1、Copyright 2015 北京優特捷信息技術有限公司提綱IT 運維分析（IT Operation Analytics）日志的應用場景過去及現在的做法日志搜索引擎日志易產品介紹Copyright 2015 北京優特捷信息技術有限公司IT 運維分析 從 IT Operation Management (ITOM) 到 IT Operation Analytics (ITOA) 大數據技術應用于IT運維，通過數據分析提升IT運維效率 可用性監控 應用性能監控 故障根源分析 安全審計 Gartner估計，到2017年15%的大企業會積極使用ITOA；而在2014年這一數字只有5%Copyright

2、 2015 北京優特捷信息技術有限公司ITOA 的四種數據來源 機器數據（Machine Data） 日志 通信數據（Wire Data） 網絡抓包，流量分析 代理數據（Agent Data） 在 .NET/Java 字節碼里插入代碼，統計函數調用、堆棧使用 探針數據（Probe Data） 在各地模擬ICMP ping、HTTP GET請求，對系統進行檢測Copyright 2015 北京優特捷信息技術有限公司ITOA 四種數據來源使用占比86%93%47%72%0%10%20%30%40%50%60%70%80%90%100%machine data（日志） wire data（網絡抓包）

3、agent data（插入代碼）probe data（模擬檢測）Copyright 2015 北京優特捷信息技術有限公司ITOA 四種數據來源的比較 機器數據（日志） 日志無所不在 但不同應用輸出的日志內容的完整性、可用性不同 通信數據（網絡抓包） 網絡流量信息全面 但一些事件未必觸發網絡流量 代理數據（嵌入代碼） 代碼級精細監控 但侵入性，會帶來安全、穩定、性能問題 探針數據（模擬用戶請求） 端到端監控 但不是真實用戶度量（Real User Measurement）Copyright 2015 北京優特捷信息技術有限公司日志，我們重要的數據資產行為日志網絡日志交易日志應用及系統日志IT系統

4、（服務器、網絡設備）每天都產生大量的日志，包含了各種設備、系統、應用、用戶信息Copyright 2015 北京優特捷信息技術有限公司日志：時間序列機器數據 帶時間戳的機器數據 IT 系統信息 服務器 網絡設備 操作系統 應用軟件 用戶信息 用戶行為 業務信息 日志反映的是事實數據 “The Log: What every software engineer should know about real-time datas unifying abstraction”, Jay Kreps, LinkedIn engineer 深度解析LinkedIn大數據平臺（http:/ 2015 北京優

5、特捷信息技術有限公司一條 Apache Access 日志43 - - 15/Apr/2015:00:27:19 +0800 “POST /report HTTP/1.1” 200 21 “https:/ “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0” “74” 0.005 0.001字段：- Client IP: 43- Timestamp: 15/Apr/2015:00:27:19 +0800- Method: POS

6、T- URI: /report- Version: HTTP/1.1- Status: 200- Bytes: 21- Referrer: https:/ User Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0- X-Forward: 74- Request_time: 0.005- Upstream_request_time:0.001Copyright 2015 北京優特捷信息技術有限公司日志的應用場景 運維監控 可用性監控 應用性能監控 (APM) 安全審

7、計 安全信息事件管理 (SIEM) 合規審計 發現高級持續威脅 (APT) 用戶及業務統計分析Copyright 2015 北京優特捷信息技術有限公司過去 日志沒有集中處理 登陸每一臺服務器，使用腳本命令或程序查看 日志被刪除 磁盤滿了刪日志 黑客刪除日志，抹除入侵痕跡 日志只做事后追查 沒有實時監控、分析 使用數據庫存儲日志 無法適應TB級海量日志 數據庫的schema無法適應千變萬化的日志格式 無法提供全文檢索Copyright 2015 北京優特捷信息技術有限公司近年 Hadoop 批處理，不夠及時 查詢慢 數據離線挖掘，無法做 OLAP (On Line Analytic Proces

8、sing) Storm/Spark Hadoop/Storm/Spark都只是一個開發框架，不是拿來即用的產品 NoSQL 不支持全文檢索Copyright 2015 北京優特捷信息技術有限公司現在 對日志實時搜索、分析 日志實時搜索分析引擎 快 日志從產生到搜索分析出結果只有幾秒的延時 大 每天處理 TB 級的日志量 靈活 Google for IT， 可搜索、分析任何日志 Fast Big DataCopyright 2015 北京優特捷信息技術有限公司日志3.0：實時搜索引擎 需要開發成本 批處理，實時性差 不支持全文檢索 固定的schema無法適應 任意日志格式 無法處理大數據量日志2

