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.
[2020/01/02 14:19:25] [ID2] 218.25.32.70 1070 [warn] - busy server.

logstash-text.conf

input {
file {
path => "/Users/user/ELK/logstash/log/filter-example.log"
start_position => "beginning"
sincedb_path => "nul"
}
}

output { stdout { } }

- filter-example.log 파일을 입력으로 받는 파이프라인 설정
- 파일 플러그인에 sincedb_path라는 옵션이 추가됨
- start_position은 로그스태시가 새로운 파일을 인식했을 때 파일ㅇ르 어디서부터 읽을 것인지에 대한 옵션으로 beginning과 end 중 하나를 선택할 수 있음
- beginning은 파일의 처음, end는 파일의 끝을 가리킴
- sincedb 데이터베이스 파일은 파일을 어디까지 읽었는지 기록하는 파일. nul로 지정하면 sincedb 파일을 만들지 않기 때문에 이전 파일을 읽었던 기록이 없어서 매번 로그스태시를 실행할 떄마다 파일을 처음부터 읽게 됨

```text
user@AL01978864 logstash % ./bin/logstash -f ./config/logstash-test.conf --log.level error
{
       "message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
    "@timestamp" => 2022-06-14T15:41:43.452187Z,
      "@version" => "1",
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
         "event" => {
        "original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
    },
          "host" => {
        "name" => "AL01978864.local"
    }
}
{
       "message" => "[2020/01/02 14:19:25] [ID2] 218.25.32.70 1070 [warn] - busy server.",
    "@timestamp" => 2022-06-14T15:41:43.480294Z,
      "@version" => "1",
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
         "event" => {
        "original" => "[2020/01/02 14:19:25] [ID2] 218.25.32.70 1070 [warn] - busy server."
    },
          "host" => {
        "name" => "AL01978864.local"
    }
}
{
       "message" => "",
    "@timestamp" => 2022-06-14T15:41:43.481134Z,
      "@version" => "1",
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
         "event" => {
        "original" => ""
    },
          "host" => {
        "name" => "AL01978864.local"
    }
}

6.3.2.1 문자열 자르기

• 데이터나 로그는 대부분 길이가 길기 때문에 우리가 원하는 형태로 분리해야 함
• 필터 플러그인 중 문자열을 자르는 방법을 알아보자.

user@AL01978864 logstash % cat config/logstash-test.conf
input {
    file {
    path => "/Users/user/ELK/logstash/log/filter-example.log"
    start_position => "beginning"
    sincedb_path => "nul"
    }
}

filter {
    mutate {
    split => { "message" => " " }
   }
}

output {
    stdout { }
}

• mutate 플러그인은 필드를 변형하는 다양한 기능들을 제공
• 필드 이름을 바꾸거나 변경하거나 삭제하는 작업 등을 할 수 있음
• mutate 플러그인 내부에 옵션이 다양한데 split도 여러 옵션 중 하나
• message라는 필드를 공백 기준 (" ")으로 문자를 분리

mutate 옵션

mutate 옵션	설명
split	쉼표(,) 같은 구분 문자를 기준으로 문자열을 배열로 나눔
rename	필드 이름을 바꿈
replace	해당 필드값을 특정 값으로 바꿈
uppercase	문자열을대문자로
lowercase	문자열을 소문자로
join	배열을 쉼표(,) 같은 구분 문자로 연결해 하나의 문자열로 합침
gsub	정규식이 일치하는 항목을 다른 문자열로 대체
merge	특정 필드를 다른 필드에 포함시킴
coerce	null인 필드값에 기본값을 넣어줌
strip	필드값의 좌우 공백을 제거

• mutate는 많은 옵션이 있어서 순서가 중요
  • coerce -> rename > update -> replace -> convert -> gsub -> uppercase -> capitalize -> lowercase -> strip -> remove -> split -> join -> merge -> copy 순으로 옵션이 적용

filter 를 적용한 결과

{
"host" => {
"name" => "AL01978864.local"
},
"message" => [
[0] "[2020-01-02",
[1] "14:17]",
[2] "[ID1]",
[3] "192.10.2.6",
[4] "9500",
[5] "[INFO]",
[6] "-",
[7] "connected."
],
"@version" => "1",
"event" => {
"original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
},
"log" => {
"file" => {
"path" => "/Users/user/ELK/logstash/log/filter-example.log"
}
},
"@timestamp" => 2022-06-14T15:59:14.113534Z
}
{
"host" => {
"name" => "AL01978864.local"
},
"message" => [
[0] "[2020/01/02",
[1] "14:19:25]",
[2] "[ID2]",
[3] "218.25.32.70",
[4] "1070",
[5] "[warn]",
[6] "-",
[7] "busy",
[8] "server."
],
"@version" => "1",
"event" => {
"original" => "[2020/01/02 14:19:25] [ID2] 218.25.32.70 1070 [warn] - busy server."
},
"log" => {
"file" => {
"path" => "/Users/user/ELK/logstash/log/filter-example.log"
}
},
"@timestamp" => 2022-06-14T15:59:14.140492Z
}

• message 필드 문자열이 공백을 기준으로 구분되어 배열 형태의 데이터가 되었음
• 구분된 문자들은 '필드명[숫자['와 같이 접근할 수 있음
• 예를 들어 ID를 가리키는 필드는 message[2]와 같음

logstash-test.conf 를 다음과 같이 수정

user@AL01978864 config % cat logstash-test.conf
input {
file {
path => "/Users/user/ELK/logstash/log/filter-example.log"
start_position => "beginning"
sincedb_path => "/dev/null"
}
}

filter { mutate { split => { "message" => " " } add_field => { "id" => "%{[message][2]}" } remove_field => "message" } }

output { stdout { } }

- add_field는 필드를 새로 만들어서 추가하는 옵션
- id라는 필드를 새로 생성하고 앞에서 split으로 분리되어 있는 message 필드의 배열 중에서 message[2] 의 데이터를 넣음
- remove_field 는 특정 필드를 삭제하는 옵션
- add_field와 remove_field는 mutate의 특별한 옵션은 아니고 모든 필터 플러그인에서 사용할 수 있는 옵션

> 필터 플러그인 공통 옵션

공통옵션 | 설명
--| --
add_field | 새로운 필드 추가
add_tag | 성공한 이벤트에 태그를 추가
enable_metric | 메트릭 로깅을 활성화하거나 비활성화할 수 있음. 기본적으로 활성화되어 있으며, 수집된 데이터는 로그스태시 모니터링에서 해당 필터의 성능을 분석할 때 사용
id | 플러그인의 아이디를 설정. 모니터링 시 아이디를 이용해 특정 플러그인을 쉽게 찾을 수 있음
remove_field | 필드 삭제
remove_tage | 성공한 이벤트에 붙은 태그를 제거

> mutate 플러그인의 split, add_field, remove_field 옵션 사용 결과
```text
{
            "id" => "[ID1]",
          "host" => {
        "name" => "AL01978864.local"
    },
    "@timestamp" => 2022-06-14T16:32:11.702740Z,
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
         "event" => {
        "original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
    },
      "@version" => "1"
}
{
            "id" => "[ID2]",
          "host" => {
        "name" => "AL01978864.local"
    },
    "@timestamp" => 2022-06-14T16:32:11.776895Z,
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
         "event" => {
        "original" => "[2020/01/02 14:19:25] [ID2] 218.25.32.70 1070 [warn] - busy server.."
    },
      "@version" => "1"
}

