12月16に開催された Elastic{ON} Tour 2015 in Tokyo に参加しましたのでその雑感を。
ログ可視化の手段を探してようやく Elasticsearhch + Kibana に辿り着いて、1 ヶ月程度使い方を模索している程度の知識での雑感です。
当日の詳しいレポートは、リアルタイムツイートならぬリアルタイムブログとして Acroquest Technology 株式会社の技術ブログに非常に詳しくまとめられていますので、そちらを参照ください。
- Elastic{ON} Tokyoスタート! #elasticon - Taste of Tech Topics
- Elastic{ON} Tokyo 2015 キーノートレポート #elasticon - Taste of Tech Topics
- Elastic{ON} Tokyo 2015レポート 〜事例紹介 その1 リクルートテクノロジーズ、Naver #elasticon - Taste of Tech Topics
- Elastic{ON} Tokyo 2015レポート 〜事例紹介 その2 日本経済新聞 #elasticon - Taste of Tech Topics
- Elastic{ON} Tokyo 2015レポート 〜事例紹介 その3 星野リゾート、ゴールドマンサックス #elasticon - Taste of Tech Topics
- Elastic{ON} Tokyo 2015レポート ~ElasticスタックとTipsの紹介 #elasticon - Taste of Tech Topics
- Elastic{ON} Tokyo 2015レポート 〜Elasticスタックを使用したセキュリティ関連のユースケース #elasticon - Taste of Tech Topics
製品概要とロードマップ紹介
Elastic Stack, Elasticsearch
Elastic 須田さんのオープニングトークでスタート。 CTO の Shay Banon さんによる製品概要。Elasticsearch きっかけが、奥様が使うレシピ検索を Java + Lucene で作ったというのが素敵だなと思いました。 Elastic スタックの事例として Wikimedia、Mozilla、NASA、Verizon が紹介されていました。
- Wikimedia moving to Elasticsearch « Wikimedia blog
- Wikimedia: Navigating the World's Encyclopedia | Elastic
- Mozilla: Tackling Security Logs with the ELK Stack | Elastic
- mozdef: the Mozilla Defense Platform
- Exploring Space Through Streaming Analytics | NASA
- NASA: Unlocking Interplanetary Datasets with Real-Time Search | Elastic
- Elastic{ON} Video of the Week: Scaling Elasticsearch for Production at Verizon: 500 Billion Documents & Counting | Elastic
Elasticsearch はカラムストアでもあるというところで doc_values パラメータが紹介されていました。
_source と同じようなものなのでソート、集約に不要なのであればディスクスペース節約のために無効化できそうです。
Kibana
デモでは先日公開された Timelion プラグインも紹介されていました。
- Timelion: The time series composer for Kibana | Elastic
- Timelionの紹介 - Elasticsearch Advent Calendar 2015 1日目 - @johtaniの日記 2nd
Logstash, Beats
Ingest と言うカテゴリで Logstash と Beats の紹介。Elasticsearch へのデータ投入は Embulk で既存ログをバルクロードする方法しか試したことがないですが、国内ではこの手のログコレクターとして Fluentd の名をよく聞きます。Logstash も input や output など 200 を超えるプラグインがあるのですね。
先日発表された Beats についてはファイル転送、各種リソースモニタリングなどとてもパワフルだと言うことが分かりました。Packetbeat の Kibana テンプレートは、試して Visualize や Dashboard の参考にしようかと思いました。Extensions, Found
プロダクションユースでは必要となる監視やセキュリティ、通知について。そして ELK スタックを提供するクラウド Found の発表。
ランチ
Elastic{ON}のお弁当 pic.twitter.com/fbhQ9yJhD8
— Kazuhiro YOSHIKAWA (@yoshikaw) 2015, 12月 16カスタマー事例紹介
株式会社リクルートテクノロジーズでの全社検索基盤(Qaas)、全社プッシュ通知基盤(Pusna-RS)の事例。各サービスサイトを共通の検索基盤でまかない、それを日々 Hadoop+Spark でチューニングしてフィードバックするという検索エコシステムの紹介。
- 「Elasticsearch+Hadoopベースの大規模検索基盤大解剖」最新記事一覧 - ITmedia Keywords
- 「大規模プッシュ通知基盤大解剖」最新記事一覧 - ITmedia Keywords
Naver でのログシステム NELO2 の事例。規模の大きさに圧倒されましたが、クラスタやホットデータの使い分けやパーコレータの存在を知ることが出来ました。
- インデックスは日ごとにひとまとまりで、各サービスごとに type を分けている
- クラスタはマスターノード(
node.master: true)、データノード(node.data: true)、クライアントノード(node.master: false,node.data:false)に分けている - 直近 1 週間のデータは SSD Data Node、それ以外は HDD Data Node と使い分けている
- リアルタイムアラートとして、パーコレータ API を用いている
