Автор: Александр Тряпкин, DevOps компании Hostkey

Здравствуйте, уважаемые читатели Habr! В этой статье я хочу поделиться своим опытом решения задачи сбора логов при помощи Go. Как начинающий DevOps, я выбрал для изучения и решения рабочих задач язык программирования Go. Для отправки syslog-логов доступна библиотeка syslog, но увы, она нам не подходит, поскольку данный пакет недоступен на Windows, а задача — сделать мультиплатформенный отправщик логов установки системы на удаленный syslog-сервер. Дополнительно есть потребность отправлять логи в кастомном формате, а именно — в json, для упрощения их последующей обработки. При этом важно, чтобы программа выполнялась одинаково на Linux и на Windows, не требовала установки, выполняла свою задачу и удалялась из системы, поэтому придется изобрести небольшой велосипед. Приступим.

В качестве принимающей стороны мы будем использовать syslog-ng. Рассмотрим параметры, которые нам интересны в части сбора логов — от специфики параметров зависит, как мы будем их отправлять.

Сначала указываем новый source для приема логов с удаленных серверов, и тут есть варианты — в зависимости от наших потребностей можно собирать логи по UDP, TCP, а также использовать TLS для шифрования и аутентификации. Наиболее интересным вариантом является TLS, но мы рассмотрим и другие методы — от простого к более сложному.

1) UDP. Для сбора логов по UDP потребуется следующие параметры в конфигурации syslog-ng:

source s_network {
  			 network( ip("0.0.0.0") #IP, на котором принимать логи, 0.0.0.0 - на всех
        				    transport("udp")  );       };

Порт по умолчанию — 514/UDP, документация предупреждает о необходимости увеличить UDP-буфер при высокой интенсивности отправки логов, иначе возможны потери сообщений. В случае потери пакетов логи также будут потеряны,так что это не оптимальный вариант.

2) TCP. Вариант лишен вышеуказанных проблем и, согласно документации, применяется по умолчанию. Примерный конфиг следующий:

source s_network {
    network( ip("0.0.0.0") ); };

3) TLS. Для использования этого протокола необходимо настроить сервер, в официальной документации есть достаточно подробная пошаговая инструкция. Пример:

source s_remote_tls { 
network ( ip ("0.0.0.0") port(6514) 
transport("tls") 
tls( key-file("/etc/syslog-ng/cert.d/serverkey.pem") cert-file("/etc/syslog-ng/cert.d/servercert.pem")
ca-dir("/etc/syslog-ng/ca.d")
peer-verify(yes)) ); };

При таком варианте настройки мы будем принимать логи только от клиентов, прошедших аутентификацию. Иначе говоря, клиент использует действующий сертификат и логи приходят с IP-адреса или доменного имени, под который сертификат выпущен. Если нет задачи аутентифицировать пользователей, то можно указать peer-verify (no) и получить только шифрование.

Рассмотрев различные варианты, мы решили создать небольшую программу, которая будет отправлять наши логи.

Для начала разберемся, как отправить syslog сообщение серверу так, чтобы он его принял и обработал. Из документации мы видим, что принимаемые сообщения должны соответствовать протоколу RFC3164 или RFC5424. Но поскольку это не окончательный вариант, попробуем отправить лог, используя RFC3164, который выглядит следующим образом:

<30>Dec 25 21:55:36 19202.example.ru systemd[1]: Starting Cleanup of Temporary Directories...

Теперь разберемся, что значит каждая из частей сообщения:

  • <30> — заголовок, содержащий информацию о severity и facility. Закодированную информацию можно расшифровать с помощью таблицы, в данном случае там содержится facility — system и severity — info.

  • Dec 25 21:55:36 — timestamp.

  • 19202.example.ru — hostname.

  • Systemd[1]: — тег сообщения, указывающий, какой программой было отправлено сообщение.

  • Starting Cleanup of Temporary Directories… — само сообщение.

Попробуем отправить сообщение в таком формате в наш тестовый сервер syslog-ng, настроенный на прием логов по UDP. Для этого мы используем библиотеку net:

   logsrv, err := net.ResolveUDPAddr("udp4", "141.105.70.24:514")
   if err != nil {
       log.Fatal(err)
   }
   logwriter, err := net.DialUDP("udp4", nil, logsrv)
   if err != nil {
       log.Fatal(err)
   }
   defer logwriter.Close()
   _, err = logwriter.Write([]byte("<30>Dec 25 21:55:36 test-host go-logger: Hello Habr!"))
   _, err = logwriter.Write([]byte("<30>Dec 25 21:55:36 test-host go-logger: This is test go-logger!"))
   if err != nil {
       log.Fatal(err)
   }

Выполнив код, мы видим, что сервер получил наши сообщения и обработал. Сообщения записаны в указанный файл:

[root@19181 ~]# cat /var/log/test 
Dec 25 21:55:36 test-host go-logger: Hello Habr! 
Dec 25 21:55:36 test-host go-logger: This is test go-logger!