• 필터 플러그인은 순서대로 동작하는데 먼저 split에 의해 message 필드의 문자열이 공백을 기준으로 분리
• 다음으로 id 필드를 추가하고 필드값은 message[2]를 사용
• 마지막으로 message 필드가 사라짐

6.3.2.2 dissect를 이용한 문자열 파싱

• dissect 플러그인은 패턴을 이용해 문자열을 분석하고 주요 정보를 필드로 추출하는 기능을 수행
• logstash-test.conf 파일의 filter부분을 다음과 같이 수정

  
  input {
  file {
  path => "/Users/user/ELK/logstash/log/filter-example.log"
  start_position => "beginning"
  sincedb_path => "/dev/null"
  }
  }

filter { dissect { mapping => {"message" => "[%{timestamp}] [%{id}] %{ip} %{port} [%{level}] - %{message}."} } }

output { stdout { } }

- dissect 플러그인의 mapping 옵션에 구분자 형태를 정의하고 필드를 구분함
- %{필드명}으로 작성하면 중괄호 안의 필드명으로 새로운 필드가 만들어짐
- %{} 외의 문자들은 모두 구분자 역할을 함
- 필드를 구분하는 문자로는 ' ' (공백) , '-' , '[', ']' 가 있음
- mesaage 필드의 문자열이 "[timestamp] [id] ip port [level] - msg" 형식으로 구성되어 있다면 구분자에 맞춰 문자열을 자르고 생성된 형태에 맞춰 필드를 구분

```text
{
    "@timestamp" => 2022-06-14T17:07:37.484121Z,
       "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
          "host" => {
        "name" => "AL01978864.local"
    },
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
      "@version" => "1",
         "event" => {
        "original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
    },
          "tags" => [
        [0] "_dissectfailure"
    ]
}

• dissect 플러그인에서 매핑된 형태로 문자열이 분리되어 필드에 저장
• mutate 플러그인을 사용한 결과와 비교하면 훨씬 깔끔하다는 것을 알 수 있음
• 두번째 로그는 `_dissectfailure는 dissect 필터 플러그인이 동작하지 않을 경우 발생
• dissecrt 플러그인의 매핑 패턴은 [timestamp]와 [id]간의 공백이 한칸
• 공백이 한칸인 첫번째 로그는 패턴에 맞춰 문자가 잘 구분되었지만 두번째 로그는 [timestamp]와 [id] 사이의 공백이 세칸이기 때문에 매핑에서 정해놓은 구문자가 아니라며 오류를 발생시킴
• dissect 플러그인에서는 공백 한칸과 세칸을 다르게 인식
• 이를 해결하기 위해 매핑에 적용할 수 있는 몇가지 기호를 사용해보자.

  
  input {
  file {
  path => "/Users/user/ELK/logstash/log/filter-example.log"
  start_position => "beginning"
  sincedb_path => "/dev/null"
  }
  }

filter { dissect { mapping => {"message" => "[%{timestamp}]%{?->} [%{id}] %{ip} %{+ip} [%{?level}] - %{}."} } }

output { stdout { } }

- -> 기호는 공백을 무시
- %{필드명->}을 입력하면 공백이 몇 칸이든 하나의 공백으로 인식
- %{?필드명} 혹은 %{}를 입력하면 그 필드명은 결과에 포함하지 않음
- 그래서 %{?->}라고 입력하면 공백들을 하나의 필드로 만든 다음 무시하게 됨
- 기존 level이나 message 필드로 모두 무시하게 됨
- %{+필드명}을 작성하면 여러 개의 필드를 하나의 필드로 합쳐서 표현 (기존 port 필드가 ip 필드에 합쳐짐)
- [timestamp]와 [id] 사이에 있던 공백을 필드로 만든 후 공백 처리를 했음
```text
{
      "@version" => "1",
       "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
            "id" => "ID2",
            "ip" => "218.25.32.70 1070",
     "timestamp" => "2020/01/02 14:19:25",
    "@timestamp" => 2022-06-14T17:14:19.413067Z,
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
          "host" => {
        "name" => "AL01978864.local"
    },
         "event" => {
        "original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
    }
}
{
      "@version" => "1",
       "message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
            "id" => "ID1",
            "ip" => "192.10.2.6 9500",
     "timestamp" => "2020-01-02 14:17",
    "@timestamp" => 2022-06-14T17:14:19.382382Z,
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
          "host" => {
        "name" => "AL01978864.local"
    },
         "event" => {
        "original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
    }
}

grok을 이용한 문자열 파싱

• grok은 정규 표현식을 이용해 문자열을 파싱
• grok은 자주 사용하는 정규 표현식들을 패턴화해뒁ㅆ으며 패턴을 이용해 %{패턴:필드명} 형태로 데이터에서 특정 필드를 파싱할 수 있음

grok에서 지원하는 패턴

패턴명	설명
NUMBER	십진수를 인식. 부호와 소수점을 포함할 수 있음
SPACE	스페이스, 탭 등 하나 이상의 공백을 인식
URI	URI를 인식. 프로토콜, 인증 정보, 호스트, 경로, 파라미터를 포함할 수 있음
IP	IP 주소를 인식. IPV4나 IPV6를 모두 인식할 수 있음
SYSLOGBASE	시스로그의 일반적인 포맷에서 타임스탬프, 중요도, 호스트, 프로세스 정보까지 메시지 외의 헤더 부분을 인식
TIMESTAMP_ISO8601	ISO8601 포맷의 타임스탬프를 인식. 2020-01-01T12:00:00+09:00과 같은 형태이며, 타임존까지 정확한 정보를 기록하고 로그에선 많이 쓰이는 날짜 포맷이기에 grok표현식을 작성할 때도 유용
DATA	이 패턴의 직전 패턴부터 다음 패턴 사이를 모두 인식. 특별히 인식하고자 하는 값의 유형을 신경 쓸 필요가 없으므로 특별히 값이 검증될 필요가 없다면 가장 많이 쓰이는 패턴 중 하나임
GREEDYDATA	DATA 타입과 동일하나, 표현식의 가장 뒤에 위치시킬 경우 해당 위치부터 이벤트의 끝까지를 값으로 인식

