陈军:IT运维分析与海量日志搜索

中国IDC圈1月8日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

日志易首席执行官陈军出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《IT运维分析与海量日志搜索》的精彩演讲。

陈军

日志易首席执行官陈军

以下为陈军演讲实录:  

陈军:我今天讲的是IT运维分析与海量日志分析,今天是IDC大会,很多数据需要分析,IT设备需要做运维。我分这几部分讲,什么叫IT运维分析,IT运维是个比较新的东西,日志的应用场景、过去及现在的做法、日志搜索引擎、日志易的产品。

过去做IT运维都讲IT运维管理,IT运维管理做了很多年了,也非常成熟,随着前几年大数据技术的兴起,大家开始把大数据技术应用到IT运维上面做分析,就产生了IT运维分析,把大数据技术用在IT运维分析上的目的是提高数据质量和效率。可用性监控、应用型能监控、故障根源分析、安全审计。权威的调查机构Gartner估计,到2017年15%的大企业会积极使用ITOA,2014年这个数字只有5%,不管5%还是15%,是比较低的比例,ITOA是新出现的东西,正在被市场逐步接受。

ITOA把大数据的技术用在运维数据的分析上,数据的来源就非常重要,ITOA的数据来源主要是四方面:

第一是机器数据,服务器、网络设备产生的数据,其实就是日志。

第二是通信数据,现在网络已经非常普遍了,后台的设备很多都是大型的分布式系统,都有网络的通信,网络通信过去通过网络抓包,通过流量分析应用的情况。网络抓包、流量分析的这类数据又是Wire Data。

第三是代码级别进行统计分析的,像PHP、JAVA这些字节码来插入统计分析的代码,统计它的函数调用情况、堆站的使用情况,从代码级别来进行统计分析,更加精细化的统计化分析,这是代理数据。

第四是探针数据,国内已经有些公司在做这个事情,全国的用户访问IDC的延时是多少,得在全国布点,发起模拟用户的请求探测,进行端到端延时的度量。美国有一家做ITOA的公司,他们做了一个用户调查,四种数据来源使用情况,日志的使用比例非常高,占86%,网络抓包占93%,插入代码代理数据是47%,探针数据是72%。日志跟网络抓包占的比例非常高,占到了百分之八九十,插入代码占不到50%,探针大概是70%。

日志无所不在,所有服务器、网络设备、应用系统都会产生日志,但是日志的覆盖面非常广,日志也有它的特点,不同的应用输出的日志完整性跟可用性不同,因为输出太多日志会降低应用的性能,会关闭一些级别低的日志,只输出级别最高的。输出的日志有多少,数据的完整性有差别。通信数据,网络抓包,从网络流量统计的信息也是非常全面的,但是它也有它的局限性,有一些事件未必触发网络通信,如果没有触发网络通信的话就不会产生网络流量,就没办法抓这些包进行统计。

探针数据,是模拟用户请求,好处是端到端监控,可以从手机访问到服务器端到端的延时,但它的问题不是真实的用户度量,前几年已经开始讲一个概念,真实的用户度量,我们希望度量到用户真正的延时情况,而不是模拟的。移动应用厂商像腾讯、百度他们已经有数以亿计的终端用户,他们可以直接在他们的手机应用端做真实的用户度量,可以看到真实用户的访问情况。2008年汶川地震的时候腾讯QQ客户端实时监测到汶川地区用户QQ掉线,马上知道那里发生了事故,要么是IDC事故,要么是网络的事故,所以可以做真实的网络度量。

日志学术性的说法是时间序列机器数据,为什么叫做时间序列机器数据?因为它是带时间戳的机器数据,它是机器产生的,网络设备、服务器产生的。第二它是带时间戳的,日志包含了IT系统非常多的信息,服务器、网络设备、操作系统、应用软件,甚至包括用户的信息、业务的信息。日志反映了事实数据,美国有个很出名的公司叫影音(音),做职业社交,他的一名工程师写了一篇非常出名的文章,每一个软件工程师都应该知道实时数据统一的抽象的信息,也有中译版,深度解析Linkedin大数据平台,所有对日志感兴趣的工程师可以好好看下这篇文章,这篇文章讲的就是日志是一个企业里最真实的数据,不管是数据中心还是企业里发生的一切日志都会记录下来,通过统计分析这个日志,不同系统之间的通信也可以通过日志来传输这个信息。大数据领域有比较开源的软件Kafuka,当年发明Kafuka的目的就是用来传输日志,Kafuka也是做日志处理里用的最普遍的消息队列软件。