Home

Автор: Надежда Дудник (главный инженер по тестированию в Сбере, ментор по тестированию), https://t.me/protestinginfo

Для начинающих специалистов по тестированию

Введение

Kibana (wiki) используется для мониторинга и анализа ИТ-инфраструктуры в составе Elastic Stack, в который помимо нее входят Elasticsearch и Logstash. Logstash отвечает за логирование и поставляет входящий поток данных в Elasticsearch для хранения, классификации и поиска. Kibana, в свою очередь, получает доступ к данным Elasticsearch для их визуализации в различных визуальных форматах.

У Kibana имеется свой язык запросов KQL (Kibana Query Language) - официальный источник.

С помощью этого языка можно составлять запросы, которые помогают отфильтровывать и найти необходимую информацию.

Содержание

• Введение

• Подключение к Kibana для просмотра логов

• Основные блоки для работы с логами

• Использование KQL

• Составление простого KQL-запроса

• Двойные кавычки в KQL-запросе

• KQL c фильтром "Filter by type"

• KQL c фильтром "Filter for value"

• Поиск логов без использования KQL

• Практика

• Дополнительная информация

• Заключение

Подключение к Kibana для просмотра логов

Перейти по URL Kibana - http://37.46.129.245:5601/app/home#/ (данной информацией поделился Евгений Сычёв - PM и QA Lead финтех проектов, для практики поиска логов) .

Ввести данные для авторизации:

• Логин: practice_user

• ‌Пароль: promirit

Выбрать Kibana → Discover:

Режим для KQL включен по умолчанию.

Выбрать значение в Change index pattern, где необходимо проверить логи. Сперва для разбора я выберу 'logstash', а затем для разбора рассмотрим 'forum', так как логи идут от форума клана по игре Властелин колец онлайн - http://forum.free-peoples.ru/, за который отвечает также Евгений Сычёв (предупреждение: требование наличия сертификата -> довериться).

Основные блоки для работы с логами

1. Блок для ввода поиска логов с использованием KQL-запроса и без;

2. Блок с выбором временного промежутка (Today, This week, Last 15 minutes (по умолчанию), Last 30 minutes, Last 1 hour, Last 24 hours, Last 7 days, Last 30 days, Last 90 days, Last 1 year);

3. Блок с выбранными фильтрами для вывода логов ("Selected fields");

4. Блок с доступными фильтрами ("Available fields");

5. Блок результатов поиска логов под выбранные фильтры или без них;

6. Блок фильтров по типу данных "Filter by type";

7. Кнопки "Refresh / Update".

Использование KQL

Указать курсор в строку для составления KQL запросов.

Отображаются возможные ключевые атрибуты для поиска логов.

Указать, например, атрибут "message" (Filter results that contain message).

Скриншоты из документации про описание основных параметров.

Разберем примеры, поле "host" имеет тип данных "string", при которых отображаются следующие параметрыдля поля строки:

Поле "geoip.ip" имеет тип данных "number", в котором отображаются следующие параметры для числового поля:

Составление простого KQL-запроса

host: jekil1.fvds.ru and severity : WARN

_{( : ) - оператор, который отвечает за поиск совпадений.}

Результаты совпадений:

Следующий запрос: host: jekil1.fvds.ru and severity : WARN and message: *auth.log*

*auth.log*, где (*) обозначает подстановочный знак.

*auth.log* - находит любые значения, которые имеют "oauth.log" в любой позиции

exc* - находит любые значения, которые начинаются с "exc".

Можно использовать оператор подстановочного знака после фразы.

есть результат" title="значения, которые начинаются с "exc" -> есть результат" width="3334" height="1616" data-src="https://habrastorage.org/getpro/habr/upload_files/bae/3fb/eb5/bae3fbeb597cd22a91a24bac71decc3f.png">

*exc - находит любые значения, которые заканчиваются на "exc".

KQL-запросы не поддерживают сопоставление суффиксов, поэтому в запросах с произвольным текстом нельзя использовать оператор подстановочного знака перед фразой.

нет таких значений" title="значения, которые заканчиваются на "exc" -> нет таких значений" width="3334" height="1616" data-src="https://habrastorage.org/getpro/habr/upload_files/ad3/86c/21f/ad386c21f7576b30a78a9325658691ed.png">

Двойные кавычки в KQL-запросе

Чтобы задать предложение в KQL-запросе, необходимо использовать оператор - двойные кавычки " ".

Например, при указании следующего KQL-запроса:

message: exception=>Errno::EACCES

будет ошибка:

Search Error
Expected AND, OR, end of input, whitespace but ">" found. message: exception=>Errno::EACCES -------------------^

А при указании KQL-запроса с кавычками:

message: "exception=>Errno::EACCES"

будет следующий результат совпадений:

Хочу отметить, что двойные кавычки очень нужны при поиске логов.