자주 쓰는 로그스태시 패턴

input {
    file {
    path => "/Users/user/ELK/logstash/log/filter-example.log"
    start_position => "beginning"
    sincedb_path => "/dev/null"
    }
}

filter {
    grok {
    match => { "message" => "\[%{TIMESTAMP_ISO8601:timestamp}\] [ ]*\[%{DATA:id}] %{IP:ip} %{NUMBER:port:int} \[%{LOGLEVEL:level}\] \- %{DATA.msg}\."}
    }
}

output {
    stdout { }
}

• grok는 기본적으로 %{패턴명:변수명} 형태로 작성
• TIMESTAMP_ISO8601은 ISO8601 표준 시간 표기법에 대한 패턴
• DATA는 모든 데이터를 인식
• IP는 IPv4 형태의 데이터 (192.192.192.192)를 인식
• NUMBER는 숫자를 인식하는데, 변수명 뒤에 :int를 추가하면 변경시 정수 타입으로 지정
• 특별한 값을 넣지 않으면 모든 데이터가 문자 타입으로 인식
• LOGLEVEL은 시스로그 레벨(WARN, ERROR 등)을 인식
• '[', ']', '-', '.' 같은 기호는 역슬래시()를 붙여 이스케이프할 수 있음
• [timestamp]와 [id] 사이에는 공백이 한칸인 경우와 세칸인 경우가 있는데 [ ]*라는 정규식을 이용해 모든 공백을 허용

{
       "message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
          "port" => 9500,
            "ip" => "192.10.2.6",
     "timestamp" => "2020-01-02 14:17",
         "level" => "INFO",
    "@timestamp" => 2022-06-14T17:29:53.303814Z,
            "id" => "ID1",
      "@version" => "1",
         "event" => {
        "original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
    },
          "host" => {
        "name" => "AL01978864.local"
    },
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    }
}
{
    "@timestamp" => 2022-06-14T17:29:53.331826Z,
       "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
      "@version" => "1",
         "event" => {
        "original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
    },
          "host" => {
        "name" => "AL01978864.local"
    },
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
          "tags" => [
        [0] "_grokparsefailure"
    ]
}

• 첫번재 로그는 원하는 형태로 필드가 구분되었고 포트가 문자 타입이 아닌 저웃 타입으로 저장
• 두번째 로그는 오류가 발생했는데 날짜/시간 데이터 포맷이 맞지 않아서임
• TIMESTAMP_ISO8601은 연-월-일 형태의 포맷만 지원하고 있는데 연/월/일 형태의 포매도 지원되도록 수정이 필요함
• 사용자가 패턴을 지정하기 위해서는 grok의 pattern_definitions 옵션을 사용
• 기존 TIMESTAMP_ISO8601 포맷을 기초로 기호만 추가
• logstash-test.conf 파일을 수정해보자.

  
  input {
  file {
  path => "/Users/user/ELK/logstash/log/filter-example.log"
  start_position => "beginning"
  sincedb_path => "/dev/null"
  }
  }

filter { grok { pattern_definitions => { "MY_TIMESTAMP" => "%{YEAR}[/-]%{MONTHNUM}[/-]%{MONTHDAY}[/-][T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?%{ISO8601_TIMEZONE}?" } match => { "message" => "[%{MY_TIMESTAMP:timestamp}] [ ]*[%{DATA:id}] %{IP:ip} %{NUMBER:port:int} [%{LOGLEVEL:level}] - %{DATA.msg}."} } }

