Bienvenue !

Pierre-Julien VILLOUD

https://linkedin.com/pjvilloud

Introduction

Considérons quelques cas d'utilisation que l'on rencontre fréquemment dans les projets informatiques

Mise en place d'un moteur de recherche plus ou moins sophistiqué
Surveillance technique et fonctionnelle d'applications en temps réel
Détecter efficacement et solutionner rapidement des anomalies

Ces problématiques sont complexes et développer des outils en interne permettant de les adresser serait très coûteux.

La suite Elastic

Pour répondre à chacun de ces cas d'utilisation, nous parlerons de la suite Elastic, comprenant (entre autres...) Elasticsearch, Logstash, Kibana et Beats.

L'objectif de ce cours n'est pas de vous présenter en détails l'ensemble des fonctionnalités (cela demanderait plus de temps !), mais de vous montrer les principes de fonctionnement et quelques cas d'utilisation concrets afin de mieux appréhender ces outils.

Historique

Quelques repères autour des produits et solutions présentés dans ce cours.

2000

Shay Banon crée un moteur de recherche pour l'aider à s'y retrouver dans sa longue liste de recettes de cuisine. Compass, puis Elasticsearch est développé (à partir d'Apache Lucene). La solution est rapidement adoptée par une communauté grandissante.
2012

Fondation d'Elasticsearch Inc. (qui deviendra ensuite simplement Elastic) et association d'Elasticsearch avec l'agrégateur de log Logstash et l'outil de visualisation Kibana pour donner la stack ELK.
2015

Harmonisation des développements et des numéros de version. Intégration de Beats. Déploiement du SaaS Elastic Cloud sur AWS
2017-2018

Création d'Elastic Cloud Entreprise, la solution SaaS interne d'Elastic. Introduction en bourse de la société Elastic.

Le moteur de recherche

A l'heure du Big Data, la recherche est un enjeu très important et les recherches simples ne sont plus suffisantes.

Il faut pouvoir rechercher rapidement dans un ensemble de données conséquent et varié.

Il faut pouvoir rechercher approximativement et proposer des corrections automatiques.

Il faut pouvoir trier selon divers critères des résultats avec une notion de pertinence.

Il faut pouvoir filtrer ou regrouper les résultats.

Il faut pouvoir proposer des suggestions pour améliorer la recherche.

Présentation d'Elasticsearch

Elasticsearch est un moteur de recherche et d'analyse de texte Open Source basé sur le moteur de recherche Apache Lucene. Il est la partie centrale de la suite Elastic. Il est également parmi les moteurs de base de données NoSql les plus populaires.

Elasticsearch fournit un ensemble de services web REST permettant d'intéragir avec lui et fonctionne en cluster.

Concepts

Elasticsearch est un moteur de recherche riche en fonctionnalités mais relativement complexe. L'objectif ici est de comprendre les concepts clés permettant de l'utiliser dans le cadre de la suite Elastic.

Voyons en détail chacun de ces concepts.

Document

Un document représente les données que l'on souhaite stocker, et sur lesquelles nous effectuerons nos recherches. C'est l'équivalent d'une ligne d'une table d'un SGBDR.

              {
  "titre" : "Elasticsearch: The Definitive Guide",
  "auteurs": ["Clinton Gormley", "Zachary Tong"],
  "formats": [
    {
      "type": "Kindle",
      "prix": 24.69
    },
    {
      "type": "Broché",
      "prix": 32.84
    }   
  ]          
}

Un document est stocké sous forme d'un objet JSON. Les données à l'intérieur sont composées de champs clé-valeur. Ces valeurs peuvent être des types simples (chaîne de caractère, entier, décimal, booléen) ou être lui-même un objet JSON, ou encore un tableau.

Index

Les index sont l'équivalent des bases de données (pour les SGBDR). Ce sont des espaces permettant de stocker des documents.

Il est possible d'avoir plusieurs index dans un cluster mais chaque document est unique au sein d'un index.

Type

Les types de documents permettent de regrouper les documents similaires et permet de filtrer les documents en fonction de leur type.

Petit à petit, les types sont supprimés d'Elasticsearch. La version 7 a déprécié les requêtes filtrant par type et cette fonctionnalité sera tout simplement supprimée dans la version 8.

