ELK学习笔记之F5利用ELK进行应用数据挖掘系列(1)-HTTP

ELK学习笔记之F5利用ELK进行应用数据挖掘系列(1)-HTTP

0x00 概述

F5 BIGIP从应用角度位于网络结构的关键咽喉位置，可获取所有应用的流量，针对流量执行L7层处理，即便是TLS加密的流量也可以通过F5进行SSL offload。通过F5可以统一获取所有应用的请求元数据，而不用关心应用是部署在何种系统架构中，这可以大大简化针对不同应用系统进行应用性能分析、日志采集工作。BIGIP TMOS系统提供了多种方法帮助实现统一信息收集，包括：

HTTP Request logging profileDNS logging profileAvriRule HSLSystem logging HSL

支持高速信息输出而无需过分担心性能下降。

ELK是一个功能强大的集数据收集、存储、分析、索引、可视化的开源套件，支持多种数据结构输入输出。

本文是系列文章的第一篇，描述如何利用F5 LTM HTTP request logging 功能与ELK进行整合，进行HTTP 应用性能透视与分析。通过数据分析，可以进行诸如：

HTTP请求类型分布URL访问排名同一资源池中各个服务器的响应代码分布及趋势HTTP响应错误率统计L4连接数API请求调用延迟重API分布API失败率分析请求线路分布。。。。

通过持续获取应性能信息数据，建立应用性能基线。当应用流量突增时，可直观发现突发流量来自于哪里，分布在哪些链路，哪些请求属于热点请求，应用响应延迟变化，趋势，URL/API拥堵情况，服务器性能状态。以及快速增长的URL之间是否存在业务上的前后逻辑，进而可以帮助判别是否为自动化的L7 DDOS等。

0x01 架构原理

F5 LTM通过配置 request logging profile模板输出HTTP请求与响应有关的数据，数据通过F5的High speed logging（HSL)功能直接输出到logstash监听的TCP端口上，Logstash通过使用Grok filter对原始数据进行规则过滤，格式化后的数据输出到elasticsearch服务器，通过kibana程序进行数据整理、可视化输出，下图描述了各功能组件间关系。

0x02 ELK搭建

​​LogStash配置文件

​​配置一个pool，用于被logging profile调用，该pool的成员是logstash的服务器地址，端口为上述步骤中logstash启动的端口

2. 配置request logging profile, 只需设置resposne setting部分，request部分不用设定。模板详细内容请参考 ​​配置vs，并应用上述logging profile

4. 访问vs业务，此时所有响应消息将被发送至logstash并被输入到elasticsearch中

0x05 Elastic search集群状态

所有以f5-request开头的类型都是相关request请求数据，数据被分为5个shards，并有一个备份。

0x06 Kibana数据分析

创建一个以f5-request-*为索引条件的pattern

选择正确的搜索时间，可以在discover界面中看到原始数据的输出：

可视化模块的定义

最后组装dashboard进行统一展示：

以上是部分可视化分析样例，通过对原始数据的充分精细加工，可以找到更贴合实际需求的可视化输出。下一篇文章将描述如何利用DNS logging profile建立DNS性能数据透视

更详细信息请访问​​https://github.com/myf5/f5-elk-demo/​​

​​参考​​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。