output { stdout { } }

- grok 플러그인에서 pattern_definitions 옵션을 추가하고 원하는 형식의 정규 표현식을 작성하면 된다. 
- 기존의 TIMESTAMP_ISO8601 포맷은 연-월-일 형태만 지원했는데, 이 패턴을 복사해와서 연/월/일 형태까지 지원하도록 추가함
- 정규 표현식에서는 [/-]는 '/', '-' 기호 모두 패턴에 맞는다고 판단

```text
{
       "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
          "tags" => [
        [0] "_grokparsefailure"
    ],
          "host" => {
        "name" => "AL01978864.local"
    },
    "@timestamp" => 2022-06-14T17:37:07.595255Z,
      "@version" => "1",
         "event" => {
        "original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
    },
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    }
}
{
       "message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
          "tags" => [
        [0] "_grokparsefailure"
    ],
          "host" => {
        "name" => "AL01978864.local"
    },
    "@timestamp" => 2022-06-14T17:37:07.567033Z,
      "@version" => "1",
         "event" => {
        "original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
    },
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    }
}

• 날짜/시간 포맷을 수정한 grok 플러그인을 사용했더니 두 로그 모두 정상적인 결과가 나옴
• dissect와 grok 플러그인은 패턴을 이용해 구분 분석을 한다는 공통점이 있지만, 성능 차이가 있음
• 로그 형식이 일정하고 패턴이 변하지 않는다면 dissect를 사용하는 것이 좋음
• 패턴을 해석하지 않아서 속도가 바르기 때문
• 하지만 로그 형태가 일정하다고 장담하기 힘들다면 예외 처리나 패턴이 자유로운 grok를 사용하는 것이 좋음
• dissect로 분석이 가능한 문자열은 무조건 dissect로 분석하는 것이 성능상 좋으며, grok은 dissect와 기타 필터 조합으로 간단하게 해결되지 않는 진짜 정규 표현식이 필요한 경우에만 사용하는 것이 좋음

6.3.2.4 대소문자 변경

input {
    file {
    path => "/Users/user/ELK/logstash/log/filter-example.log"
    start_position => "beginning"
    sincedb_path => "/dev/null"
    }
}

filter {
    dissect {
    mapping => {"message" => "[%{timestamp}]%{?->}[%{?id}] %{?ip} %{?port} [%{level}] - %{?msg}."}
    }
    mutate {
    uppercase => ["level"]
    }
}

output {
    stdout { }
}

• 두 가지 필터 플러그인을 사용하고 있음

• 먼저 dissect 플러그인을 이용해 패턴에 맞춰 문자열을 자름

• level 필드를 제외하고 나머지는 ?를 사용해 모두 무시

• 다음으로 mutate 플러그인의 uppercase 옵션을 통해 level 필드의 데이터를 모두 대문자로 변경

  {
   "timestamp" => "2020-01-02 14:17",
     "message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
       "event" => {
      "original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
  },
       "level" => "INFO",
  "@timestamp" => 2022-06-14T17:45:35.425701Z,
        "host" => {
      "name" => "AL01978864.local"
  },
    "@version" => "1",
         "log" => {
      "file" => {
          "path" => "/Users/user/ELK/logstash/log/filter-example.log"
      }
  }
  }
  {
   "timestamp" => "2020/01/02 14:19:25",
     "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
       "event" => {
      "original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
  },
       "level" => "WARN",
  "@timestamp" => 2022-06-14T17:45:35.458476Z,
        "host" => {
      "name" => "AL01978864.local"
  },
    "@version" => "1",
         "log" => {
      "file" => {
          "path" => "/Users/user/ELK/logstash/log/filter-example.log"
      }
  }
  }

• level 필드의 데이터가 warn에서 WARN으로 변경

• lowercase는 uppercase와 반대

6.3.2.5 날짜/시간 문자열 분석

• 로그 생성자들이 만드는 날짜/시간 포맷은 통일되어 있지 않다는 문제가 발생
• ISO8601 같은 표준 표기법이 있지만 국가나 문화권별로 표현하는 방법이 다르고 강제적인 규약이 없으니 로그를 생성하는 곳마다 다른 날짜/시간 포맷을 사용
• 이런 다양한 포맷을 date 플러그인을 이용해 기본 날짜/시간 포맷으로 인덱싱할 수 있음
• 엘라스틱서치의 경우 ISO8601 표준 모새 (yyyy-MM-ddTHH:mm:ss.SSSSSSZ, yyyy-MM-dd, epoch_millis)을 기본으로 사용

input {
    file {
    path => "/Users/user/ELK/logstash/log/filter-example.log"
    start_position => "beginning"
    sincedb_path => "/dev/null"
    }
}

filter {
    dissect {
    mapping => {"message" => "[%{timestamp}]%{?->}[%{?id}] %{?ip} %{?port} [%{level}] - %{?msg}."}
    }
    mutate {
    strip => "timestamp"
    }
    date {
    match => [ "timestamp", "YYYY-MM-dd HH:mm", "yyyy/MM/dd HH:mm:ss" ]
    target => "new_timestamp"
    timezone => "UTC"
    }
}

output {
    stdout { }
}

• dissect 플러그인으로 문자열을 자름

• timestamp 필드만 제외하고 나머지 필드는 무시

• mutate 플러그인의 strip 옵션은 선택한 필드의 양옆에 공백이 있을 경우 제거하는데, dissect에 의해 만들어진 timestamp 필드 좌우에 공백이 포함되어 있다면 제거됨

• date 플러그인은 날짜/시간 관련된 데이터를 ISO8601 타입으로 일괄적으로 변경

• match 옵션의 첫번째 값은 매칭할 필드명이고 이후 값들은 매칭할 날짜/시간 포맷

• 여기서는 timestamp 필드 중에서 YYYY-MM-DD HH:mm 포맷이거나 yyyy/MM/dd HH:mm:ss 포맷인 경우 매칭

• target은 match에 의해 매칭된 필드가 저장될 새로운 필드를 의미하고, timezone은 원본 문자열에 타임존 정보가 포함되어 있지 않을 때 어떤 타임존으로 분석할지 설정

• 로그스태시는 타임존을 지정하지 않으면 로컬 PC의 타임존을 적용

• 이 경우 표준시간대와 맞지 않을 수 있으니 타임존을 UTC로 설정

• 로그스태시에서 사용하는 날짜/시간 포맷은 Joda Time 라이브러리 포맷을 사용

  {
        "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
          "event" => {
      "original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
  },
     "@timestamp" => 2022-06-14T17:50:35.396667Z,
      "timestamp" => "2020/01/02 14:19:25",
       "@version" => "1",
          "level" => "warn",
  "new_timestamp" => 2020-01-02T14:19:25Z,
            "log" => {
      "file" => {
          "path" => "/Users/user/ELK/logstash/log/filter-example.log"
      }
  },
           "host" => {
      "name" => "AL01978864.local"
  }
  }
  {
        "message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
          "event" => {
      "original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
  },
     "@timestamp" => 2022-06-14T17:50:35.368523Z,
      "timestamp" => "2020-01-02 14:17",
       "@version" => "1",
          "level" => "INFO",
  "new_timestamp" => 2020-01-02T14:17:00Z,
            "log" => {
      "file" => {
          "path" => "/Users/user/ELK/logstash/log/filter-example.log"
      }
  },
           "host" => {
      "name" => "AL01978864.local"
  }
  }

• new_timestamp라는 새로운 필드가 생성되었고, 시간 포맷이 달랐던 두 데이터가 ISO8601 타입의 포맷으로 통일됨

6.3.2.6 조건문

• 일반적인 프로글매이 언어와 동일한 형태로 if, else if, else 조건문을 제공하며, 이를 이용해 이벤트마다 적절한 필터를 적용할 수 있음

  
  input {
  file {
  path => "/Users/user/ELK/logstash/log/filter-example.log"
  start_position => "beginning"
  sincedb_path => "/dev/null"
  }
  }

filter { dissect { mapping => {"message" => "[%{timestamp}]%{?->}[%{id}] %{ip} %{port} [%{level}] - %{msg}."} } if [level] == "INFO" { drop { } } else if [level] == "warn" { mutate { remove_field => [ "ip", "port", "timestamp", "level" ] } } }

output { stdout { } }

- 필터 내부에서 조건문을 사용할 수 있음
- dissect 플러그인을 통해 먼저 timestamp, id, ip, port, level, msg 필드를 생성
- 다음으로 if 조건문을 통해 필드명이 특정 조건과 일치하는지 확인하는데, level은 앞서 dissect에서 만들어진 필드
- 파이프라인 순서대로 동작하기 때문에 앞에서 level 필드가 만들어져야만 사용할 수 있음
- drop는 데이터를 삭제하는 플러그인
- 조건문과 결합하면 특정 조건을 만족하는 로그를 버릴 수 있음
- 여기서는 level 필드의 값에 따라 로그를 삭제하거나 특정 필드를 제거하고 있음

