Выгрузка журнала регистрации в ElasticSearch с помощью Python

26.04.21

Данный скрипт реализован на языке python с подключаемой библиотекой ElasticSearch, что позволяет парсить и загружать файлы ЖР напрямую в ES. ВНИМАНИЕ! Данный парсер работает только со старым форматом ЖР и только, если у него периодичность день или час.

В данной статье я бы хотел затронуть проблему поиска по журналу регистрации, если нужно проанализировать данные за достаточно большой период времени и при этом база находится под высокой нагрузкой.

Входные данные:

Периодичность файла ЖР: Час

Средний размер файла: 900 Мб

Штатными средствами проанализировать даже данные за день невозможно.

Выходные данные:

Требование к системе:

Оперативность получения данных: в рамках периодичности

Хранение данных в днях: 15

Средний размер индекса за день: 10Гб

Среднее количество строк в индексе за день: 90М

В данной статье не рассматривается настройка ES, подразумевается, что пользователь достаточно опытный, чтобы найти информацию по установке и настройке. На ИС есть несколько годных статей.

Данный скрипт находится в стадии бета, код открыт всем желающим, работает на нескольких продуктовых базах и, если кто-то захочет поучаствовать в развитии - welcome.

Итак, система готова, python, ES, Kibana установлены и настроены, библиотеки для python загружены.

Вызов осуществляется из командной строки.

Пример:

Возможные аргументы:

Смещение по времени требуется, если на одном сервере обрабатываются журналы баз из различных часовых поясов.

Так же, важное замечание. В моем случае не требовалось парсить поле Данные, достаточно только представление данных.

Сам скрипт

import re
import datetime
from typing import Dict
from elasticsearch import helpers, Elasticsearch
import hashlib
import argparse

Users = {}
Apps = {}
Events = {}
Metas = {}

def ParseDict(file_path):

file = open(file_path, 'r', encoding='utf-8')
for line in file:
line = line.replace('\n','')
res = re.search('\{(1|3|4|5),.+,\d+\},', line)
if res != None:
if res.group(1) == '1':
res = re.search('\{1,.+,\"(.*)\",(\d+)\},', line)
Users[res.group(2)] = res.group(1)

if res.group(1) == '5':
res = re.search('\{5,.+,\"(.*)\",(\d+)\},', line)
Metas[res.group(2)] = res.group(1)

if res.group(1) == '3':
res = re.search('\{3,\"(.*)\",(\d+)\},', line)
Apps[res.group(2)] = res.group(1)

if res.group(1) == '4':
res = re.search('\{4,\"(.*)\",(\d+)\},', line)
Events[res.group(2)] = res.group(1)

def ParseLog(file_path):

file = open(file_path, 'r', encoding='utf-8')
text = file.read()
strEvents = re.findall('\{\d{14},.+?^\},\n', text, re.DOTALL|re.MULTILINE)
i = 0
for match in strEvents:

line = re.sub('\n', '@', match)
res = re.match('\{(\d{14}),(\w),@\{(.+?)\},(\d+),(\d+),(\d+),(\d+),(\d+),(\w),(.*?),(\d+),.+?\},(.*?),(\d+),(\d+),(\d+),(\d+),(\d+),@\{\d+\}@\},', line)

if res == None:
continue

i = i + 1
if i%10000==0:
print(file_path + ' ' + str(i))