Mapping

Un mapping est défini au niveau d'un index (un seul mapping par index) et permet de configurer la structure des documents et le type des données stockées dans ces derniers. Cela correspond au schéma d'une table d'un SGBDR.

              {
    "books": {
        "mappings": {
            "properties": {
                "auteurs": { "type": "text", ... },
                "formats": {
                    "properties": {
                        "prix": { "type": "float" },
                        "type": { "type": "text", ... }
                    }
                },
                "titre": { "type": "text", ... }
            }
        }
    }
}

Un mapping est déduit automatiquement lors de l'indexation du premier document dans l'index (à partir des données du document) mais peut-être défini explicitement (préférable).

Shard

Il n'y a pas de limites concernant le nombre de documents que vous pouvez stocker dans un index. Afin d'éviter des plantages relatifs à des tailles d'index trop importantes, il est possible de diviser un index en plusieurs shards afin d'éventuellement les dispatcher sur les différents noeuds du cluster.

Node 1

Shard 1

{
  "titre": "Elasticsearch: The Definitive Guide",
  ...
}

{
  "titre": "Spring in Action",
  ...
}

...

Shard 2

{
  "titre": "Programming in Java",
  ...
}

{
  "titre": "Continuous Integration",
  ...
}

...

Il est possible de configurer manuellement le nombre de shards par index (par défaut à 1). L'augmentation du nombre de shards permet d'améliorer les performances de l'indexation.

Replica

Une replica est une copie d'un shard.

Node 1

Shard 1

Shard 2

Replica 3

Replica 4

Node 2

Shard 3

Shard 4

Replica 1

Replica 2

Afin d'éviter les pertes de données, les replicas doivent être stockées sur des noeuds différents de leur shard d'origine. Le nombre de replicas par shard est configurable. L'augmentation du nombre de replicas améliore les performances des recherches et la disponibilité de l'index.

Récapitulatif

Cluster

Node 1

Index 1 : Shard 1
{ "title": "Elastic...", ... } { "title": "Spring...", ... } ...

Index 1 : Replica 2
{ "title": "Java...", ... } { "title": "Continuous...", ... } ...

Node 2

Index 1 : Shard 2
{ "title": "Java...", ... } { "title": "Continuous...", ... } ...

Index 1 : Replica 1
{ "title": "Elastic...", ... } { "title": "Spring...", ... } ...

Communication

La manière la plus simple de communiquer avec un cluster Elasticsearch est via son interface REST. Accessible par défaut sur le port 9200, elle permet de configurer le cluster et ses différents noeuds, d'effectuer toutes les opérations de CRUD sur les index ou les documents et d'effectuer tout type de recherche.

De nombreux clients Elasticsearch existent (notamment un présent dans Kibana) permettant de rendre l'interface plus accessible. La documentation complète de l'API est disponible ici.

Indexer

L'indexation consiste à ajouter un document ou plusieurs documents dans un index.

Création/Affichage/Suppression d'index
Indexation/Mise à jour/Suppression d'un document
Opération sur plusieurs documents

Pour exécuter les requêtes présentées, il est possible d'utiliser n'importe quel client REST (Postman par exemple) ou d'utiliser ce site en renseignant l'URL du serveur Elasticsearch dans le champ affiché au clic sur le bouton du menu (par défaut à http://localhost:9200. Il est possible d'y indiquer le nom d'utilisateur et le mot de passe le cas échéant).

CR(U)D sur les index

L'indexation consiste à ajouter un document dans un index. Pour cela, commençons par créer un index en exécutant une requête PUT /[index_name].

Requête HTTP PUT /people
Corps de la requête (optionnel)

{
  "settings" : {
    "number_of_shards" : 1,
    "number_of_replicas" : 1
  },
  "mappings" : {
    "properties" : {
        "dateNaissance" : { 
          "type" : "date", 
          "format": "dd/MM/yyyy" 
        },
        "sexe" : { "type": "keyword" },
        "departementNaissance" : { "type": "keyword" }
    }
  }
}

Réponse

Toutes les possibilités sur l'API index ici et sur les mappings ici. Pour supprimer un index, il suffit d'exécuter une requête DELETE /[index_name].
Pour afficher un index, il suffit d'exécuter une requête GET /[index_name].

