Logghantering : En undersökning av logghantering och logghanteringssystem

Flodin, Anton

January 2016

This research includes a review of the log management of the company Telia. The research has also included a comparison of the two log management sys- tems Splunk and ELK. The review of the company’s log management shows that log messages are being stored in files on a hard drive that can be accessed through the network. The log messages are system-specific. ELK is able to fetch log messages of different formats simultaneously, but this feature is not possible in Splunk where the process of uploading log messages has to be re- peated for log messages that have different formats. Both systems store log messages through a file system on a hard drive, where the systems are installed. In networks that involve multiple servers, ELK is distributing the log messages between the servers. Thus, the workload to perform searches and storing large amounts of data is reduced. Using Splunk in networks can also reduce the workload. This is done by using forwarders that send the log messages to one or multiple central servers which stores the messages. Searches of log messages in Splunk are performed by using a graphical interface. Searches in ELK is done by using a REST-API which can be used by external systems as well, to retrieve search results. Splunk also has a REST-API that can be used by external sys- tems to receive search results. The research revealed that ELK had a lower search time than Splunk. However, no method was found that could be used to measure the indexing time of ELK, which meant that no comparison could be made with respect to the indexing time for Splunk. For future work there should be an investigation whether there is any possibility to measure the indexing time of ELK. Another recommendation is to include more log management sys- tem in the research to improve the results that may be suitable candidates for the company Telia. An improvement suggestion as well, is to do performance tests in a network with multiple servers and thereby draw conclusions how the performance is in practice. / Denna undersökning har innefattat en granskning av logghanteringen som exi- sterar hos företaget Telia och en jämförelse av två logghanteringssystem: Splunk och ELK. Undersökningen visar att loggmeddelanden hos företaget har olika format och lagras i filer på en hårddisk som nås genom nätverket. Både ELK och Splunk kan hantera loggmeddelanden med olika format. ELK kan läsa in loggmeddelanden av olika format samtidigt, men detta är inte möjligt i Splunk då inläsningsprocessen måste repeteras för loggmeddelanden som har olika format. Båda systemen lagrar loggmeddelanden genom ett filsystem på en servers hårddisk där systemen är installerad. I nätverk som involverar flera servrar arbetar ELK distributivt genom att distribuera loggmeddelanden mellan dessa servrar. Följder av distribuering av loggmeddelanden ger en lägre arbets- börda för varje server i nätverket. I nätverk där Splunk används kan forwarders användas som skickar vidare loggmeddelanden till en eller flera central server som lagrar loggmeddelanden, därmed kan arbetsbördan för sökningar och in- dexering av data minskas. Sökningar av loggmeddelanden i Splunk utförs ge- nom att använda ett grafiskt gränssnitt. Sökningar i ELK sker genom att använ- da ett REST-API som finns i systemet som även används av externa system för att hämta sökresultat. Splunk har också ett REST-API inkluderat som kan an- vändas för att exportera sökresultat. Undersökningen visade att ELK hade en lägre söktid än Splunk. För undersökningen fanns ingen metod att använda för att mäta indexeringstiden för ELK vilket innebar att ingen jämförelse kunde gö- ras med avseende på indexeringstid. För framtida arbete rekommenderas bland annat att undersöka om det finns någon möjlighet att mäta indexeringstiden för ELK. En annan rekommendation är att låta fler logghanteringssystem ingå i un- dersökningen för att förbättra resultatet som kan vara lämpliga kandidater för företaget Telia. Ett förbättringsförslag är att utföra prestandatester för ett nät- verk med flera servrar för att därmed dra slutsatser för hur prestandan är i praktiken.