```text
{
          "host" => {
        "name" => "AL01978864.local"
    },
       "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
            "id" => "ID2",
         "event" => {
        "original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
    },
    "@timestamp" => 2022-06-14T17:58:39.898744Z,
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
      "@version" => "1",
           "msg" => "busy server"
}

• 조건문에 의해 level이 "INFO"였던 첫 번째 로그는 출력되지 않음
• 그리고 level이 "warn"이었던 두 번째 로그는 mutate 플러그인에 의해 ip, port, timestamp, level 필드가 사라진 것을 확인할 수 있음

6.3.3 출력

• 출력은 파이프라인의 입력과 필터를 거쳐 가공된 데이터를 지정한 대상으로 내보내는 단계
• 파이프라인의 마지막 단계이며 입력, 필터 플러그인과 마찬가지로 다양한 출력 플러그인을 지원

자주 사용하는 출력 플러그인

출력 플러그인	설명
elasticsearch	가장 많이 사용되는 출력 플러그인으로, bulk API를 사용해 엘라스틱서치에 인덱싱을 수행
file	지정한 파일의 새로운 줄에 데이터를 기록
kafka	카프카 토픽에 데이터를 기록

전체 출력 플러그인

input {
    file {
    path => "/Users/user/ELK/logstash/log/filter-example.log"
    start_position => "beginning"
    sincedb_path => "/dev/null"
    }
}

output {
    file {
    path => "/Users/user/ELK/logstash/config/output.json"
    }
    elasticsearch {
    index => "output"
    }
}

• 2개의 출력 플러그인을 사용
• 하나는 파일 플러그인으로 데이터를 파일 형식으로 전송
• path 옵션에 저장할 위치를 적어주면 됨
• 두번쨰 출력 플러그인은 엘라스틹서치 플러그인으로 데이터를 엘라스틱서치에 전송한다.
• 인덱스명을 설정할 수 있고 호스트 URL이나 라우팅 같은 다양한 옵션을 사용할 수 있음

엘라스틱서치 플러그인 옵션

옵션	설명
hosts	이벤트를 전송할 엘라스틱서치의 주소
index	이벤트를 인덱싱할 대상 인덱스
docuemnt_id	인덱싱될 문서의 아이디를 직접 지정할 수 있는 옵션
user/passwd	엘라스틱서치에 보안 기능이 활성화되어 있을 때 인증을 위한 사용자 이름과 비밀번호
pipeline	엘라스틱서치에 등록된 인제스트 파이프라인을 활용하기 위한 옵션
template, template_name	로그스태시에서 기본 제공되는 인덱스 템플릿 외에 커스텀 템플릿을 사용하기 위한 옵션. template에는 정의한 인덱스 템플릿 파일의 경로를, template_name에는 엘라스틱서치에 어떤 이름으로 등록할지를 설정할 수 있음

• 여기서는 간단히 인덱스만 설정했는데 실제 작업 시에는 온라인 문서를 보면서 자신에게 필요한 옵션을 찾아볼 수 있음
• 참고로 로그스태시를 실행할 때 --log.level 옵션을 error로 지정하면 출력 로그를 볼 수 없으니 log.level 옵션은 사용하지 않도록 한다

파일 형식 결과

[2022-06-15T17:16:48,264][INFO ][logstash.outputs.file    ][main][c03c39f9bcc9f39d2683d41c02f954ef3eeb1df6ef6979220e2a6be96fce260e] Opening file {:path=>"/Users/user/ELK/logstash/config/output.json"}

user@AL01978864 logstash % ./bin/logstash -f ./config/logstash-test.conf
[2022-06-15T12:24:07,522][INFO ][filewatch.observingtail  ][main][7cbdaeecb67301ede1ebed72c52e15e1618aadfe66ca0cdd7b96915b358f606c] START, creating Discoverer, Watch with file and sincedb collections

user@AL01978864 config % cat output.json
{"@timestamp":"2022-06-15T03:24:07.819056Z","message":"[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.","log":{"file":{"path":"/Users/user/ELK/logstash/log/filter-example.log"}},"host":{"name":"AL01978864.local"},"@version":"1","event":{"original":"[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."}}
{"@timestamp":"2022-06-15T03:24:07.844124Z","message":"[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.","log":{"file":{"path":"/Users/user/ELK/logstash/log/filter-example.log"}},"host":{"name":"AL01978864.local"},"@version":"1","event":{"original":"[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."}}

• 엘라스틱서치에 로그가 저장되었는지는 확인 못함!!!!! (이건 추후 다시 실습 요망)

6.3.4 코덱

• 코덱은 입력/출력/필터와 달리 독립적으로 동작하지 않고 입력과 출력 과정에 사용되는 플러그인
• 입/출력 시 메시지를 적절한 형태로 변환하는 스트림 필터
• 입력과 출력 단계에서 데이터의 인코딩/디코딩을 담당
• 입력과 출력에만 코덱을 사용하고 필터는 코덱을 사용할 수 없음

자주 사용하는 플러그인

플러그인	설명
josn	입력 시 JSON 형태의 메시지를 객체로 읽어 들임. 출력 시에는 이벤트 객체를 다시금 JSON 형태로 변환
palin	메시지를 단순 문자열로 읽어 들임. 출력 시에는 원하는 포맷을 지정할 수 있음.
rubydebug	로그스태시의 설정을 테스트하거나 예기치 못한 파이프라인 설정 오류를 디버깅하기 위한 목적으로 주로 사용되며, 출력 시 루비(Ruby) 언어의 해시 형태로 이벤트를 기록. 입력 시에는 사용되지 않음

input {
    file {
    path => "/Users/user/ELK/logstash/log/filter-example.log"
    start_position => "beginning"
    sincedb_path => "/dev/null"
    codec => "json"
    }
}

output {
     stdout {}
}

{
       "message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
          "host" => {
        "name" => "AL01978864.local"
    },
          "tags" => [
        [0] "_jsonparsefailure"
    ],
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
      "@version" => "1",
    "@timestamp" => 2022-06-15T08:43:26.187946Z
}
{
       "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
          "host" => {
        "name" => "AL01978864.local"
    },
          "tags" => [
        [0] "_jsonparsefailure"
    ],
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
      "@version" => "1",
    "@timestamp" => 2022-06-15T08:43:26.248952Z
}

