Újdonságok a systemd-ben - 2015-ös kiadás

A syslog problemaja az, hogy bar at tudja vinni a strukturalt adatot (semmi nem gatol meg abban, hogy pl JSON-t rakjal a szoveg reszbe, a'la CEE), nem hatekony. Nem fejtem most itt ki, hogy miert, mert van jobb dolgom is.

Hogy van-e igeny vagy sem: Greylog, LogStash, Kibana, es tarsaik. Mind-mind arra epitenek, hogy a strukturalatlan, ilyen-olyan, kesze-kusza logjaidbol valami ertelmeset, jobban strukturaltat es prezentalhatot epitsenek. A BalaBit egyes termekei is ezt celozzak meg. Egyiknek sem megy olyan rosszul, es igeny az bizony van ra. A gond az, es ezert halt el jopar probalkozas is, hogy nem lehet olyan semat talalni, ami mindenkinek jo. Megprobalt ezt a CEE is - beletort a bicskajuk. Megprobalta a Lumberjack is, az is elhalt. Megprobalta a maga modjan a Greylog es a LogStash + Kibana paros is, de ok is csak arra jutottak, hogy ha van valami strukturalt formad, akkor azzal mar lehet kezdeni valamit - altalanos nincs, es nem is lesz. Eddig viszont legalabb mar eljutottunk.

Igeny van ra, legalabbis fogyasztoi oldalon. Csak egyreszt ott van egy hatalmas adag legacy, amivel valamit kezdeni kell, igy nem lehet megszabadulni a regi logokat feldolgozo eszkozoktol. Ha pedig azok mar ott vannak eleve, akkor miert is szivassuk a fejlesztoket azzal, hogy ertelmesebb logokat kopessunk ki a programjaikbol? Megoldja majd a machine learning! A feldolgozasban ugyis tobb penz van. Masreszt ott van az, hogy a fejlesztonek nem erdeke a felhasznalo altal hasznalhato logok eloallitasa. Vajmi keves haszna van belole, akkor pedig minek?

EventLogrol nem tudok sokat, keveset dolgoztam vele - szerencsere. Nekem az remlik belole, hogy csoppet korulmenyes volt hasznalni, es mellesleg durvan lassu volt. Ez nem segiti elo a hasznalatat.

--
|8]

és általában már úgyis ott vagyunk a gépen, a franc se akar a központira mászkálni

Ha es amennyiben epp ott vagy. En eleve el sem megyek odaig, mert minden log megvan kozpontban, kenyelmesebb formaban, amennyiben azokra van szuksegem.

Na jó, de ha már váltunk, akkor miért pont a json, miért nem valami, amiben lehet definiálni, hogy mi fog menni, szabványosan? Mint pl snmp :) (remélem érezzük az iróniát).

Nekem aztan edes mindegy, csak ne syslog legyen. A JSON azert, mert sok esetben kenyelmes (ami az SNMP-rol nem mondhato el), es kb mindenre elerheto ami el es mozog. Felolem akar XML is lehetne, vagy BSON, vagy protocol buffers - nem erdekel, amig hatekonyan elvegzi a feladatat. A syslog protkoll nem teszi ezt.

Egyrészt: én úgy érzem, hogy transportnál a syslog struktúrálja az adatot, és a freetext mezőt kell valahogy feldolgozni, vagy valami jsont vagy hasonlót kell szétkapni annyira kicsi szelete az egész problémakörnek, hogy nagyon. Nem vagyok programozó, akár el is tudom hinni, hogy a syslogos rfck adatformátuma szar, és a json sokkal jobb (bár vannak kétségeim), de szerintem ez messze nem olyan kardinális kérdés.

Az RFC5424-ben tenyleg adott. Cserebe azt a formatumot relative kevesen hasznaljak. A tradicionalis syslogot parsolni pedig annyira nehez feladat, hogy a mai napig senki nem irt olyan syslogdt, ami out-of-the-box mukodne minden eszkozzel ami azt allitja magarol, hogy syslog-ot kop ki. Pedig megprobaltak ezt, tobben is.