CRUD sur les documents

Pour ajouter un document à un index, on utilise une requête POST /[index_name]/_doc/ (identifiant généré automatiquement, à éviter !) ou PUT /[index_name]/_doc/[id] ou encore PUT /[index_name]/_create/[id] ou POST /[index_name]/_create/[id].

Requête HTTP PUT /people/_doc/1

{
  "nom": "V",
  "prenom": "Pierre",
  "sexe": "M",
  "dateNaissance": "30/04/1987",
  "departementNaissance": "38",
  "bio": "I worked for 7 years for the company Worldline in Lyon as a Java and FrontEnd lead developper. I am working as a freelance now and I teach at IPI"
}

Pour modifier un document, il suffit de le réindexer, c'est-à-dire exécuter une nouvelle requête PUT /[index_name]/_doc/[id]. Le numéro de version est incrémenté et le contenu du document remplacé. Attention à ne pas utiliser la méthode POST /[index_name]/_doc/ qui crée systématiquement un nouveau document (avec un nouvel id). On peut utiliser POST /[index_name]/_update/[id]

Réponse

Toutes les possibilités sur l'API document ici. Pour supprimer un document, il suffit d'exécuter une requête DELETE /[index_name]/_doc/[id].
Pour afficher un document, il suffit d'exécuter une requête GET /[index_name]/_doc/[id].

Opérations sur plusieurs documents

Il est possible d'effectuer les opérations vues précédemment sur plusieurs documents en une seule requête.

Récupérer plusieurs documents GET /people/_mget
```
{ "ids": ["1", "1000", "1001"] }
```

Indexer plusieurs documents POST /_bulk

{ "index" : { "_index" : "people", "_id" : "1000" } }
{ "nom": "Doe", "prenom": "John", "sexe": "M", "dateNaissance": "01/01/1970", "departementNaissance": "01", "bio": "I don't know anything about myself except the fact that I am a man." }
{ "index" : { "_index" : "people", "_id" : "1001" } }
{ "nom": "Doe", "prenom": "Jane", "sexe": "F", "dateNaissance": "02/01/1970", "departementNaissance": "01", "bio": "I don't know anything about myself except the fact that I am a woman." }

Modification ou suppression en fonction d'une requête

Réponse

Toutes les possibilités sur l'API multi-document ici, dans la rubrique Multi-document APIs.

Rechercher

Voyons maintenant comment on peut effectuer des recherches en utilisant Query DSL et la requête POST/GET /[index(s)]/_search.
A noter qu'il est possible de ne spécifier aucun index, un seul index, ou une liste d'index séparés par des virgules.

Renvoyer tous les documents d'un index POST /people/_search
```
{
  "query": {
    "match_all": {}
  }
}
```
Idem (même corps de requête) mais parmi tous les index POST /_search

Réponse

Toutes les possibilités sur l'API search ici.

Recherche stricte

Voici quelques exemples permettant de faire des recherches strictes (il y a beaucoup d'autres syntaxes ! )

Rechercher sur tous les champsPOST /people/_search

{
  "query": {
    "query_string": { "query": "john AND Doe" }
  }
}

Rechercher sur un champ avec John ou JanePOST /people/_search
```
{ "query": { "match": { "prenom": "John Jane" } } }
```

Rechercher sur plusieurs champs POST /people/_search

{ "query": {
    "multi_match": { 
      "fields": ["nom", "prenom"], "query": "John Villoud" 
    }
  }
}

Réponse

Toutes les possibilités sur l'API search ici.

Recherche partielle

Voici quelques exemples permettant de faire des recherches partielles (il y a d'autres syntaxes ! )

Nom commence par do POST /people/_search
```
{ "query": { "prefix": { "nom": "do" } } }
```

Nom contient j puis n POST /people/_search

{ "query": { "wildcard": { "prenom": "j*n" } } }

Bio contient dans l'ordre that I am POST /people/_search
```
{ "query": { "match_phrase": { "bio": "that I am" } } }
```

Bio contient know a*** POST /people/_search

{ "query": { "match_phrase_prefix": { "bio": "know a" } } }

Réponse

Attention à l'utilisation des recherches de type wildcard (ne jamais commencer par * ou ?) qui peuvent être peu performances lorsque la taille de l'index est importante.