Теперь отправим логи по TCP. Перенастраиваем сервер на получение логов по TCP и пробуем:

   tcpAddr, err := net.ResolveTCPAddr("tcp", "141.105.70.24:514")
   if err != nil {
       log.Fatal(err)
   }
   logwriter, err := net.DialTCP("tcp", nil, tcpAddr)
   if err != nil {
       log.Fatal(err)
   }
   defer logwriter.Close()
   _, err = logwriter.Write([]byte("<30>Dec 25 21:55:36 test-host go-logger: Hello Habr!"))
   _, err = logwriter.Write([]byte("<30>Dec 25 21:55:36 test-host go-logger: This is test go-logger!"))
   if err != nil {
       log.Fatal(err)
   }
Dec 25 21:55:36 test-host go-logger: Hello Habr!<30>Dec 25 21:55:36 test-host go-logger: This is test go-logger!  

Но что мы видим: что-то пошло не так, два сообщения соединены в одно, и второе сообщение не распарсилось. Когда мы отправляли логи по UDP, данная проблема не возникала, поскольку каждое сообщение уходит в своем пакете и обрабатывается отдельно. Решение на самом деле простое — я упустил, что каждое сообщение должно заканчиваться переносом строки \n. Правим и пробуем:

   _, err = logwriter.Write([]byte("<30>Dec 25 21:55:36 test-host go-logger: Hello Habr!\n"))
   _, err = logwriter.Write([]byte("<30>Dec 25 21:55:36 test-host go-logger: This is test go-logger!\n"))
[root@19181 ~]# cat /var/log/test 
Dec 25 21:55:36 test-host go-logger: Hello Habr! 
Dec 25 21:55:36 test-host go-logger: This is test go-logger!

Теперь все ок!

Мы разобрались как отправить сообщение, пришло время применить это знание. Следует учитывать, что, если мы хотим отправить сообщения в формате json (в дальнейшем это сильно облегчит задачу по обработке логов), нам необходимо отключить парсинг в syslog-ng. Для этого достаточно добавить flags (no-parse) в source. Далее будем пробовать отправить логи по протоколу TLS и в json-формате уже в виде полноценной программы:

package main
 
import (
   "bufio"
   "crypto/tls"
   "crypto/x509"
   "encoding/json"
   "fmt"
   "io/ioutil"
   "log"
   "os"
   "time"
 
   "github.com/pborman/getopt/v2"
)
 
// Задаем структуру нашего сообщения, тут мы не ограничены  протоколом syslog, отправляем только то, что нам необходимо или, наоборот, добавляем
type message struct {
   Time     string `json:"timestamp"`
   Hostname string `json:"host"`
   Programm string `json:"programm"`
   Body     string `json:"message"`
}
 
func main() { 
   // Нужные параметры мы будем передавать в нашу программу посредством ключей, в этом нам поможет библиотека getopt
   optSyslogSrv := getopt.StringLong("dest", 'd', "", "Remote syslog server with port ip:port, required")
   optReadFromFile := getopt.StringLong("file", 'f', "", "Read log from file")
   optProg := getopt.StringLong("prog", 'p', "go-logger", "Programm tag, optional,  default - go-logger")
   optHost := getopt.StringLong("host", 'H', "", "Host override")
   optHelp := getopt.BoolLong("help", 'h', "Display usage")
   optVerb := getopt.BoolLong("verbose", 'v', "Display outgoing msgs")
   optCa := getopt.StringLong("ca", 'c', "cacert.pem", "CA")
   optCert := getopt.StringLong("cert", 'C', "clientcert.pem", "Cert")
   optKey := getopt.StringLong("key", 'K', "", "clientkey.pem", "Key")
 
   getopt.Parse()
   // Если программа запущена с ключем -h --help или не задан необходимый параметр, выводим подсказку по использованию
   if *optHelp || len(*optSyslogSrv) == 0 {
       getopt.Usage()
       os.Exit(0)
   }
 
