2016年我国基金行业总规模历史首次突破9万亿,在为金融行业
提供广阔的发展空间的同时,其
与日俱增的海量日志,也
给传统
业务系统运维带来挑战
。
传统的ITOM(IT Operation Management,IT运维管理)手段已经无法满足需求,不少行业领头羊纷纷进入ITOA(IT Operation Analytics,IT运维分析)领域。
机器数据
是企业实现ITOA的重要数据之一,其贯穿着整个基金业务系统的各处理环节。
日志易作为国内处理机器数据的最佳解决方案之一,可以对各类机器数据实现实时采集、分析及可视化,
快速协助运维人员定位
故障
,实时发现业务系统异常并告警等。
助力金融、运营商、能源、互联网等不同行业实现ITOA。
下述案例为日志易产品在鹏华基金的应用:
客户提出建立一个日志管理统一平台,该平台首先应
满足2017年6月1日即将正式实施的《中华人民共和国网络安全法》相关要求
。即在日志存储方面可以对用户敏感数据进行脱敏处理;对数据进行不少于6个月备份管理;同时可以还原指定时间范围的应用日志,并提供查询功能,满足监管部门取证要求。
同时使用日志管理平台能对各类型日志进行准实时检索分析,如针对网络设备、安全设备日志,实现自动安全巡检,攻击溯源以及攻击预警,发现传统安全设备没有发现或阻断的安全威胁。通过用户行为日志实现对内网各环节的用户行为进行安全行为审计,对业务日志分析进行业务逻辑告警以及用户行为分析、数据挖掘等等。
在互联网时代,各种各样的行为都会被以“日志”形态记录存储下来,这些日志数据包括了用户的基本信息、网络浏览行为、交易行为、社交行为等等。在基金行业,面对每天交易所产生的海量数据,以及各种服务器、防火墙所产生的日志,如何在大体量数据中挖掘有效信息加以利用是一个重大难题。
日志产生于不同的业务部门、分布在不同的服务器上,无人重视,随时可能被覆盖和删除,缺乏日志管理机制。只有将这些分散的日志数据统收集、才能相互对照,发现问题所在。以投资银行为例,传统模式下,交易部门和研究部门的数据是相互独立,甚至数据的储存格式都不同,由此形成一个个信息孤岛,造成不同系统间关联分析困难、事故原因分析困难。
数据体量大所带来的问题不仅仅是存储,更多的是庞大的数据无法使用。作为成熟的金融行业,随着网上支付、手机银行、互联网金融等新一代业务的出现,每天产生的各种业务数据、网络设备数据及防火墙数据等将轻松突破TB级别,传统的数据库及系统架构已经无法支撑如此庞大的数据量,传统方法处理效率低、时延长,企业完全淹没在一片数据汪洋之中。
就日志数据来说,最容易处理的是企业内部的传统数据——结构化数据。然而随着信息技术的飞速发展,日志数据的范围已经扩大到企业的各个层面,服务器、各种网络设备及五花八门的应用软件产生了多种多样的数据格式。这些数据的可读性很差,对于普通人来说无异于乱码,即便是专业的技术人员,也很难一眼看懂一条数据。
作为电子货币与交易信息传输系统,一旦出现账户盗用、虚假信息等现象,将既影响到国家金融与个人经济利益,又涉及到交易隐私的安全性,同时还增加了金融风险的传导与扩散危险,面对海量日志带来的运维难题,无论是购买国外最先进的产品还是聘请专业的技术团队对企业来说都是一笔不小的开支,需要花费大量的人力物力。
一个统一的日志管理平台可以帮助企业解决问题,提高运维效率,并能帮助企业将运营数据分析成报表,转化为企业的竞争优势,帮助金融企业从IT 系统的行为、状态、配置、故障等事件中,自动产生趋势预判和商业洞察等,从而帮助企业赢得快速发展的机会。日志易为客户提供的解决方案
如下
:
日志易为企业建立统一日志管理平台,将分散的日志统一采集,整个系统由多个模块构成,用户可以根据自身服务器资源、数据量、系统稳定性等因素自定义各个模块的节点组成,同时支持物理机和虚拟机混合部署,保证数据安全性。
在鹏华基金的项目中,日志易提供直观的web界面对日志采集源进行管理,用户可以直接从页面添加需要采集的日志目录及文件:
点
击具
体IP地
址,工程师
可以看到日志采
集Agent对相应目录下日志文件的采集情况,方便管理,彻底解决了日志分散的问题:
同时日志易实现日志全生命周期管理,支持配置不同appname生命周期,支持索引定期备份,支持图形界面日志恢复。
日志易提供常见日志格式的自动解析,将非格式化日志转化为格式化日志。同时为用户提供交互友好的提取字段功能。用户可使用鼠标划选日志内容,系统将自动生成正则表达式。帮助用户将日志中的有效信息划分为一个个字段,方便查看和检索。