Valoban nem kardinalis kerdes - en tobbek kozt ezert nem ertem, miert akadnak fenn emberek azon, hogy HTTP+JSON a transport. Rohadtul mindegy az egyszeri embernek.

És itt kanyarodnék vissza oda, hogy olvasson jsont szemmel akinek két annyja van.

Ezzel tovabbra is egyetertek. De mint mondottam volt, JSON transportra van. /var/log ala ugy rakod le a logot ahogy jol esik, nem kell jsont hasznalni. En sem tennem, pedig a transportom az JSON. Ugyanugy megtartom /var/log alatt a tradicionalis logokat, mint mas, mert barmikor leszakadhat a halo, vagy offline, izolaltan kell megnezni oket. Jo az, ha megvan. Nem mondtam, hogy nem az. Viszont borzaszto kenyelmes es hasznos, ha ennel tobb is az ember rendelkezesere all, es abban nagyon sokat segit, ha a logok ertelmesen vannak feldolgozva (netalantan ugy is vannak gyartva). Es a strukturalt logok atvitelehez a json egesz turhetoen megfelel.

A syslog azert nem, mert:

1) A tradicionalis syslog nincs korrektul definialva, raadasul nem tudod elore, hogy mennyi adat erkezik a kovetkezo uzenetben. Ez megneheziti nemileg a feldolgozast, bar ketsegtelen, hogy nem egy rettenetesen fontos tema.

2) Az RFC5424 mindenfele redundans informaciot tartalmaz (pl timestamp), amit praktikusabb lenne a JSON-be tenni. Nincsen benne semmi ACK mechanizmus (amit pl HTTP vagy valami MQTT, AMQP, satobbi eseten megkaphat az ember), cserebe van benne csomo olyan szutyok, ami az ember agyara megy (pl. a structured data megoldasa).

Es akkor meg csak a formatumrol beszeltunk, a transportrol magarol (HTTP vs syslog itt mar, nem JSON vs syslog) meg nem is.

--
|8]

Ok igy oldjak meg a problemajukat, de te megoldhatod mashogy, ha akarod. Ennyi. Eddig is lehetett rsyslog-ot vagy syslog-ng-t hasznalni a systemd mellett, ahogy ez mar szerepelt a hozzaszolasok kozott. Az itteni nagy felzudulas mar-mar indexes magassagokba (vagy melysegekbe) jutott, maradjunk inkabb a tenyeknel, ne pedig szubjektiv es/vagy megalapozatlan velemenyeken porogjunk.

FYI, systemd-ben van jelenleg egy HTTP+JSON alapu transport, de levlistan mar ott van az RFC5424 syslog transport is, ami bar meg nem kerult be, nem latom, hogy miert ne kerulhetne (de ki fog derulni, mi lesz a sorsa). Illetve ott van meg az rsync is, bar az nem real-time.

Tovabba tovabbra is tamogatott a tradicionalis syslog-nak forwardolas, illetve mind rsyslog, mind syslog-ng tud journalbol olvasni kozvetlenul, es innentol ugy tovabbitod a logokat, es oda, ahogy jol esik.

Nem *annyira* fafeju okrok azok, mint ahogy nehanyan azt gondoljak.

--
|8], a Tevedhetetlen

A transport formatum helyett legyen JSON. Nem tennek le fileba JSON-t en sem, mert mint tobbszor egyetertettem, olvassa azt akinek ket anyja van. Arra valo a gyujto alkalmazas, hogy megfelelo helyen, es formaban tarolja a logokat. Ha konnyebben feldolgozhato formaban erkezik be, hatekonyabban tudja vegezni a munkajat. Tarold le lokalisan tradicionalis syslog-szeru formatumban, ha az tetszik - megteheted. Eddig is a syslogd vegezte ezt, ezutan is az fogja. Ezutan is vegzett nemi elomunkat, ezutan is fog.