   var hostname string
   var scanner *bufio.Scanner
 
   if len(*optHost) != 0 { // Если hostname указан ключем, берем информацию оттуда
       hostname = *optHost
   } else { // Иначе получаем из системы
       hostname, _ = os.Hostname()
   }
   // Логи наша программа может брать либо из stdin будучи запущеной в pipeline “anyscript.sh | go-logger -d 127.0.0.1:514”, либо из файла. Если указан параметр, то берем из файла
   if len(*optReadFromFile) != 0 {
       file, err := os.Open(*optReadFromFile) //Открываем файл
       if err != nil {
           log.Fatal(err)
       }
       defer file.Close() //Запланируем закрытие файла по окончании
       scanner = bufio.NewScanner(file) //Читаем файл 
   } else {
       scanner = bufio.NewScanner(os.Stdin) //Читаем stdin
   }
 
   msg := message{Hostname: hostname, Programm: *optProg} //Вносим данные в структуру
   //TLS-часть отправки наших логов
   caCert, _ := ioutil.ReadFile(*optCa) //Подгружаем CA сервера из файла
   caCertPool := x509.NewCertPool()
   caCertPool.AppendCertsFromPEM(caCert)
 
   cert, err := tls.LoadX509KeyPair(*optCert, *optKey) //Подгружаем сертификат и закрытый ключ клиента из файлов
   if err != nil {
       log.Fatal(err)
   }
   tlsConf := &tls.Config{ //Создаем конфигурацию TLS
       RootCAs:      caCertPool,
       Certificates: []tls.Certificate{cert},
   }
 
   logwriter, err := tls.Dial("tcp", *optSyslogSrv, tlsConf) // Устанавливаем TLS-соединение
   if err != nil {
       log.Fatal(err)
   }
   defer logwriter.Close() //Запланируем закрытие соединения по окончании
 
   for scanner.Scan() { //Обрабатываем каждое полученное сканером сообщение
       sendMsg := message{
           Time:     time.Now().Format("2006-01-02T15:04:05.00-07:00"), //Время в нужном нам формате
           Body:     scanner.Text(),                                    //Сообщение
           Hostname: msg.Hostname,
           Programm: msg.Programm,
       }
       data, err := json.Marshal(sendMsg) //Маршалим наш json
       if err != nil {
           log.Fatal(err)
       }
       if *optVerb { //Если задан параметр -v, то печатаем отправляемое сообщение
           fmt.Println(string(data))
       }
       _, err = logwriter.Write(append(data, "\n"...)) //Отправляем сообщение добавив перенос строки
       if err != nil {
           log.Fatal(err)
       }
   }
}

Пробуем выполнить, передав в программу все те же две строки, и сервер получает наши логи:

{"timestamp":"2022-12-26T00:19:23.54+03:00","host":"test-go-logger","programm":"go-logger","message":"Hello habr!"}
{"timestamp":"2022-12-26T00:19:23.54+03:00","host":"test-go-logger","programm":"go-logger","message":"Lets test!"}

Эта программа — одна из первых, написанных мною на Go. В процессе ее создания я разобрался, как работает протокол syslog, и освоил азы нового для меня языка программирования. Программа позволила унифицировать отправку логов на разных операционных системах, независимо от семейства, в тех местах, где нет возможности пользоваться syslog-ng. В настоящее время мы адаптируем созданную программу для дальнейшего применения в инфраструктуре нашей компании.

Комментарии (2)


  1. MUTbKA98
    09.01.2023 13:10
    +1

    echo "все что угодно, включая json" | logger <хост>

    Работает и в Windows, если поставить cygwin ну или просто иметь бинарник + чуток .DLL из комплекта cygwin.

    Подозреваю, что оно может даже быть и в WSL, но это не точно.


    1. atryapkin
      11.01.2023 16:34

      echo "все что угодно, включая json" | logger <хост>не подходит, так как конечный вариант - это отправка логов по протоколу tls + если json, то его необходимо предварительно сформировать. Вариант с cygwin не рассматривался, но может быть даже работал бы, т.к. там можно поставить syslog-ng, но теряется универсальность использования. WSL вообще не рассматривался по ряду причин: во-первых - логи нужно отправлять из еще не до конца установленной системы, во-вторых - доступен только с Windows Server 2019, т.е. не вариант.Изначально понятно, что есть готовые варианты, но они быстро разбились о реалии использования и дополнительные потребности.