Recherche floue ou par intervalle

Le gros intérêt d'Elasticsearch est de pouvoir faire des recherches floues. Voici quelques exemples.

Nom ressemblant à jonh POST /people/_search

{ "query": { 
  "match": { 
    "prenom":  {"query": "jonh", "fuzziness": "AUTO" } 
} } }

ou

{ "query": { "fuzzy": { "prenom": "jonh" } } }

Personnes nées entre le 1^er janvier et le 1^er février 1970 POST /people/_search

{ "query": { 
  "range": { 
    "dateNaissance": {
      "gte": "01/01/1970", "lte": "01/02/1970"
    }
  } 
} }

Réponse

Scénario 1 : Auto-complétion

Exercice : Mettre en place une auto-complétion recherchant de manière floue sur le prénom ou le nom.

Mettre "%VALUE%" dans votre requête pour remplacer automatiquement par la valeur saisie dans le champ.

Agréger

Les agrégations permettent de présenter les données regroupées selon certains champs. On parle de facettes Il est alors possible de classer et analyser les résultats retournés sous diverses formes (diagrammes...) et améliorer la navigation en indiquant clairement les filtrages possibles.

Très intéressant lorsqu'on recherche parmi un catalogue de produits par exemple, ce mécanisme s'avérera également pratique dans le cadre du monitoring d'applications

Agrégation basique

Voyons comment grouper des résultats en fonction des différentes valeurs d'un champ.

Afficher tous les résultats en indiquant les cardinalités pour chaque agrégat par département de naissance avec critère de taille et d'ordre
POST /people/_search

{ 
  "query": { "match_all": { } },
  "aggregations": {
    "departements": {
      "terms": { 
        "field": "departementNaissance",
        "size": 2,
        "order" : { "_count" : "desc" }
      }
    }
  }
}

Réponse

A noter qu'on ne peut pas effectuer des agrégations terms pour un champ mappé en tant que text. Il faut qu'il soit mappé en tant que keyword. Toutes les informations sur l'agrégation terms ici.

Agrégation `range`

Les agrégations de type range permettent de répartir les résultats en tranches par rapport à une valeur d'un champ

Afficher tous les résultats en indiquant les cardinalités pour chaque agrégat pour les tranches définies
POST /people/_search

{ 
  "query": { "match_all": { } },
  "aggregations": {
    "agg_dateN": {
      "date_range": {
        "field": "dateNaissance", "format": "yyyy",
        "ranges": [ { "from": "2000" }, 
          { "from": "1980", "to": "2000"},
          { "from": "1970", "to": "1980"}
        ]
      }
    }
  }
}

Réponse

Il est bien évidemment possible de faire des agrégations range pour des champs numériques classiques. Dans ce cas, remplacer date_range par range et supprimer format.

Agrégation `histogram`

Les agrégations histogram suivent le même principe que les agrégations range mais on spécifie un taille d'intervalle au lieu de définir manuellement les tranches.

Afficher tous les résultats en indiquant les cardinalités pour chaque agrégat par année de naissance
POST /people/_search

{ 
  "query": { "match_all": { } },
  "aggregations": {
    "agg_dateN": {
      "date_histogram": {
        "field": "dateNaissance",
        "calendar_interval": "year",
        "format": "yyyy"
      }
    }
  }
}

Réponse

Il est bien évidemment possible de faire des agrégations histogram pour des champs numériques classiques. Dans ce cas, remplacer date_histogram par histogram, supprimer format et remplacer calendar_interval par interval

Agrégation `filter`

Les agrégations filter permettent de regrouper les documents qui respectent les critères du filtre puis d'éventuellement appliquer d'autres agrégations sur ce sous-ensemble.

Afficher tous les hommes en indiquant les cardinalités pour chaque agrégat par département de naissance
POST /people/_search

{ 
  "query": { "match_all": { } },
  "aggregations": {
    "agg_fi": {
      "filter": { "term": { "sexe": "M" } },
      "aggs": {
        "departements": {
          "terms": { "field": "departementNaissance" }
        }
      }
    }
  }
}

Réponse

Il est possible de définir plusieurs filtres un utilisant la syntaxe "filters": { "filters": [ ... ] } à la place de filter.

Agrégation `min` `max` et `avg`

Ces agrégations permettent respectivement de calculer la valeur minimum, maximum et moyenne pour un champ défini.

Afficher tous les résultats en indiquant la date de naissance minimum, maximum et moyenne
POST /people/_search

{ 
  "query": { "match_all": { } },
  "aggregations": {
    "date_min": {
      "min": { "field": "dateNaissance" }
    },
    "date_max": {
      "max": { "field": "dateNaissance" }
    },
    "date_avg": {
      "avg": { "field": "dateNaissance" }
    }
  }
}

Réponse

La notion de moyenne aura plus de sens pour les champs de type numérique. Il est également possible d'utiliser l'agrégation statistical qui calcule plusieurs statistiques sur le champ défini (celles présentées ici mais également somme, écart type, variance...).

Collecter les données

La recherche peut être faite sur des données très diverses (BDD, fichiers textes, sites web...). Il est donc nécessaire de collecter ces données et de transformer les informations pertinentes en documents compréhensibles par le moteur de recherche.

employes.xml

<employes>
  <employe id="1">
    <nom>Doe</nom>
    <prenom>John</nom>
    <complet>John Doe</complet>
    <matr>C12345</matr>
    <dipl>DUT</dipl>
    <emb>06/05/2010</emb>
    <comm>...</comm>
    <sal>2450.65</sal>
  </employe>
  ...
</employes>

apache.log

79.210.252.187 - - [29/Nov/2017:23:50:20 +0100] "GET / HTTP/1.1" 200 19502 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0" 443 "-"
...

{
  prenom: "John"
  nom: "Doe",
  matricule: "C12345",
  dateEmbauche: "2010-05-06",
  salaire: 2450.65
}

{
  ip: "79.210.252.187",
  date: "2017-11-29 23:50:20",
  statusCode: 200,
  url: "/",
  httpMethod: "GET",
  port: 443
}

Gestion de l'insensibilité à la casse
Prise en compte de la phonétique
Gestion des synonymes
Gestion des conjugaisons et des pluriels
...

Ce n'est qu'une fois ces documents créés qu'ils pourront être indexés dans le moteur de recherche.

La suite Beats

Beats représente un ensemble de modules permettant de récupérer des données de sources diverses afin de les envoyer à votre Elasticsearch. On retrouve FileBeat permettant de gérer notamment les fichiers de logs, MetricBeat permettant de collecter des indicateurs et statistiques de machines (processeur, mémoire...) ou encore HeartBeat qui permet de surveiller la disponibilité d'applications web.

Ces modules ou agents peuvent être installés sur les différentes machines de votre architecture et envoyer leur données à un ou plusieurs cluster Elasticsearch.

`FileBeat`

FileBeat permet de configurer un ou plusieurs inputs correspondant aux différents types de logs que vous souhaitez gérer.

Lorsque des lignes sont ajoutées dans les fichiers surveillés par FileBeat, ce dernier les traite et transmet automatiquement à l'ouput configuré les lignes concernées.

Configuration

Une fois les différentes étapes d'installation effectuées, il est nécessaire de configurer FileBeat pour lui définir son ou ses inputs, son output et les URLs de Kibana et Elasticsearch. La configuration est située dans le fichier filebeat.yml :

#Fichier filebeat.yml
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
#============================== Elastic Cloud =====================================
cloud.id: XXX
cloud.auth: user:password
#============================== Ou Kibana =========================================
setup.kibana:
  host: "localhost:5601"
#============================== Output (un seul) ==================================
output.elasticsearch:
  hosts: ["localhost:9200"]
#output.logstash:
  #hosts: ["localhost:5044"]

On renseigne l'url de Kibana afin de permettre à FileBeat de créer des visualisations prêtes à l'emploi (notamment lorsqu'on utilise des modules). Pour profiter de ces visualisations, il faut utiliser l'output Elasticsearch. On peut également envoyer les données à Logstash.