Tran = res.group(2).replace('N', '-').replace('U', 'V').replace('R', 'InProc').replace('C', 'X')
Importance = res.group(9).replace('I', 'Информация').replace('E', 'Ошибка').replace('W', 'Предупреждение').replace('N', 'Примечание')
Usr = Users.get(res.group(4))
App = Apps.get(res.group(6))
Event = Events.get(res.group(8))
strDate = res.group(1)
Date = strDate[:4] + '-' + strDate[4:6]+ '-' + strDate[6:8] + 'T' + strDate[8:10] + ':' + strDate[10:12]+ ':' + strDate[12:14]
MetaData = Metas.get(res.group(11))
if sys_event_aliases.get(Event) != None:
Event = sys_event_aliases[Event]

strDoc = str(Date) + str(Event) + str(Usr) + str(MetaData) + str(Tran) + '(' + str(res.group(3)) + ')' + str(App) + str(res.group(10)) + str(Importance) + str(res.group(12)) + str(res.group(16))
hash_object = hashlib.md5(strDoc.encode())
idDoc = hash_object.hexdigest()

doc = {
"_id": idDoc,
"Date": Date,
"Event": Event,
"User": Usr,
"Meta": MetaData,
"Tran": Tran + '(' +res.group(3) + ')',
"App": App,
"Comment": res.group(10),
"Importance": Importance,
"Data": res.group(12),
"Session": res.group(16)

}
yield doc

def create_index(client, suff):

print("Имя индекса: events" + '_' +suff)
client.indices.create(
index="events" + '_' +suff,
body={
"settings": {"number_of_shards": 1, "lifecycle": {"name": "Events_del"}},
"mappings": {
"properties": {
"Date": {"type": "date","format": "yyyy-MM-dd'T'HH:mm:ss"},
"Event": {"type": "keyword"},
#"Day": {"type": "text"},
"User": {"type": "keyword"},
"Meta": {"type": "keyword"},
"Tran": {"type": "text"},
"App": {"type": "keyword"},
"Comment": {"type": "text"},
"Importance": {"type": "keyword"},
"Session": {"type": "text"},
"Data": {"type": "text"},

}
},
},
ignore=400,
)
client.indices.put_alias(index="events" + '_' +suff, name='events_journal')

if __name__ == '__main__':

sys_event_aliases = {"_$Session$_.Start": "Сеанс. Начало", "_$Session$_.Finish": "Сеанс. Завершение", "_$Session$_.Authentication": "Сеанс. Аутентификация",
"_$InfoBase$_.ConfigUpdate": "Информационная база. Изменение конфигурации",
"_$InfoBase$_.DBConfigUpdate": "Информационная база. Изменение конфигурации базы данных",
"_$InfoBase$_.EventLogSettingsUpdate": "Информационная база. Изменение параметров журнала регистрации",
"_$InfoBase$_.InfoBaseAdmParamsUpdate": "Информационная база. Изменение параметров информационной базы",
"_$InfoBase$_.MasterNodeUpdate": "Информационная база. Изменение главного узла",
"_$InfoBase$_.RegionalSettingsUpdate": "Информационная база. Изменение региональных установок",
"_$InfoBase$_.TARInfo": "Тестирование и исправление. Сообщение",
"_$InfoBase$_.TARMess": "Тестирование и исправление. Предупреждение",
"_$InfoBase$_.TARImportant": "Тестирование и исправление. Ошибка",
"_$Data$_.New": "Данные. Добавление", "_$Data$_.Update": "Данные. Изменение",
"_$Data$_.Delete": "Данные. Удаление",
"_$Data$_.TotalsPeriodUpdate": "Данные. Изменение периода рассчитанных итогов",
"_$Data$_.Post": "Данные. Проведение", "_$Data$_.Unpost": "Данные. Отмена проведения",
"_$User$_.New": "Пользователи. Добавление", "_$User$_.Update": "Пользователи. Изменение",
"_$User$_.Delete": "Пользователи. Удаление", "_$Job$_.Start": "Фоновое задание. Запуск",
"_$Job$_.Succeed": "Фоновое задание. Успешное завершение",
"_$Job$_.Fail": "Фоновое задание. Ошибка выполнения",
"_$Job$_.Cancel": "Фоновое задание. Отмена", "_$PerformError$_": "Ошибка выполнения",
"_$Transaction$_.Begin": "Транзакция. Начало",
"_$Transaction$_.Commit": "Транзакция. Фиксация",
"_$Transaction$_.Rollback": "Транзакция. Отмена"}

