NK
Продолжение обсуждения про ЛОГИ
2.4 fluentbit
Специалист по запуску сложных финтех стартапов: посмотри на fluentbit. Он попроще и сильно быстрее fluent. Теоретически вместо kafka можно оставить тот же fluentbit на стороне агрегатора и через свой простой обработчик кидать в CH. Получается тоже вполне норм, хотя нужно будет думать про балансировку.
2.5 rsyslog
Тимлид большой соцсети: Rsyslog ужасен в плане документации. Это одна из причин почему на него многие плюются.
Если вариативность источников большая (системные логи/приложений/скриптов итд) с ним будет проще так как syslog умеют «все» и уже скорее всего туда пишут.
Из него далее можно слать и в CH и в Kafka и в /dev/null
В плане пересылки мы сталкивались только с одной проблемой.
- Если очередь на rsyslog накопилась большая (получатель был недоступен, а очередь мы задрали) то по восстановлению rsyslog флашит очередь в рамках одной TCP сессии, а это не балансируется (возможно проблема именно само output модуля).
С препроцессингом (форматированием, парсингом) на нём конечно сложнее, но возможно.
Интересные посты по теме (правда уже немного устаревшие):
https://labs.spotify.com/2016/02/25/spotifys-event-delivery-the-road-to-the-cloud-part-i/
https://labs.spotify.com/2016/03/03/spotifys-event-delivery-the-road-to-the-cloud-part-ii/
https://labs.spotify.com/2016/03/10/spotifys-event-delivery-the-road-to-the-cloud-part-iii/
2.6 собственное решение
Тимлид SRE в банке: Мы такое сами пишем. Задачка не очень сложная. Надо просто хитрый конфиг файл к JVM написать.
Очень просто взять нормальный язык программирования и написать как именно надо их доставлять, чем мучиться с опенсорсным гавном для админов. И будет вам и сжатие, и переподключения, и метрики какие вам нужны.
И буферизация, и вообще любые выкрутасы, и очень удобный минимальный конфиг ибо под себя напишете или даже отсутствие конфига. Автодетект и всё.
3 Промежуточная обработка
3.1 splunk
Специалист по запуску сложных финтех стартапов: И если перед CH стоит свой обработчик, то на него можно вешать всякие полезные штуки типа автоподсчета скользящих метрик или отправки части потока для, например, СБ в другую систему (наши Спланк любили). И прочую полезную логику, которую хочется делать онлайн (а еще у нас там была третья линия проверки на просочившиеся в логи PANы)
2.4 fluentbit
Специалист по запуску сложных финтех стартапов: посмотри на fluentbit. Он попроще и сильно быстрее fluent. Теоретически вместо kafka можно оставить тот же fluentbit на стороне агрегатора и через свой простой обработчик кидать в CH. Получается тоже вполне норм, хотя нужно будет думать про балансировку.
2.5 rsyslog
Тимлид большой соцсети: Rsyslog ужасен в плане документации. Это одна из причин почему на него многие плюются.
Если вариативность источников большая (системные логи/приложений/скриптов итд) с ним будет проще так как syslog умеют «все» и уже скорее всего туда пишут.
Из него далее можно слать и в CH и в Kafka и в /dev/null
В плане пересылки мы сталкивались только с одной проблемой.
- Если очередь на rsyslog накопилась большая (получатель был недоступен, а очередь мы задрали) то по восстановлению rsyslog флашит очередь в рамках одной TCP сессии, а это не балансируется (возможно проблема именно само output модуля).
С препроцессингом (форматированием, парсингом) на нём конечно сложнее, но возможно.
Интересные посты по теме (правда уже немного устаревшие):
https://labs.spotify.com/2016/02/25/spotifys-event-delivery-the-road-to-the-cloud-part-i/
https://labs.spotify.com/2016/03/03/spotifys-event-delivery-the-road-to-the-cloud-part-ii/
https://labs.spotify.com/2016/03/10/spotifys-event-delivery-the-road-to-the-cloud-part-iii/
2.6 собственное решение
Тимлид SRE в банке: Мы такое сами пишем. Задачка не очень сложная. Надо просто хитрый конфиг файл к JVM написать.
Очень просто взять нормальный язык программирования и написать как именно надо их доставлять, чем мучиться с опенсорсным гавном для админов. И будет вам и сжатие, и переподключения, и метрики какие вам нужны.
И буферизация, и вообще любые выкрутасы, и очень удобный минимальный конфиг ибо под себя напишете или даже отсутствие конфига. Автодетект и всё.
3 Промежуточная обработка
3.1 splunk
Специалист по запуску сложных финтех стартапов: И если перед CH стоит свой обработчик, то на него можно вешать всякие полезные штуки типа автоподсчета скользящих метрик или отправки части потока для, например, СБ в другую систему (наши Спланк любили). И прочую полезную логику, которую хочется делать онлайн (а еще у нас там была третья линия проверки на просочившиеся в логи PANы)