KQL c фильтром "Filter by type"

Добавить поле "_type" в фильтр через "Filter by type":

Результаты совпадений отображаются в виде Table или JSON:

1. Ввести "host: jekil1.fvds.ru and severity : WARN and message: exc*" в блоке для запросов;
2. Выбрать "Today" в блоке временного интервала; 
3. Выбрать только "_type" в блоке используемых фильтров;
4. Нажать на кнопку "Refresh/Update"

Результаты поиска:

Результаты поиска по фильтру selected fields, выбрав "_type" и "path":

KQL c фильтром "Filter for value"

Дополнительно, поле "host" можно добавить в "Filter for value":

Отображение значений для оператора поля "_id"" title="пример 1 -> Отображение значений для оператора поля "_id"" width="1002" height="466" data-src="https://habrastorage.org/getpro/habr/upload_files/1ee/0b8/3a6/1ee0b83a6a60fcbded369e694fd4d87c.png">

Отображение значений для оператора поля "geoip.ip"" title="пример 2 -> Отображение значений для оператора поля "geoip.ip"" width="1001" height="502" data-src="https://habrastorage.org/getpro/habr/upload_files/c7b/e31/3d2/c7be313d28ef17b489df7ab6e2cda067.png">

severity is WARN" title="пример 3 -> severity is WARN" width="1011" height="418" data-src="https://habrastorage.org/getpro/habr/upload_files/ebd/86c/e13/ebd86ce13d2289ba6023440f6b225902.png">

Благодарю @Kinskiза полезный комментарий.

Обратите внимание на скриншоте примера 3 имеется ссылка "Edit as Query DSL" (где DSL - Domain Specific Language), при нажатии на нее открывется окно ввода, которое позволяет вставить JSON запрос в формате Elastic и даёт возможность, например, осуществлять фильтрацию по regexp.

Например, согласно документации

MATCH-> The severity field contains the WARN search " title="MUST-> MATCH-> The severity field contains the WARN search " width="965" height="738" data-src="https://habrastorage.org/getpro/habr/upload_files/b7f/f03/2a5/b7ff032a5d6dcd3954d8734f7ecfe8f0.png">

Дать название фильтру как "Severity" и нажать на кнопку "Save". Результат совпадений будет следующим:

поиск по фильтру по значениям: "Edit as Query DSL"" title="пример 4 -> поиск по фильтру по значениям: "Edit as Query DSL"" width="2205" height="650" data-src="https://habrastorage.org/getpro/habr/upload_files/875/aa7/daf/875aa7daf8350ba4b3b37303803d5ca7.png">

severity is WARN и выбранные фильтры "severity", "_id", "path"" title="пример 5 -> severity is WARN и выбранные фильтры "severity", "_id", "path"" width="2249" height="824" data-src="https://habrastorage.org/getpro/habr/upload_files/549/dcd/b74/549dcdb745f98dc9f4a396697a2c5c6b.png">

Значение "WARN" подсвечивается желтым цветом, так как указано в фильтре по значениям в правом верхнем углу.

Поиск логов без использования KQL

1. Ввести, например, значение поля "source" = "filewatch.tailmode.handlers.create" в блок для запросов;
2. Выбрать "Today" в блоке с временным интервалом ;
3. Нажать на кнопку "Refresh";
4. Удалить выбранные фильтры из "Filter for value" и "Filter by type".

Результаты поиска совпадений:

Практика

1. Перейти по ссылке форума клана по игре Властелин колец онлайн - https://forum.free-peoples.ru/. (зайти на свой страх и риск -> 'Advanced');

2. Ввести невалидные "Имя пользователя:" = "test" и "Пароль:" = "test" на странице форума;

3. Нажать на кнопку "Вход";

4. Зафиксировать время;

5. Перейти по ссылке http://37.46.129.245:5601/app/home#/ -> пройти авторизацию -> выбрать "Discover" -> выбрать "forum" в Change index pattern;

6. Ввести значение "login" в строке запроса;

7. Нажать на "Refresh";

8. Убедиться, что найдены результаты и просмотреть поле "message";

   

9. Нажать на ссылку "Регистрация" на сайте https://forum.free-peoples.ru/ucp.php?mode=register . Отображается ошибка на новой странице;

10. Зафиксировать время;

11. Найти лог с текстом "mode=register" в Kibana;

12. Выбрать показ лога в формате JSON;

13. Убедиться, что найдены логи с ошибкой.

Дополнительная информация

Просмотр лога в формате JSON.

View single document - просмотр детального лога.

Также имеются:

• операторы поиска с учетом расположения NEAR и ONEAR;

• операторы поиска синонимов WORDS;

• операторы включения и исключения "+" и "-" ;

• операторы динамического ранжирования XRANK

Из документации: "Можно объединять разные части запросов по ключевым словам с помощью открывающей скобки " ( " и закрывающей скобки " ) ". Каждой открывающей скобке " ( " должна соответствовать закрывающая скобка " ) ". Пробел до или после скобки не влияет на запрос."

Также можно добавить фильтры из блока со всеми фильтрами в область с используемыми (выбранными) фильтрами.

Имеется краткий справочник по KQL.

Заключение

Обычно я ищу логи в Kibana по уровню логирования ERROR, а также указывая необходимые данные по системе. Дополнительно можно искать логи по sessionId, Id, UUID, сообщениям от ответа сервера, данным запроса.

Данной инструкцией, опираясь на полезные источники, хотела донести знакомство как составлять KQL-запросы, научить читать логи и применить эти знания в своей работе.

Обсудить в форуме