go-es模块统计日志中接口被刷数和ip访问来源
- 以下是使用go的web框架gin作为后端,展示的统计页面
背景
- 上面的数据来自elk日志统计。因为elk通过kibana进行展示,但是kibana有一定学习成本且不太能满足定制化的需求,所以考虑用编程的方式对数据进行处理
- 首先是接口统计,kibana的页面只会在 字段uri 的 top500 进行百分比统计,展示前5条数据,统计不够充分
- 其次是网关日志,ip来源的采集字段是通过x_forward_for,这记录了各级的代理来源ip。并不能直接对用户的ip进行数据聚合的统计
- 举例,这里面 "223.104.195.51,192.168.29.135" ,这种数据我需要拿到223.104.195.51,因为这才是用户的ip。所以需要进行编程的处理
- 举例,这里面 "223.104.195.51,192.168.29.135" ,这种数据我需要拿到223.104.195.51,因为这才是用户的ip。所以需要进行编程的处理
环境
-
elk 7.9
https://www.elastic.co/downloads/past-releases/elasticsearch-7-9-3
-
go 1.17 ,gin 1.6.3,go-elasticsearch 7.9.0
go1.17下载地址
模块下载
go env -w GOPROXY=https://goproxy.cn,direct
go mod init go-ops # 本项目的go mod 名字
go get github.com/elastic/go-elasticsearch/v7@v7.9.0
go get github.com/gin-gonic/gin@v1.6.3 -
前端:layui 和 echarts
layui下载
http://layui.dotnetcms.cn/res/static/download/layui/layui-v2.6.8.zip?v=1
layui框架代码
http://layui.dotnetcms.cn/web/demo/admin.html
layui数据表格
http://layui.dotnetcms.cn/web/demo/table.html
echarts下载(需魔法)
https://cdn.jsdelivr.net/npm/echarts@5.4.3/dist/echarts.min.js
echarts直方图
https://echarts.apache.org/handbook/zh/get-started/
echarts 饼图
https://echarts.apache.org/handbook/zh/how-to/chart-types/pie/basic-pie/
-
后端
gin静态文件服务(导入js、css、图片用的)
https://learnku.com/docs/gin-gonic/1.7/examples-serving-static-files/11402
gin模板引擎(前后端不分离,后端数据渲染前端)
https://learnku.com/docs/gin-gonic/1.7/examples-html-rendering/11363
gin绑定Uri(动态获取二级路由)
https://learnku.com/docs/gin-gonic/1.7/examples-bind-uri/11391
go-elasticsearch 模块
-
顾名思义此模块作用是充当es的客户端往es索引中读取数据,其原理和kibana上的dev tools一样,都是对es的restful api调用
以下是go-elasticsearch 的增删查改文档
https://www.elastic.co/guide/en/elasticsearch/client/go-api/current/getting-started-go.html
eql
- 实现统计数据分析的核心就是eql(es查询语言),通过go-elasticsearch模块进行eql的发送,再接收es返回的回复体
- 以下是使用go-es发送eql后,es的回复体的struct源码
- 可以看到type Response struct 中,我们想要的json数据在Body中,但是注意Body的类型为 io.ReadCloser , 因此是需要用go的io模块进行获取json数据
- 这边解决读取问题的代码如下。该函数接收es响应体,并返回未序列化的byte切片
go
// 处理es的响应,获取响应体里的Body
func getResponseBody(result *esapi.Response, context *gin.Context) []byte {
// 接收es回复体里返回的数据,这里返回io流,需要用对应方法接收
var bodyBytes []byte
bodyBytes, err := io.ReadAll(result.Body)
if err != nil {
panic(err)
}
return bodyBytes
}es客户端建立连接
-
文档地址
https://www.elastic.co/guide/en/elasticsearch/client/go-api/current/connecting.html
-
这边给的是https连接 + 用户名密码认证 + 不受信任证书的解决方法
go
package esinit
import (
"github.com/elastic/go-elasticsearch/v7"
"io/ioutil"
"log"
)
var EsClient *elasticsearch.Client
func init() {
EsClient = newEsClient()
}
func newEsClient() *elasticsearch.Client {
cert, certErr := ioutil.ReadFile("esinit/es.crt") // 你的不受信任的https证书
if certErr != nil {
log.Println(certErr)
}
EsClient, error := elasticsearch.NewClient(elasticsearch.Config{
Username: "你的用户名",
Password: "你的密码",
Addresses: []string{
"https://es-cluster1:9200",
"https://es-cluster2:9200",
"https://es-cluster3:9200",
},
CACert: cert,
})
if error != nil {
panic(error)
}
return EsClient
}实现统计的三段eql
- 这里eql使用 fmt.Sprintf() 方法进行参数传递
- 第一段eql是统计PV
- 这里注意的是,我们在东八区,所以统计pv从16:00开始。这里根据@timestamp字段进行"aggs"聚合统计
go
func getPvResponse(startYear int, startMonth int, startDay int, endYear, endMonth int, endDay int) *esapi.Response {
query := fmt.Sprintf(`
{
"query": {
"bool": {
"must": [
{
"range": {
"@timestamp": {
"gte": "%d-%02d-%02dT16:00:00",
"lte": "%d-%02d-%02dT16:00:00"
}
}
}
]
}
},
"aggs": {
"log_count": {
"value_count": {
"field": "@timestamp"
}
}
}
}
`, startYear, startMonth, startDay, endYear, endMonth, endDay)
result, _ := esinit.EsClient.Search(
esinit.EsClient.Search.WithIndex("k8s-istio-ingress*"), // 索引名
esinit.EsClient.Search.WithBody(strings.NewReader(query)), // eql
)
return result
}- 第二段是对微服务(java)的接口(uri字段)的聚合统计
- 这里用的 sortUri 是gin的绑定uri功能(动态获取二级路由的名字)
- 这里返回前1天10000条es文档的uri字段数据
go
func getSortResponse(context *gin.Context) *esapi.Response {
if err := context.ShouldBindUri(&sortUri); err != nil { // sortUri二级路由,传递索引名
context.JSON(400, gin.H{"msg": err})
}
//搜索文档
// eql 搜索时间范围内10000条记录,并只展示uri字段的内容
query := fmt.Sprintf(`
{
"_source": ["uri"],
"query": {
"bool": {
"filter": [
{
"range": {
"@timestamp": {
"gte": "now-1d/d",
"lte": "now/d"
}
}
}
]
}
},
"size": 10000
}
`)
// 对应索引进行搜索
result, _ := esinit.EsClient.Search(
esinit.EsClient.Search.WithIndex(sortUri.Name+"*"),
esinit.EsClient.Search.WithBody(strings.NewReader(query)),
)
return result
}- 第三段是对istio前一小时的ip请求统计,返回2000条记录
go
func getIstioDataResponse() *esapi.Response {
query := `
{
"_source": [
"x_forwarded_for",
"@timestamp",
"path",
"user_agent_a",
"response_code",
"method",
"upstream_cluster"
],
"query": {
"bool": {
"filter": [
{
"range": {
"@timestamp": {
"gte": "now-1h/h",
"lte": "now/d"
}
}
}
]
}
},
"size": 2000
}
`
result, _ := esinit.EsClient.Search(
esinit.EsClient.Search.WithIndex("k8s-istio-ingress*"),
esinit.EsClient.Search.WithBody(strings.NewReader(query)),
)
return result
}- 上面的eql函数,会return 一个 []byte切片,可以进行 json.Unmarshal 或其他struct转json的模块进行处理,就能够得到数据。然后便可进行渲染