Modules

De nombreux modules peuvent être activés pour gérer des logs dont le format est standard (logs Apache, MySQL...).

filebeat modules enable apache

# Module: apache (modules.d/apache.yml ou modules.d/apache.yml.disabled si non activé)
- module: apache
  # Access logs
  access:
    enabled: true
    var.paths: ["/var/logs/apache/access_log*"]

  # Error logs
  error:
    enabled: true
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    var.paths: ["/var/logs/apache/error.log*"]

La plupart des autres outils de la suite Beats fonctionnent de la même manière (fichier de configuration yml et modules à activer/désactiver.

`MetricBeat`

MetricBeat est un agent qui une fois installé sur les machines de votre architecture, permet d'envoyer périodiquement des métriques orientées système.

Il existe le module System, mais aussi des modules pour les serveurs Web (Apache, IIS, Nginx...), les services Cloud (AWS, Google Cloud, Azure) ou encore les serveurs de base de données (PostgreSQL, MySQL...).

`HeartBeat`

HeartBeat est un petit programme qui s'exécute en arrière plan et ping régulièrement une ou plusieurs URLs configurées pour s'assurer que l'application web est disponible.

# fichier heartbeat.yml
heartbeat.monitors:
- type: http
  # ID used to uniquely identify this monitor in elasticsearch even if the config changes
  id: mon-id
  # Human readable display name for this service in Uptime UI and elsewhere
  name: Application Dummy
  # List or urls to query
  urls: ["http://dummyapp.com/isAlive", "http://otherservice:4545/"]
  # Configure task schedule
  schedule: '@every 10s'
  # Total test connection and data exchange timeout
  #timeout: 16s

Logstash

Logstash a pour but de récupérer des données dont l'origine et le format sont multiples, de les parser, éventuellement les transformer pour les envoyer vers une ou plusieurs sorties.

Le cas le plus courant est la récupération et l'analyse de fichiers de logs à envoyer dans un Elasticsearch. Mais les possibilités sont bien plus étendues.

Configuration de Logstash

Lorsqu'on lance Logstash, il est nécessaire de spécifier un fichier de configuration déterminant les entrées, sorties et éventuels traitements à effectuer.

# Collecte de logs Apache
input {
    file {
        path => "/var/log/apache2/access.log"
        start_position => "beginning"
    }
}
filter {
  grok {
    match => { "message" => "%{COMBINEDAPACHELOG}" }
  }
  date {
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}
output {
    elasticsearch {
        hosts => [ "localhost:9200" ]
    }
}

# Collecte de logs custom
input {
    beats {
        port => "5044"
    }
}
filter {
  dissect {
    mapping => { "message" => "%{ts}-%{+ts}-%{+ts} %{level} - %{msg}" }
  }
}
output {
    elasticsearch {
        hosts => [ "localhost:9200" ]
    }
    stdout { codec => rubydebug }
}

Nous verrons ensemble quelques exemples mais les possibilités sont infinies ! A noter que les Grok filters sont difficiles à configurer. Il vaut mieux les tester en utilisant un debbuger ou l'outil intégré à Kibana. Le Dissect Filter est plus facile à utiliser.

Visualiser les données

Kibana est une interface web permettant de consulter les données d'un cluster Elasticsearch, mais propose surtout beaucoup d'outils permettant d'analyser et de visualiser ces données. Plusieurs outils sont disponibles :

Discover : Exécuter des requêtes directement dans Elasticsearch
Visualize : Visualiser des requêtes spécifiques sous forme de graphiques
Dashboard : Regrouper dans un tableau de bord plusieurs visualisations
Canvas : Idem que Dashboard mais axé sur la présentation
Maps : Visualisation de données comportant des éléments géospatiaux
Machine Learning : Modélise le fonctionnement normal de l'application
Metrics : Visualise les logs et métriques techniques de l'infrastructure
Logs : Facilite la consultation des logs collectés ou agrégés

APM : Surveillance des performances applicatives
Uptime : Surveillance de la disponibilité des services
Graph : Mises en relation pertinentes des données
SIEM : Visualisation de métriques axées sur la sécurité
Dev Tools : Client REST Elasticsearch, debugger...
Stack Monitoring : Surveillance des services ELK
Management : Paramétrage de Kibana

Nous évoquerons globalement ces outils et particulièrement Visualize.

Discover

Discover permet l'exécution de recherches avec la syntaxe KQL ou Apache Lucene.