Effektive semmi erdemleges nem valtozik azzal, hogy jsont - vagy barmi mast - hasznal az ember atviteli formanak.

--
|8]

Probaljuk ujra, epp raerek. A bejovo syslog uzenet (altalaban mezei ASCII karakterkeszletu szoveg, hopp, ez mar magaban szivas) hogy erkezhet? Legyen mondjuk /dev/log, AF_UNIX (ismertebb neven unix domain socket). Ha ez pechunkre SOCK_STREAM, akkor rab*szas esete forog fenn, mert gozunk sincs, hol van az uzenet vege (LF, NUL, ?), pufferelni es talalgatni kell. Ugyanez tortenik AF_INET[6]+SOCK_STREAM kapcsan (kozismertebb neven TCP). Hogy is nez ki az uzenet? Van fejlec. Ebben mi van? Egy prioritas es egy idopont (milyen formatumban is? Idozona? Evszam?). Kuldo gep neve? Programnev (amit amugy barki barmire allithat)? Opcionalisak. Annak idejen nem kellettek. A kulonfele implementaciok hegesztettek hozza ezeket az adatokat. Mekkora az uzenet maximalis merete? Tradicionalisan 1k, de altalaban 64k-ig emelheto, mert ennyi meg belefer egy UDP csomagba. Az 1k-s okolszabaly ellenere volt olyan syslog implementacio, amelyik alapbol 2k-ra novelte a rovidebb uzeneteket. Mi a bejovo uzenet facility-je? Ha 0-t lat, a libc beallitja 1-re (USER). Hopp, a kernel epp a 0-t hasznalja. Nosza, kezeljuk specialisan a kernel logokat (ez akkor macera, ha szeretnel logokat ujra bekuldeni feldolgozasra, direktben ra kell connect-elni a /dev/log-ra). Folytassam? Ugye felesleges lenne?

Nincs olyan, hogy a syslog transzport onmagaban strukturat ad, a strukturalas elotte tortenik meg a parser oldalan - en legalabbis nem lattam meg pl. a libc-ben nativ syslog proto tamogatast. Ha a bejovo adat tovabbra is freetext, akkor mindegy, hogy a /var/log ala irja ezeket a syslog daemon, vagy a halozaton kuldene at, ugyanaz a katyvasz az eredmeny itt is, ott is - marad az elofeldolgozas, amit altalaban jobb a kuldo oldalon megtenni, mint kozpontilag. Amugy keresd meg mondjuk par tucat GB-nyi logban az osszetartozo sorokat, sok sikert hozza...

Komolyabb biztonsagu helyeken meg az uzemeltetes is ki van zarva a gepekrol, csak ideiglenes hozzaferest engedelyeznek az adatgazdak, azt is felugyelet mellett. Alltam en mar kollegak hata mogott, es diktaltam nekik a parancsokat, mert a vezetes szerint igy volt celszeru szetvalasztani az eltero (operations vs engineering) feladatkorokkel jaro jogosultsagokat.

Egyebkent mondta valaki is, hogy nem maradnak hozzaferhetoek a lokalisan generalt logok? Miert lennenek ezek barmilyen mas formatumra konvertalva? Ez csak eroforrast emesztene fel, feleslegesen. Tudtommal csak arrol volt szo, hogy a remote transport lesz HTTP-alapu. Ebbe belefer az erkezo logok ack-ja (ami komoly hianyossaga az RFC szintjen letezo syslog protoknak), tomorites, ... Miert is kene valami ujat, nativ protokollt feltalalnia a systemd fejlesztoinek, amit a kutya se tamogat meg, es jo esellyel nem is fog? Nem kellene oket hulyenek nezni meg akkor sem, ha sokak szerint nem a KISS elv menten dolgoznak. Aki jobban ismeri, mirol is szol a systemd, annak altalaban joval arnyaltabb a velemenye.

Kihagytam valamit?