日本経済新聞社での記事検索とログの可視化の事例。Elasticsearch の転置インデックスとして作成されたワードをキーフレーズに活用するというのはなるほどなと思いました。アクセスログの可視化については、一部はログ分析勉強会で伺った内容もあり、復習になりました。応答時間はよくありますが、転送バイト数から、未圧縮のファイルを見つけて帯域節約できたというのも参考になりました。
星野リゾートでの情報共有の事例。経営判断を正しく行うために、稼働情報、生産性情報、満足度情報などの情報共有は必須。その基盤として Elasticsearch にあらゆる情報を貯めて、必要最小限の Kibana ダッシュボードを作って仮説検証、計測、学習のフィードバックループで Value Ops を実践しているというのはすごいなと思いました。可視化の事例として、「チャネル別予約部屋数」「チャネル別積み上げブッキングカーブ」などが紹介され、「週ごとの獲得室数」では 1年前のデータも表示されており、工夫すれば異なる時系列のデータをひとつのグラフに表示することが出来るのだなと思いました。
Goldman Sachs での事例。GitHub から Elasticsearch のソースコードを取得して内部でビルド。セキュリティやバックアップのプラグインを作成して、700 を超えるノードで注文などの検索、各種文書の全文検索、JVM やネットワークなどのメトリクス、トランザクションデータのリアルタイム検索、データ分析などさまざまな用途に利用。注文検索では RDBMS からの履歴データと注文管理システムからのリアルタイムデータを分けて分析していたが、それらを同じスキーマにまとめて Elasticsearch に保存することで、履歴データもリアルタイムデータもまとめて高速に分析。GS でオープンソースといえば GS Collections が浮かびますが、Java やオープンソースプロダクトを相当に活用しているなと思いました。
- Real-Time Support Analysis with Elasticsearch at Goldman Sachs | Elastic
- Goldman Sachs Puts Elasticsearch To Work - InformationWeek
- goldmansachs/gs-collections
Elastic テクニカルセッション
ElasticスタックとTipsの紹介
Elastic 大谷さんのセッション。Logstash プラグインの紹介、Elasticsearch の各種動的なテンプレート機能の紹介、Kibana の Sense プラグインなどの Tips は、どれも blog で拝見していましたが非常に参考になりました。Kibana の Visualization Editor の Preview Canvas 下方にある上矢印(visualize-spy)は、Elasticsearch へのクエリを確認できるようなので活用できたらなと思いました。
- Logstash
- Elasticsearch
- Elasticsearch Reference » Indices APIs » Index Templates
- Elasticsearch Reference » Mapping » Mapping parameters » fields
- Elasticsearch Reference » Mapping » Dynamic Mapping » Dynamic templates
- Elasticsearch Reference » Mapping » Dynamic Mapping » Dynamic field mapping
- インデックステンプレートとLogstash - @johtaniの日記 2nd
- johtani/elasticsearch-extended-analyze
- Elasticsearch Reference » Indices APIs » Analyze
- Kibana
Elasticスタックを使用したセキュリティ関連のユースケース
IDS やファイアウォールなどセキュリティ製品のイベントログを使った攻撃判定の可視化事例。一意の攻撃者数、標的数、ポート数や疑わしい動作の検出。Watcher を使ったアラートと通知の事例。分析をし易くするため、ログのフォーマットはいくつかの標準(STIX,CEF,CIM,LEEF)を考慮するようにとのことでした。
- Elasticsearch Watcher
- STIX - Structured Threat Information Expression | STIX Project Documentation
- Common Event Format - Google 検索
- Common Information Model - Google 検索
- Log Event Extended Format - Google 検索
LT
いくつかお話しがありましたが、お酒も入ったこともありほとんど覚えていませんでした。。。
おわりに
スタッフの方々の気遣いや、配付資料、同時通訳、無限コーヒー、お弁当、モバイルバッテリーのお土産まで、無償なのにとても素晴らしい1日を過ごせたイベントでした。ありがとうございました。
日々のシステム運用においてログから変化の兆候の気づきを少しでも早く、共有できないかと書籍等で可視化の可能性を調査して ELK の存在を知りました。しばらく Elasticsearch と Kibana を試してある程度使い方が分かってきたところで今回のセミナーを聴講して、ますます Elastic 製品をいろいろと試してみたくなりました。年明けにも勉強会が開催されるようですのでこちらも楽しみです。
- サーバ/インフラエンジニア養成読本 ログ収集〜可視化編 [現場主導のデータ分析環境を構築!]:書籍案内|技術評論社
- 第14回elasticsearch勉強会 #elasticsearch #elasticsearchjp - elasticsearch勉強会 | Doorkeeper
フルカラーの綴じ込み資料贅沢 pic.twitter.com/bhAYeN5WV3
— Kazuhiro YOSHIKAWA (@yoshikaw) 2015, 12月 16カラーの資料はKibana のインパクトを伝えるためには必然だったか pic.twitter.com/lpdoWfkxKf
— Kazuhiro YOSHIKAWA (@yoshikaw) 2015, 12月 16
0 件のコメント:
コメントを投稿