• 코덱을 잘못 사용하고 있다는 오류를 보여줌
• 표면상으로는 JSON 문법이 잘못되었닫는 뜻이지만 결국 파일을 인코딩하지 못한 문제
• 입력 파일은 플레인 텍스트 형식인데 JSON 형식으로 인코딩을 시도했기 때문
• 입력에 들어가는 코덱은 파일의 경우 확장자에 맞춰 사용해야 하며, 그 외에는 성격에 맞춰 적당한 코덱을 설정하면 됨
• 입력 코덱을 명시적으로 입력해보자.

  
  input {
  file {
  path => "/Users/user/ELK/logstash/log/filter-example.log"
  start_position => "beginning"
  sincedb_path => "/dev/null"
  codec => "plain"
  }
  }

output { stdout {} }

- csv 파일의 경우 코덱 플러그인으로 plain을 사용하면 제대로 동작하는데, plain 코덱의 경우 굳이 명시하지 않아도 기본 적용됨
```text
{
      "@version" => "1",
       "message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
    "@timestamp" => 2022-06-15T08:46:57.883293Z,
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
         "event" => {
        "original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
    },
          "host" => {
        "name" => "AL01978864.local"
    }
}
{
      "@version" => "1",
       "message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
    "@timestamp" => 2022-06-15T08:46:57.911414Z,
           "log" => {
        "file" => {
            "path" => "/Users/user/ELK/logstash/log/filter-example.log"
        }
    },
         "event" => {
        "original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
    },
          "host" => {
        "name" => "AL01978864.local"
    }
}

• 이 외에도 입력 코덱은 multiline 코덱도 많이 사용됨
• multiline 코덱은 여러 라인 형태로 들어오는 로그를 하나의 로그로 만들기 위해 사용
• 하나의 로그가 여러 줄로 작성되어 있는 경우 꼭 필요한 플러그인
• 출력 코덱은 입력 코덱괏 ㅏ용법은 같으며, 데이터를 디코딩하는 역할을 함

input {
    file {
    path => "/Users/user/ELK/logstash/log/filter-example.log"
    start_position => "beginning"
    sincedb_path => "/dev/null"
    }
}

output {
     stdout {
    #codec => "line"
    #codec => "json"
    #codec => "rubydebug"
     }
}

• # 는 주석인데 한 번에 하나의 주석만 풀면서 파이프라인을 세번 실행해보자.

line 코덱

2022-06-15T08:52:36.860921Z {name=AL01978864.local} [2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.
2022-06-15T08:52:36.883979Z {name=AL01978864.local} [2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.

json 코덱

{"event":{"original":"[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."},"message":"[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.","log":{"file":{"path":"/Users/user/ELK/logstash/log/filter-example.log"}},"@timestamp":"2022-06-15T08:53:34.239319Z","host":{"name":"AL01978864.local"},"@version":"1"}{"event":{"original":"[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."},"message":"[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.","log":{"file":{"path":"/Users/user/ELK/logstash/log/filter-example.log"}},"@timestamp":"2022-06-15T08:53:34.267980Z","host":{"name":"AL01978864.local"},"@version":"1"}

rubydebug 코덱

{
"@version" => "1",
"message" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected.",
"event" => {
"original" => "[2020-01-02 14:17] [ID1] 192.10.2.6 9500 [INFO] - connected."
},
"log" => {
"file" => {
"path" => "/Users/user/ELK/logstash/log/filter-example.log"
}
},
"host" => {
"name" => "AL01978864.local"
},
"@timestamp" => 2022-06-15T08:54:53.208102Z
}
{
"@version" => "1",
"message" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server.",
"event" => {
"original" => "[2020/01/02 14:19:25]   [ID2] 218.25.32.70 1070 [warn] - busy server."
},
"log" => {
"file" => {
"path" => "/Users/user/ELK/logstash/log/filter-example.log"
}
},
"host" => {
"name" => "AL01978864.local"
},
"@timestamp" => 2022-06-15T08:54:53.241008Z
}

• 표준 출력 플러그인에서 코덱을 따로명시하지 않으면 기본으로 rubydebug 코덱이 기본으로 사용됨

6.4 다중 파이프라인

• 하나의 로그스태시에서 여러 개의 파이프라인을 동작할 수 있음
• 하나의 파이프라인으로 다중 처리할 수도 있지만, 분기처리가 복잡해져 지저분해질 수 있어서 이럴 경우 다중 파이프라인을 작성하는게 좋다

6.4.1 다중 파이프라인 작성

• 다중 파이프라인은 하나의 로그스태시에서 여러 개의 파이프라인을 독립적으로 실행할 수 있게 함
• 다중 파이프라인 실행하는 법
  • 먼저 pipelines.yml을 수정해야 한다.
  • pipelines.yml 파일은 config 폴더에서 찾을 수 있음
  • pieplines.yml에 주석으로 Example of two pieplines라고 적혀 있는 부분이 있는데 이 부분을 참고해 다음 내용을 추가하자.
• pipeline.id는 다중 파이프라인의 고유한 아이디를 설정