Log

log management

Splunk

ELK

Telia

Logg

logghantering

Splunk

ELK

Telia

Software Engineering

Programvaruteknik

Evaluation of push/pull based loadbalancing in a distributed loggingenvironment / Utvärdering avlastbalanseringsmetoder i endistribuerad loggmiljö

Nilstadius, Gustaf, Duda, Robin

January 2016

This report compares the characteristics of push/pull load balancing techniques usedin the context of a logging system. The logging system is expected to handle a largevolume of events. The load balancing techniques are evaluated with focus onthroughput during high load. The testing scenarios includes the use of a traditionalload balancer (push-based) and the use of messaging queues (pull-based and indirectlycontext aware) in its place. The ultimate goal of the report is to determine the feasibilityof using a messaging queue rather than a traditional load balancer in a distributedlogging system. Tests were conducted measuring the throughput of multiple setupswith different load balancers. The conclusion of this report is that both messagingqueues and load balancing are equally feasible in a logging context. / Rapporten jämför egenskaper hos lastbalanseringstekniker för användning i ettdistribuerat logghanteringssystem. Systemet förväntas hantera stora volymermeddelanden vid hög belastning. Testscenarion som utförs sker med traditionelllastbalansering där event trycks ut, samt med meddelandeköer som är hämtbaserade.Målet med rapporten är att avgöra om kontextbaserad lastbalansering kan ökastabiliteten i ett system avsett för hantering av loggdata. Testerna som utfördesuppmätte mängden data som gick igenom systemet vid en given tidpunkt, testernakördes med flera typer av lastbalanserare. Slutsatsen som dras är att bådemeddelandeköer och lastbalansering är passande för användning i ett loggsystem.

Logging system

Message queue

Load balancer

Logghantering

Meddelandekö

Lastbalanserare

Computer Systems

Datorsystem

Identifiering av anomalier i COSMIC genom analys av loggar / Identification of anomalies in COSMIC through log analysis

Al-egli, Muntaher, Zeidan Nasser, Adham

January 2015

Loggar är en viktig del av alla system, det ger en inblick i vad som sker. Att analysera loggar och extrahera väsentlig information är en av de största trenderna nu inom IT-branchen. Informationen i loggar är värdefulla resurser som kan användas för att upptäcka anomalier och hantera dessa innan det drabbar användaren. I detta examensarbete dyker vi in i grunderna för informationssökning och analysera undantagsutskrifter i loggar från COSMIC för att undersöka om det är möjligt att upptäcka anomalier med hjälp av retrospektivdata. Detta examensarbete ger även en inblick i möjligheten att visualisera data från loggar och erbjuda en kraftfull sökmotor. Därför kommer vi att fördjupa oss i de tre välkända program som adresserar frågorna i centraliserad loggning: Elasticsearch, Logstash och Kibana. Sammanfattningsvis visar resultatet att det är möjligt att upptäckta anomalier genom att tillämpa statistiska metoder både på retrospektiv- och realtidsdata. / Logs are an important part of any system; it provides an insight into what is happening. One of the biggest trends in the IT industry is analyzing logs and extracting essential information. The information in the logs are valuable resources that can be used to detect anomalies and manage them before it affects the user In this thesis we will dive into the basics of the information retrieval and analyze exceptions in the logs from COSMIC to investigate whether it is feasible to detect anomalies using retrospective data. This thesis also gives an insight into whether it’s possible to visualize data from logs and offer a powerful search engine. Therefore we will dive into the three well known applications that addresses the issues in centralized logging: Elasticsearch, Logstash and Kibana. In summary, our results shows that it’s possible to detected anomalies by applying statistical methods on both in retrospective and real time data.

Information retrieval

log management

real-time monitoring

classification

normalization

aggregation

correlation

vector space model

Boolean retrieval

Lucene

Elasticsearch

Logstash

Kibana

database

COSMIC

Cambio

LIPS

Informationssökning

logghantering

realtidsövervakning

klassificering

normalisering

aggregering

korrelation

vektorrumsmodell

boolesk hämtningsmodell

Lucene

Elasticserach

Logstash

Kibana

databaser

COSMIC

Cambio

LIPS