9、.0：Hadoop 或 NoSQL日志1.0：數據庫日志管理系統的進化 實時 靈活 全文檢索Copyright 2015 北京優特捷信息技術有限公司日志易亮點 可編程的日志實時搜索分析平臺 搜索處理語言 （Search Processing Language, SPL） SPL命令用管道符（“|”）串接成腳本程序 在搜索框里寫 SPL 腳本，完成復雜的查詢、分析 可接入各種來源的數據 日志文件 數據庫 恒生電子交易系統二進制日志 企業部署版 SaaS 版 每天500MB日志處理免費Copyright 2015 北京優特捷信息技術有限公司Schema on Write vs. Schema on

10、 Read Schema on Write 索引時（入庫前）抽取字段，對日志做結構化 檢索速度快 但不夠靈活，必須預先知道日志格式 Schema on Read 檢索時（入庫后）抽取字段，對日志結構化 靈活，檢索時根據需要抽取字段 但檢索速度受影響 日志易同時支持 Schema on Write 和 Schema on Read 日志易實現機制 由用戶選擇需要的策略Copyright 2015 北京優特捷信息技術有限公司日志易功能 搜索 告警 統計 事務關聯 配置解析規則，識別任何日志 把日志從非結構化數據轉換成結構化數據 安全攻擊自動識別 開放API，對接第三方系統 高性能、可擴展分布式架構

11、 索引性能：100萬 EPS (Event Per Second)，20TB/天 檢索性能：60秒內檢索1000億條日志Copyright 2015 北京優特捷信息技術有限公司 日志易分析事件優勢完備的全量日志管理日志分析的關鍵在于其完備性。日志易能夠完整保存長周期、大容量的日志數據，為后期的分析提供了基礎細粒度的數據分析日志的格式、內容五花八門，對其分析的方式方法更是如此。日志易提供了靈活、高效的數據分析語句，能夠幫助用戶從容的進行細粒度的數據分析 秒級回饋分析人員的任何一個想法、一個線索、一個疑點，都可以在幾十甚至幾秒的時間內得到驗證，極大的提高了數據分析的效率可視化統計分析人員通過幾下鼠

12、標點擊，即可快速完成諸如計數、時間段、數值分布、百分比、多級匯總、地理分布等統計操作，并通過最適合的圖表進行呈現Copyright 2015 北京優特捷信息技術有限公司客戶案例：某大型綜合金融機構 使用日志易之前 逐臺登陸服務器，無法集中查看日志，無法對海量數據進行挖掘、用戶行為分析 日志查詢方式比較原始，只能 less、grep 和 awk 等常見的 Linux 指令，無法多維度查詢（時間段、關鍵字、字段值） 無法進行日志的業務邏輯分析和告警 使用日志易之后，接入160多個應用的日志，10TB/天 省去登陸服務器的操作，快速，降低人為登陸服務器誤操作引發生產故障 查詢條件多維度，提升定位異常

13、原因的效率 可以對日志數據進行數據挖掘、用戶行為分析并產生相應的報表，同時還可以針對應用系統健康指數提前告警，而不是事后補漏Copyright 2015 北京優特捷信息技術有限公司客戶案例：中移動某省分公司 使用場景和解決的問題 分析營業廳業務辦理日志 聚合出每個營業員每項業務的詳細操作步驟，對每個步驟操作時長進行告警、統計分析 Search Processing Language 范例json.url:“/charge/business.action?BMEBusiness=charge.charge&_cntRecTimeFlag=true”|transactionapache.dimen

14、sions.cookie_CURRENT_MENUIDstartswith=eval(json.action:“查詢”×tamp30m)endswith=json.action:提交1.先通過url過濾出所有繳費業務日志2.通過menuid進行分組聚合3.將“查詢”動作作為步驟起點4.默認30分鐘內營業員處理完一筆完整業務5.將“提交”動作作為步驟結束Copyright 2015 北京優特捷信息技術有限公司客戶案例：中移動某省分公司一筆繳費業務營業員所有操作步驟一目了然每個步驟所需要的執行時間按步驟順序排列網絡處理時間，服務器處理時間按步驟順序排列Copyright 2015 北京優

15、特捷信息技術有限公司客戶案例：國家電網 安全信息與事件管理 終端信息安全事件日志的調查、分析、取證 在各省分公司信息安全事件現場使用 快速排查事件日志保留的證據，為事件取證提供支持Copyright 2015 北京優特捷信息技術有限公司客戶Copyright 2015 北京優特捷信息技術有限公司日志易介紹：總覽Copyright 2015 北京優特捷信息技術有限公司日志易介紹：日志結構化Copyright 2015 北京優特捷信息技術有限公司日志易介紹：字段抽取、統計Copyright 2015 北京優特捷信息技術有限公司日志易介紹：搜索Copyright 2015 北京優特捷信息技術有限公司日志易介紹：統計Copyright 2015 北京優特捷信息技術有限公司日志易介紹：告警Copyright 2015 北京優特捷信息技術有限公司日志易介紹：儀表盤Copyright