• path.config는 파이프라인 설정 파일의 위치

파이프라인 설정

설정	설명
pipeline.id	파이프라인의 고유한 아이디
path.config	파이프라인 설정 파일의 위치
pipeline.workers	필터와 출력을 병렬로 처리하기 위한 워커 수. 기본적으로 호스트의 CPU 코어 수와 동일하게 설정
pipeline.batch.size	입력 시 하나의 워커당 최대 몇 개까지의 이벤트를 동시에 처리할지를 결정. 배치 처리된 이벤트들은 엘라스틱서치 출력에서 하나의 벌크 요청으로 묶이기 때문에, 이 수치가 클수록 요청 수행 횟수가 줄어들어 인덱싱 성능 개선 효과가 있지만, 그만큼 단일 요청이 커지므로 1000, 2000과 같이 적당히 조절해가며 튜닝할 필요가 있음
queue.type	파이프라인에서 사용할 큐의 종류를 정할 수 있음. 기본적으로 memory 타입이 사용되나, persisted 타입을 선택해 이벤트의 유실을 좀 더 최소화할 수도 있음

• 그 외의 설정값들은 온라인 문서 참고

• mypipe1.conf 파일을 작성해보자.

  input {
  file {
  path => "~/ELK/elasticsearch/logs/elasticsearch.log"
  start_position => "beginning"
  sincedb_path => "/dev/null"
  }
  
  output {
  stdout {}
  }
  }

• mypipe1 파이프라인은 elasticsearch.log를 입력으로 받고 표준 출력으로 모니터 화면에 결과를 보여준다.
• mypipe2.conf 파일을 작성해보자.

input {
  file {
    path => "~/ELK/elasticsearch/logs/gc.log"
    start_position => "beginning"
    sincedb_path => "/dev/null"
  }
}

output {
  elasticsearch {
    index => "multipipe_pipe2"
  }
}

• mypipe2 파이프라인은 입력으로 gc.log를 받고, 출력은 엘라스틱서치에 multipipe_pipe2라는 인덱스 이름으로 데이터를 저장
• 로그스태시를 실행하면 기본적으로 pipelines.yml에 정의되어 있는 파이프라인을 인식하느넫 -f, -e 옵션을 사용해 실행하면 pipelines.yml 대신 사용자가 지정한 파이프라인을 사용하게 된다.

6.5 모니터링

• 모니터링은 로그스태시를 운영하는 과정에서 필요한 기능으로 크게 두 가지 방법이 있음
  • 로그스태시가 제공하는 API를 활용해 특정 시점의 통계 정보를 얻는 방법
  • 모니터링 기능을 활성화해서 지속적인 통계 정보를 수집하고, 키바나를 통해 대시보드 형태로 연속적인 모니터링을 수행하는 방법

    6.5.1 API를 활용하는 방법

• 로그스태시에서 제공하는 API를 활용하면 설정 변경이나 시스템을 재시작하는 복잡한 과정없이 설정 파일을 확인할 수 있음
• 또한, 로그스태시는 전반적인 통계 정보를 제공하기 때문에 간단한 정보를 빠르게 확인하기 좋음

user@AL01978864 config % curl -XGET "localhost:9600?pretty"
{
  "host" : "AL01978864.local",
  "version" : "8.2.2",
  "http_address" : "127.0.0.1:9600",
  "id" : "d6f760c0-c1d2-4b31-a43a-25049bddf8c6",
  "name" : "AL01978864.local",
  "ephemeral_id" : "e51b6d8d-3c92-4159-a18b-e088d969c46e",
  "status" : "green",
  "snapshot" : false,
  "pipeline" : {
    "workers" : 10,
    "batch_size" : 125,
    "batch_delay" : 50
  },
  "build_date" : "2022-05-25T15:50:17Z",
  "build_sha" : "4371da83af22cc411a7b1edbbe55698d312c9310",
  "build_snapshot" : false
}

• curl을 이용해 로그스태시의 기본적인 정보를 확인할 수 있음
• 버전부터 파이프라인 정보 등 로그스태시의 전반적인 상태를 제공

로그스태시 API 리스트

정보	사용법
노드	curl -XGET 'localhost:9600/_node?pretty'
플러그인	curl -XGET 'localhost:9600/_node/plugins?pretty'
노드 통계	curl -XGET 'localhost:9600/_node/stats?pretty'
핫 스레드	curl -XGET 'localhost:9600/_node/hot_threads?pretty'

• 노드 정보 API는 로그스태시가 실행되고 있는 노드의 기본 정보를 제공하는데 크게 파이프라인, OS, JVM 정보를 제공
• 플러그인 정보 API는 로그스태시에서 사용하는 플러그인 정보를 제공
• 노드 통계 정보 API는 파이프라인, 이벤트, 프로세스 등의 로그스태시 통계 정보를 제공
• 핫 스레드 정보 API는 CPU 사용량이 많은 스레드를 높은 순으로 보여주는데 문제 발생 시 원인을 찾는데 유용

user@AL01978864 config % curl -XGET "localhost:9600/_node/pipelines?pretty"
{
  "host" : "AL01978864.local",
  "version" : "8.2.2",
  "http_address" : "127.0.0.1:9600",
  "id" : "d6f760c0-c1d2-4b31-a43a-25049bddf8c6",
  "name" : "AL01978864.local",
  "ephemeral_id" : "e51b6d8d-3c92-4159-a18b-e088d969c46e",
  "status" : "green",
  "snapshot" : false,
  "pipeline" : {
    "workers" : 10,
    "batch_size" : 125,
    "batch_delay" : 50
  },
  "pipelines" : {
    "mypipe2" : {
      "ephemeral_id" : "b2d09a4b-e08c-4993-8d6d-f34b6d861bde",
      "hash" : "cd38db589ab63a8ce1a1b6b783dce4068f93268544ab60bed2e99179b9038c64",
      "workers" : 10,
      "batch_size" : 125,
      "batch_delay" : 50,
      "config_reload_automatic" : false,
      "config_reload_interval" : 3000000000,
      "dead_letter_queue_enabled" : false
    }
  }
}

• 실행중인 로그스태시 파이프라인에 대한 정보를 제공
• mypipe1, mypipe2에 대한 파이프라인 정보를 확인할 수 있음
• 파이프라인 외에 모니터링 노드 API로 확인할 수 있는 정보는 다음과 같음

타입별 모니터링 노드 API

타입	설명
pipelines	실행중인 파이프라인의 종류와 각 파이프라인에 할당된 배치 크기, 워커 수 등의 정보를 얻음
os	로그스태시가 실행되는 노드의 OS의 종류와 버전 등의 정보를 얻음
jvm	로그스태시가 실행되는 노드의 자바 가상 머신의 버전과 GC 방식, 힙 메모리 등의 정보를 얻음

user@AL01978864 config % curl -XGET 'localhost:9600/_node/stats/pipelines?pretty'

{
  "host" : "AL01978864.local",