parser = argparse.ArgumentParser()
parser.add_argument("--i", required=True, type=str, help="Идентификатор индекса")
parser.add_argument("--c", required=True, type=str, help="Каталог с файлами журнала")
parser.add_argument("--t", default=1, type=int,
help="Временное смещение файлов. Например, когда на одном сервере обрабатываются логи разных временных зон")
parser.add_argument("--p", default='h', choices=["h", "d"], required=True, type=str,
help="Периодичность журнала. h - почасовой; d - подневной")
parser.add_argument("--f", default='', help="Имя Файла журнала, если требуется загрузить конктретный")
parser.add_argument("--es", required=True, default='', help="ES server")

args = parser.parse_args()
path_log = args.c
index_id = args.i
hour_delta = args.t
periodicity = args.p
file_name = args.f
ServerPort = args.es

print('Args:')
print(args)
print('*')
print('Каталог: ' + path_log)
file_dict = path_log + '/1Cv8.lgf'

now_date = datetime.datetime.now()
if file_name == '':
if periodicity == 'h':
last_date = now_date - datetime.timedelta(hours=hour_delta)
file_name = last_date.strftime("%Y%m%d%H0000.lgp")
else:
last_date = now_date - datetime.timedelta(days=1)
file_name = last_date.strftime("%Y%m%d000000.lgp")
file_exec = path_log + '/' + file_name

print('Обрабатывается: ' + file_exec)
daySuff = file_name[0:8]

print('DaySuff ' + daySuff)
print('Start parse dict')
ParseDict(file_dict)
print('End parse dict')

es = Elasticsearch(ServerPort)

print('Create index ' + index_id + '_' + daySuff)
create_index(es, index_id + '_' + daySuff)
print('Create index end')
print('Начало загрузки данных:')
failed = 0
success = 0
for ok, action in helpers.streaming_bulk(
client=es, index="events_" + index_id + '_' + daySuff, actions=ParseLog(file_exec),
):
if not ok:
failed += 1
else:
success += 1
print('Загрузка завершена')
print('success: ' + str(success))
print('failed: ' + str(failed))

Пример поиска конкретного документа и расследование действий с ним

Тестировалось на платформе 8.2.19 в ОС Windows

В разработке использовалась статья про формат ЖР //infostart.ru/1c/articles/182061/

ElasticSearch python журнал регистрации

+12 –

См. также

Мониторинг серверов и баз 1С

Журнал регистрации Мониторинг Системный администратор Программист Бизнес-аналитик Руководитель проекта Платформа 1С v8.3 Платные (руб)

В сферу обязанностей при работе с клиентами входит контроль работы баз данных и серверов 1С. Нужно понимать что происходит в базах, есть ли ошибки, зависания у пользователей и фоновых задач, блокировки или какое-то необычное поведение системы, получение информации о причинах возникновения проблем и их оперативное устранение и т.д. В качестве источников информации использую консоль кластеров 1С, технологический журнал 1С, журналы регистрации базы 1С. Для автоматизации части операций мониторинга и анализа создал инструмент на основе 1С.

9000 руб.

28.08.2019 34546 22 21

LogiCH - хранение и анализ журнала регистрации в сверхбыстрой СУБД ClickHouse

Журнал регистрации Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Платные (руб)

Конфигурация LogiCH эффективно решает проблему хранения и анализа записей журналов регистрации. Разработка использует столбцовую СУБД ClickHouse, одну из самых быстрых Big Data OLAP СУБД. Любой анализ журнала можно выполнить в одном отчете, в котором доступны все возможности СКД с учетом ограничений RLS. Количество подключаемых баз не ограничено и не влияет на скорость построения анализа.

6000 руб.