日志易同时支持在数据接入存储之后,根据搜索统计需求,提取临时字段。并以这些临时字段进行后续统计分析。解决了数据预先处理的性能损耗、冗余字段的磁盘占用、提取规则变动时的重建处理等诸多常见问题。
在鹏华基金项目中,企业拥有多种日志格式需要统一处理
日志易详细了解该基金公司需求,搭建日志管理平台,
将各类日志统一收集:
日志易对Apache、Linux、JSON等常见格式日志自动解析,同时也提供自定义日志解析功能:对于一条超过1k的复杂的日志,日志易可对其进行多行合并处理并提供多种自定义解析方法,同时支持对日志进行中文转换等处理,使日志内容更易读。
例如该公司的原始金证系统日志,日志内容复杂,结构混乱,可读性极差,通过多行日志合并,正则匹配等方式完成重要字段抽取解析。
解析前:
解析后:
针对基金行业涉及的敏感信息,日志易提供灵活的脱敏处理,用户可以将日志信息中的敏感信息在集中采集时进行替换:
利用字段提取-内容替换功能,用户可自定义设置敏感信息替换,例如:
将日志信息中的卡号信息(15~19位数字)和身份证信息(15或18位数字,末尾可能为X),使用正则匹配将账户信息替换为:$1#######$2。
作为一个安全可靠的日志管理平台,日志易同时也提供完善的权限管理体系,用户可建立日志分组及用户分组进行权限划分,同时针对敏感信息提供灵活的脱敏服务保障客户的数据安全。
日志易日志处理速度达到500万条/秒,总字节可达到100TB/天。日志易支持全文索引,用户无需掌握复杂的查询语句,可以像使用搜索引擎一样查询日志,通过鼠标点击实现字段过滤、时间范围选择和简单查询。系统采用分布式数据处理技术,可达到秒级延时。
通过日志搜索界面,日志易将所有日志集中展现,用户只需点击相应日志类型,即可筛选出特定日志格式。
同时用户利用日志易可对日志进行准实时检索,在鹏华基金案例中,269万条10GB日志可在5秒钟返回搜素结果,帮助用户快速定位问题日志:
模块化、服务化的业务系统,需要进行跨主机、跨网络的事务追踪和故障定位。日志易支持搜索处理语言(Search Processing Language, SPL),提供 stats、eval、where、等20多项管道指令, max、min、avg、sum、dc、es、hg、pct、pct_ranks 等20多项统计函数,if-else、case、+-*%等逻辑计算。日志易提供 transaction 搜索和可自定义的关联事务查询界面。让用户快速直观的定位复杂网络和业务架构下的异常事务。
通过日志易多维度搜索查询页面,用户通过关键字查询即可快速过滤出目标日志,例如根据中间件客户请求ip,请求路径、状态码搜索出对应访问日志。日志易同时支持搜索处理语言(SPL,Search Processing Language)进行复杂统计及关联分析。
例如对比防火墙、路由器产生日志趋势,使用以下语句:
* | bucket timestamp span = 1h as ts | stats count(appname) as count_ by ts,hostname
可以看到ASA防火墙日志量相对较大,会有波峰波谷,路由器发出日志量较少,其中一台仅在4月22日14:00左右发出一条日志。
在实际业务分析中,用户利用关联分析可将不同来源的日志中的相关内容进行聚合,再进行统计分析。
例如金证用户操作频度分布分析中,用户希望统计赎回、开户、查询、申购的占比,但日志内容中不会有这些字段,只会出现实时清算完成、赎回清算完成、余额查询完成等相应信息。利用日志易的高级SPL语法,对相应内容进行聚合转换后再统计。
则该语句分析结果如下:
通过选择饼状图生成可视化效果:
日志易对日志的分析统计结果提供了丰富多样的可视化效果,并支持用户将不同纬度的可视化效果汇聚成仪表盘,日志情况一目了然。
日志易具备强大的日志告警功能,改变过去只能事后追查的被动运维方式。用户可以通过统计分析,对日志分析结果进行告警,例如分时段交易监控告警功能,当交易量低于阀值时实时告警,运维人员将及时发现异常,第一时间进行处理。
建立告警列表如下:
用户可以针对日志内容设定告警条件,例如针对网络CC攻击告警,首先需要在日志中找出正在遭受CC攻击的IP地址,即对在一定时间范围相同源IP发生的请求事件次数进行统计;
建立搜索语句,统计IP地址请求事件:
appname:access_log | stats count(appname) as count_ by apache.clientip|sort by c
可以看出请求次数最多的几个IP统计信息,在该搜索基础上建立告警:
