Filebeat 6.5 : Mise à jour documentation

PhilippeH17 2019-01-10 15:23:49 UTC #1

Bonjour,

Je viens de faire la migration de Filebeat 5.6 vers Filebeat 6.5.
Filebeat 6.5 propose des modules system et apache2 (et d'autres mais je n'utilise que ces deux-là), ce qui simplifie la configuration.

Je ne pense pas que ce soit lié aux modules mais la configuration de Logstash présenté dans les guides se rapporte toujours à Filebeat 5.x !
Serait-il possible de faire une mise à jour parce que certains noms de champ ont changé (plus de champs type, le champ source est un objet - au lieu d'une chaîne de caractères précédemment, ...) ?

Merci d'avance.

Ma configuration Logstash filters actuelle en 5.6 :

mutate {
	rename => {
		"source" => "filename"
	}
}

if [type] == "apache-access" {
	grok {
		match => { "message" => "%{OVHCOMMONAPACHELOG}" }
		patterns_dir => "/opt/logstash/patterns"
	}
	if ("_grokparsefailure" in [tags]) {
		mutate {
			remove_tag => [ "_grokparsefailure" ]
		}
		grok {
			match => [ "message", "%{OVHCOMBINEDAPACHELOG}" ]
			patterns_dir => "/opt/logstash/patterns"
			named_captures_only => true
		}
	}
	date {
		match => [ "timestamp", "dd/MMM/YYYY:HH:mm:ss Z" ]
		target => "timestamp"
	}
}
if [type] == "apache-error" {
	grok {	
		break_on_match => true
		match => { "message" => [ "%{OVHHTTPD_ERRORLOG_REFERRER}", "%{OVHHTTPD_ERRORLOG}" ] } 
		patterns_dir => "/opt/logstash/patterns"
	}
	mutate {
		add_field => {
			"full_message" => "%{message}"
		}
	}
	mutate {
		rename => {
			"errormsg" => "message"
		}
	}
	date {
		match => [ "timestamp", "E MMM dd HH:mm:ss YYYY" ]
		target => "timestamp"
		timezone => "Europe/Brussels"
	}
	if ("_dateparsefailure" in [tags]) {
		mutate {
			remove_tag => [ "_dateparsefailure" ]
		}
		date {
			match => [ "timestamp", "E MMM dd HH:mm:ss.SSSSSS YYYY" ]
			target => "timestamp"
			timezone => "Europe/Brussels"
		}
	}
}

if [type] == "syslog" {
	grok {
		match => { "message" => "%{SYSLOGBASE}" }
	}
	date {
		match => [ "timestamp", "MMM dd HH:mm:ss" ]
		target => "timestamp"
	}
}

BabacarD 2019-01-10 19:20:58 UTC #2

Bonjour,
Merci pour l'intêret que vous portez à Logs Data Platform.
Nous n'avons pas encore mis à jour la documentation car nous venons depuis peu de proposer Logstash 6.5 sur la plateforme. En effet chaque logiciel de la suite Elastic ne garantit la compatibilité qu'avec des logiciels de version identique. Maintenant que Logstash 6.5 est disponible sur la plateforme, nous allons pouvoir le mentionner dans la documentation.

Pour revenir au problème que vous évoquez , en effet les modules de Filebeat en 6.5 et 5.6 sont différents. Nous ne supportons pas encore Filebeat 6.5 totalement car les objets imbriqués sont aujourd'hui mal sérialisés par notre codec.

Il est possible d'utiliser Logstash 5.6 et 6.5 sur notre plateforme avec filebeat 6.5 mais elle nécessite bien un changement de configuration pour aller chercher le sous objet filebeat correspondant.
Cela donnerait par exemple (pour apache-access et apache-error)

  if [fileset][module] == "apache2" {
    if [fileset][name] == "access" {
      grok {
        match => { "message" => "%{OVHCOMBINEDAPACHELOG}"  }
        patterns_dir => "/opt/logstash/patterns"
	    named_captures_only => true
      }
      mutate {
        add_field => { "read_timestamp" => "%{@timestamp}" }
      }
      date {
        match => [ "timestamp", "dd/MMM/YYYY:H:m:s Z" ]
        target => "timestamp"
      }
   }
    else if [fileset][name] == "error" {
	    grok {
          break_on_match => true
		  match => { "message" => "%{OVHHTTPD_ERRORLOG_REFERRER}" }
          patterns_dir => "/opt/logstash/patterns"
	     }
	    date {
		  match => [ "timestamp", "MMM dd HH:mm:ss" ]
		  target => "timestamp"
	    }
   }
 }

Cette configuration n'a pas été testé en production (n'hésitez pas à y ajouter vos différents mutate). Dîtes nous si elle n'est pas valide dans votre cas ou vous souhaitez qu'on vous accompagne dans sa complétion.

PhilippeH17 2019-01-11 08:45:15 UTC #3

Merci, je vais essayer ça :)

Comment puis je "upgrader" mon "outil de collecte" vers la version 6.5 ?
Faut-il créer un nouvel outil de collecte pour profiter de la dernière version ?

Merci !

PierreD 2019-01-11 09:56:43 UTC #4

Bonjour @PhilippeH17,

Pour mettre à jour votre outil de collecte, procédez comme suit:

Rendez-vous sur notre manager LDP dans la section cloud
Accédez à l'onglet Outils de collecte de votre service
Cliquez sur les 3 ... à droite de votre Logstash pour sélectionner l'action Modifier
Sur le premier volet de notre assistant, changez la valeur de Logiciel en Logstash 6.5
Mettez à jour la partie configuration dans le second volet
Puis lancez un redémarrage de l'instance lorsque cette dernière vous semble valide

Bien cordialement,

PhilippeH17 2019-01-11 10:39:21 UTC #5

Merci,

J'ai lancé la migration et ai "nettoyé" la configuration des input et filter.
Malheureusement, lorsque que je teste la configuration, j'ai le message d'erreur suivant :

                    uri: https://gra2.logs.ovh.com/engine/files/logstash/6.5/57ff3fc1ca15df000d804964/logstash.conf
Sending Logstash logs to /var/log/logstash which is now configured via log4j2.properties
[2019-01-11T10:23:59,107][FATAL][logstash.runner          ] The given configuration is invalid. Reason: Expected one of #, { at line 33, column 37 (byte 593) after output {

    kafka { 
        bootstrap_servers =&gt; kafka-1
[2019-01-11T10:23:59,123][ERROR][org.logstash.Logstash    ] java.lang.IllegalStateException: Logstash stopped processing because of an error: (SystemExit) exit

Merci.

PierreD 2019-01-11 11:54:00 UTC #6

Merci pour cette remontée, c'est à nouveau fonctionnel.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.