Données de test

Quelques données de test aléatoires à indexer pour pouvoir travailler sur des visualisations.

Canvas

Canvas permet d'afficher des représentations simples des données, souvent fonctionnelles plutôt que techniques, donc plutôt à destination des clients. Ces écrans peuvent être exportés sous forme de rapport ou sur un site Internet (c'est le cas ici).

Visualize

Visualize permet de représenter les données sous forme d'histogrammes, de courbes, de jauges afin des les rendre plus accessibles.

Paramétrage

Après avoir choisi le type de visualisation et la source de données (typiquement un ou plusieurs index), il faut configurer la visualisation. Dans l'onglet Data, on retrouve deux sections : Metrics et Buckets

Metrics permet de définir quelles sont les informations qui seront affichées sur la visualisation.

Buckets permet de définir comment on regroupe les données. On peut définir plusieurs séries (Split series) pour un diagramme et/ou avoir un diagramme pour chaque groupement (Split chart)

La visualisation peut être sauvegardée et insérée dans un Dashboard.

Dashboard

Outre le fait de regrouper des visualisations, le gros intérêt des dashboards est de pouvoir appliquer des filtres qui s'appliqueront automatiquement aux visualisations. De plus si l'on clique sur une série ou que l'on sélectionne une partie d'une visualisation, les documents sélectionnés seront automatiquement filtrés sur les autres visualisations.

Les dashboards peuvent également être mis à jour périodiquement.

Metrics

Metrics permet d'afficher les données issues de MetricBeat

De nombreux dashboard spécialisés sont également disponibles avec Metricbeat et ses différents modules.

APM

APM est un ensemble d'outils de monitoring à adjoindre à votre application (Java, NodeJS, .NET, Ruby et bien d'autres) qui permet de récupérer en temps réel des métriques spécifiques à votre application.

Toutes les précisions pour configurer APM pour Java ici ou directement sur APM.

Uptime

Uptime est une interface permettant de collecter les données envoyées par HeartBeat.

Conclusion

La suite Elastic permet de mettre en place relativement simplement un système complet, performant et scalable de surveillance technique et fonctionnel de vos applications afin de prévenir des éventuels problèmes ou de réagir rapidement et efficacement lorsqu'ils surviennent.

Bienvenue !

Pierre-Julien VILLOUD

pjvilloud@protonmail.com

https://github.com/pjvilloud

https://linkedin.com/pjvilloud

http://pjvilloud.github.io

Introduction

La suite Elastic

Historique

2000

2012

2015

2017-2018

Le moteur de recherche

Il faut pouvoir rechercher rapidement dans un ensemble de données conséquent et varié.

Il faut pouvoir rechercher approximativement et proposer des corrections automatiques.

Il faut pouvoir trier selon divers critères des résultats avec une notion de pertinence.

Il faut pouvoir filtrer ou regrouper les résultats.

Il faut pouvoir proposer des suggestions pour améliorer la recherche.

Présentation d'Elasticsearch

Concepts

Document

Index

Type

Mapping

Shard

Node 1

Shard 1

Shard 2

Replica

Node 1

Shard 1

Shard 2

Replica 3

Replica 4

Node 2

Shard 3

Shard 4

Replica 1

Replica 2

Récapitulatif

Cluster

Node 1

Index 1 : Shard 1

Index 1 : Replica 2

Node 2

Index 1 : Shard 2

Index 1 : Replica 1

Communication

Indexer

CR(U)D sur les index

CRUD sur les documents

Opérations sur plusieurs documents

Rechercher

Recherche stricte

Recherche partielle

Recherche floue ou par intervalle

Scénario 1 : Auto-complétion

Agréger

Agrégation basique

Agrégation range

Agrégation histogram

Agrégation filter

Agrégation min max et avg

Collecter les données

La suite Beats

FileBeat

Configuration

Modules

MetricBeat

HeartBeat

Logstash

Configuration de Logstash

Visualiser les données

Discover

Données de test

Canvas

Visualize

Paramétrage

Dashboard

Agrégation `range`

Agrégation `histogram`

Agrégation `filter`

Agrégation `min` `max` et `avg`

`FileBeat`

`MetricBeat`

`HeartBeat`