Revisión de registros en Kibana

  En una entrada anterior se ha hablado de Kibana, el complemento informático que permite visualizar los datos de Elasticsearch y navegar en el Elastic Stack.
  Elasticsearch es un motor de búsqueda de texto, vinculado a una base de datos NoSQL, con capacidades analíticas, que permite procesar grandes volúmenes de datos en tiempo real, permitiendo indexar cualquier tipo de dato (estructurado o no estructurado), recuperarlo mediante búsquedas avanzadas y visualizarlo gráficamente.
  Ambos, junto a Logstash (tubería de procesamiento de datos del lado del servidor que ingesta datos de una multitud de fuentes simultáneamente, los transforma y luego los envía a una ubicación oculta) y Beats (plataforma gratuita y abierta para agentes de datos con el único propósito de enviar datos de cientos o miles de máquinas y sistemas a Logstash o Elasticsearch), son parte de Elastic Stack, soporte lógico que permite al usuario obtener de manera confiable y segura datos de cualquier fuente, en cualquier formato, para poder buscarlos, analizarlos y visualizarlos posteriormente.
  Una de las funciones principales de Kibana es la visualización de registros.
  Generalmente, Logstash ya envía los mensajes de registro procesados y estructurados y Elasticsearch es capaz de inferir el tipo de los campos de tipos primitivos.
  Así, una vez dentro del Elastic Stack,se abrirá el menú de navegación (tres barras horizontales bajo el nombre de la empresa), y se pulsará sobre la opción “Discover” (dentro de la sección  “Analytics”).


  A continuación, podrá verse la pantalla de registros de la sección “Discover” del Kibana, donde no se muestran todos los datos desde el principio de los tiempos, sino una ventana que por defecto está fijada a los últimos 15 minutos.
  Las partes más relevantes de esta pantalla son:
  1.   Buscador general Elasticsearch: Permite al usuario buscar cualquier dato  que Elasticsearch pueda manejar.
  2.   Ayuda: Muestra un menú de ayuda de la plataforma.
  3.   Novedades de la plataforma: Muestra, de forma actualizada, las novedades existentes en Elastic Stack.
  4.   Usuario: Muestra un menú donde se puede examinar los datos del usuario o cerrar la sesión.
  5.   Buscador de Discover: Permite al usuario realizar búsquedas de registros.
  6.   Intervalo de tiempo: Se establece el tiempo a partir del cual se quieren buscar los registros. Este intervalo se puede establecer de manera rápida a partir de una lista predefinida, de manera relativa o de manera absoluta.
  7.   Botón de actualizar: Actualiza la pantalla.
  8.   Botón de filtros: Añade un filtro de modo más exhaustivo.
  9.   Panel de campos: Como es interactivo, permite al usuario inspeccionar los datos con más detalle, seleccionar las columnas que le interesan y/o aplicar filtros adicionales. Todos los campos van acompañados de un símbolo que identifica el tipo de datos que contiene, el reloj cuando es temporal, el numeral o tecla gato para identificar número, la «t» para identificar los textos ("strings", en inglés), un esfera mitad negra significa que el campo es un booleano, y el símbolo interrogante que desconoce qué tipo de campo tiene, normalmente será porque contiene a su vez más campos en su interior. Al pulsar sobre un campo se desplegará un gráfico que mapea los primeros 500 valores del campo.
  10.   Distribución de registros: Muestra un gráfico temporal de los registros dentro del intervalo de tiempo especificado.
  11.   Registros: Esta sección se divide en dos columnas: “Time” (muestra el momento exacto en el que se generó el registro), y “Document” (muestra un resumen del registro en, normalmente, cinco líneas).
  También hay un menú con otras herramientas en la parte superior derecha de la ventana del Discover.

  Teniendo en cuenta esto, para buscar y revisar un registro (o tipo de registros) en concreto, se debe utilizar el buscador de Discover con un término representativo relacionado con el objeto al que se refiere dicho registro o alguna circunstancia interesante (nombre de un equipo informático, nombre de una aplicación concreta, estado de alguno de los antes mencionados, etc.; en el ejemplo se usará el estado “FATAL”, que indica un tipo extremo de error) y establecer un intervalo de tiempo concreto  (en el ejemplo se pondrá el último minuto del día actual), así como otros filtros que se vean necesarios.   


  Puede verse que en el resultado aparece la palabra buscada resaltada en otro color.
  A continuación, se debe desplegar la flecha que hay a la izquierda de la columna “Time” para poder ver los detalles del registro en forma de tabla.

  Generalmente, para determinar más exactamente el error al que hace referencia el registro, hay que fijarse, especialmente, en los campos “Exception.Message” y “ExceptionFormatted” (este último se puede desplegar), aunque a veces falta alguno, o ambos, dependiendo del tipo de registro que se examine.

  Por último, también es conveniente, sobretodo en el caso de examinar registros relacionados con alertas y/o errores de cualquier tipo, asegurarse de que no sigue habiendo alertas de una misma clase durante un tiempo determinado desde la hora del registro detectado (entre 10 y 20 minutos), debiendo ser, normalmente, el número de impactos (“hits”, en inglés) menor de “13” (se ve en la parte superior izquierda de la distribución de registros).
  Si se quisieran usar más filtros, se utilizaría también el botón “+ Add Filter”, en el que se escribe algo representativo de alguno de los campos del panel de campos en el campo “Field” [seleccionando el nombre completo del campo necesario en el desplegable], se selecciona el operador necesario en el desplegable “Operator” (“is”, en este ejemplo)  y se escribe un nombre representativo relacionado con el registro a buscar y el campo seleccionado previamente en el campo “Value”, pulsando el botón “Save” al final.


  Puede verse el resultado de esta nueva búsqueda de registros de error con un intervalo de 5 minutos y el filtro añadido previamente. Al igual que en el ejemplo anterior,  los valores de los filtros son resaltados en el resultado de la búsqueda.


  Por último, si ya se tienen búsquedas previamente configuradas, es posible utilizar el buscador del Elasticsearch escribiendo en él un nombre representativo de la búsqueda.

  Con lo que se verá una salida según las configuraciones de esa búsqueda (en este ejemplo nuevos y distintos campos), aunque igualmente se puede pulsar la flecha a la izquierda de la columna “Time”  para desplegar cada registro de la lista y ver sus detalles. Por otra parte, con este sistema también se pueden añadir filtros del mismo modo que con el modo estándar de buscar.


  Aguardo que la presente entrada haya sido interesante para el lector. Si es así, espero que éste la comente y/o la comparta, por favor.

Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.

Suscribirse a: Enviar comentarios (Atom)