  "version" : "8.2.2",
  "http_address" : "127.0.0.1:9600",
  "id" : "d6f760c0-c1d2-4b31-a43a-25049bddf8c6",
  "name" : "AL01978864.local",
  "ephemeral_id" : "e51b6d8d-3c92-4159-a18b-e088d969c46e",
  "status" : "green",
  "snapshot" : false,
  "pipeline" : {
    "workers" : 10,
    "batch_size" : 125,
    "batch_delay" : 50
  },
  "pipelines" : {
    "mypipe2" : {
      "events" : {
        "filtered" : 0,
        "out" : 0,
        "duration_in_millis" : 0
      },
      "plugins" : {
        "inputs" : [ {
          "id" : "b0d3d73e57849a445db9b50139a6182ddd309c2ab59bb2b62af20e8cb9b53414",
          "name" : "file"
        } ],
        "codecs" : [ {
          "id" : "plain_78f9c440-20a8-447d-a724-becbc32f1200",
          "name" : "plain",
          "encode" : {
            "writes_in" : 0,
            "duration_in_millis" : 0
          },
          "decode" : {
            "writes_in" : 0,
            "out" : 0,
            "duration_in_millis" : 0
          }
        }, {
          "id" : "plain_4135e538-4ddd-4745-a839-2bbf7244434e",
          "name" : "plain",
          "encode" : {
            "writes_in" : 0,
            "duration_in_millis" : 0
          },
          "decode" : {
            "writes_in" : 0,
            "out" : 0,
            "duration_in_millis" : 0
          }
        } ],
        "filters" : [ ],
        "outputs" : [ {
          "id" : "a9042e4642e415126368f589d66834074934561ed5eaa59ab40d425e893f98cd",
          "name" : "elasticsearch",
          "events" : {
            "out" : 0,
            "in" : 0,
            "duration_in_millis" : 0
          }
        } ]
      },
      "reloads" : null,
      "queue" : {
        "type" : "memory"
      }
    }
  }
}

• 파이프라인을 구성하는 플러그인 정보와 로그스태시에서 입력, 출력 정보가 통계화되어 보임
• 이 정보들은 특히 파이프라인 구성요소 중 어떤 구간에 병목이 있는지 등을 용이하게 확인하는데 사용
• 노드 통계 정보는 파이프라인 외에 다음과 같은 통계 정보를 제공

타입별 모니터링 노드 통계 API

타입	설명
jvm	스레드, 메모리 사용량, GC 자바 등 자바 가상 머신의 사용 통계
process	사용중인 파일 디스크립터 수, 즉 열어둔 파일 수와 메모리, CPU 사용량 등 프로세스의 사용 통계
events	파이프라인별이 아닌, 실행중인 로그스태시에 인입된, 필터링된, 출력된 총 이벤트의 수와 이를 처리하기 위해 소요된 시간 등의 통계
pipelines	파이프라인과 그 하위에 구성된 플러그인별 이벤트 통계
reloads	로그스태시에서 자동/수동으로 설정을 리로드했을 때 성공/실패 수 통계
os	로그스태시가 도커와 같은 컨테이너에서 실행될 때 cgroup에 대한 통계

6.5.2 모니터링 기능 활성화

• 모니터링 기능을 활성화하면 로그스태시 통계 데이터를 엘라스틱서치에 전송하고, 키바나 GUI를 이용해 모니터링 정보를 연속적으로 파악할 수 있음
• 로그 스태시 config 폴더의 logstash.yml 파일을 열고 다음과 같이 수정하면 됨
• 키바나에서 로그스태시 모니터링을 하기 위한 설정 파일 변경 부분
• 새로 입력할 필요는 없고 주석 처리되어 있는 부분을 찾아 주석을 제거하고 내용만 조금 바꾸면 됨
• xpack.monitoring.enabled를 true로 변경했고, xpack.monitoring.elasticsearch.hosts를 로컬 호스트로 변경
• 모니터링 기능을 활성화하고 난 후 로그스태시를 재실행을 하면 모니터링과 관련된 로그들이 보이게 됨
• 로그 스태시 config 폴더의 jvm.options에서 설메모리 힙 크기를 수정할 수 있음
• Xms는 초기 힙 크기, Xmx는 최대 힙 크기
• 힙 크기를 높게 설정하면 캐싱을 많이 할 수 있어서 로그스태시의 성능을 높일 수 있지만, 노드 전체의 메모리를 고려해 설정해야 함
• 다른 프로세스와 리소스를 같이 써야 하기 떄문에 노드의 총 메모리 리소스를 고려해 힙 크기를 정해야 함

6.6 정리

• 파이프라인은 반드시 포함돼야 하는 입력과 출력 그리고 데이터를 변환하는 필터로 이뤄진다.
• 입력/출력/필터/코덱이라는 네 가지 구성요소를 배웠고 각 구성요소마다 핵심적인 플러그인들을 배웠다.
• 그리고 입력 소스가 여러 개인 경우에 다중 파이프라인을 통해 하나의 로그스태시에서 관리하는 방법을 배웠다.
• 마지막으로 로그 스태시 모니터링 방법을 배웠는데 모니터링 과정에서 로그스태시에 문제가 생길 경우 즉각적으로 대응해야 한다.
• 소스 데이터가 제대로 들어오지 않으면 뒷단의 많은 프로세스가 비정상적으로 동작하기 때문에 로그스태시 모니터링은 매우 중요한 부분이다.

[seryang]

질문1

230페이지 파이프라인 설정을 보면 입력의 파일 플러그인 옵션에 sincedb_path => "nul"

• 책에 나와있는대로라면 이 값을 nul로 지정하면 sincedb 파일을 만들지 않기 때문에 이전 파일을 읽었던 기록이 없어서 매번 로그스태시를 실행할 때마다 파일을 처음부터 읽게 됨
• 그런데 해당 설정 파일을 이용하여 로그스태시를 여러번 실행시키면 동작 안함... (file path에 정의한 로그를 읽어들이지 않음)
• start_position 옵션도 beginning 임
• sincedb 파일도 없음. (마지막 오프셋값 저장한 sincedb 파일도 없음)

  답변

• Windows OS 에서는 sincedb_path => "nul"
• 리눅스 계열 OS 에서는 sincedb_path => "/dev/null"

---

질문2

• 235페이지 dissect(다이섹트)를 이용한 문자열 파싱 -파일에는 2개의 로그가 있는데 이를 파싱하여 출력했을때 나오는 순서가 매번 다르던데 이유가 무엇일까?
• 파이프라인 설정에 입력의 파일 플러그인 start_position 옵션에는 beginning이라 파일의 첫줄부터 읽었을텐데...)
• 물론 결과값의 첫번째 line에 파싱된 데이터의 timestamp가 더 빠르긴 함
• timestamp로 정렬하는 법은 없을까?

  답변

• 멀티쓰레드로 실행되기 때문
• worker 개수를 1개로 바꾸면 됨