28.11.2018 21095 17 7

Сравнение парсера журнала регистрации Vector и ibcmd

Журнал регистрации Программист Россия Бесплатно (free)

В материале рассматривается сравнение двух инструментов для работы с журналом регистрации 1С: утилиты ibcmd и платформы Vector. Описаны их функциональные возможности, тестирование производительности и практическое применение для преобразования логов в формат JSON.

20.11.2024 1443 user1913000 12

Логирование в приложениях

Журнал регистрации Тестирование QA Программист Бесплатно (free)

Поговорим про логирование в приложениях на базе 1С, рассмотрим проблемы, которые возникают при сборе информации из этих систем, и обсудим практический опыт применения внутренних и внешних инструментов для анализа логов.

21.10.2024 3459 leemuar 8

Регламентное сокращение журнала регистрации

Инструменты администратора БД Журнал регистрации Системный администратор Платформа 1С v8.3 1С:Управление торговлей 11 Абонемент ($m)

Внешняя обработка для регламентного сокращения журнала регистрации для конфигураций на базе БСП и платформы 8.3.20+

1 стартмани

29.12.2023 2384 36 dima_gsv 3

Магия преобразований Vector, часть 3: журнал регистрации + прямой экспорт ошибок в Sentry

Журнал регистрации Мониторинг Системный администратор Программист Абонемент ($m)

Как легко и быстро с помощью специализированных решений собирать, парсить и передавать логи и метрики.

1 стартмани

19.11.2023 1653 5 AlexSTAL 0

Магия преобразований: ЖР, ТЖ, RAS/RAC, логи - универсальное решение Vector

Мониторинг Журнал регистрации Технологический журнал Системный администратор Программист Абонемент ($m)

Как легко и быстро с помощью специализированных решений собирать, парсить и передавать логи и метрики.

1 стартмани

13.11.2023 5153 11 AlexSTAL 0

Мониторинг состояния с отправкой в telegram

Журнал регистрации Инструменты администратора БД Мониторинг Мессенджеры и боты Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 1С:Бухгалтерия 3.0 1С:Управление торговлей 11 1С:Управление холдингом 1С:Комплексная автоматизация 2.х Абонемент ($m)

Внешняя обработка для БСП-конфигураций с простым программным интерфейсом. Предназначена для мониторинга состояния системы. Базово реализована отправка ошибок из журнала регистрации, но можно легко добавить мониторинг других журналов, каких-либо действий пользователей, состояния системы (например закрытие месяца).

3 стартмани

26.09.2023 3052 20 doom2good 16

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. itmind 308 05.05.21 05:42 Сейчас в теме

Почему только с периодичностью час или день?

2. bugagashenka 203 05.05.21 09:03 Сейчас в теме

(1) потому что делал для себя, а более крупной нету, ибо пришлось бы наращивать оперативную память для обработки таких файлов, в тексте я указал, что даже за час набегает около гигабайта. В принципе, текст скрипта открыт, в этом куске

if periodicity == 'h':
            last_date = now_date - datetime.timedelta(hours=hour_delta)
            file_name = last_date.strftime("%Y%m%d%H0000.lgp")
        else:
            last_date = now_date - datetime.timedelta(days=1)
            file_name = last_date.strftime("%Y%m%d000000.lgp")

можете добавить свой в аргумент --p и обработать его.

Например, для месяца будет что то, вроде

parser.add_argument("--p", default='h', choices=["h", "d", "m"], required=True, type=str,
                        help="Периодичность журнала. h - почасовой; d - подневной; m - помесячный")

 last_date = now_date - datetime.timedelta(months=1)
            file_name = last_date.strftime("%Y%m00000000.lgp")

Опять же, отвечая на вопрос, я не могу представить сценария расследования, когда нужно посмотреть месяц назад, либо перелопачивать регулярно одни и те же данные и загружать в эластик

Оставьте свое сообщение

E-mail:

Автор:

Линк СпасательЗельды (bugagashenka)

Рейтинг: 203

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 1432598

Создание 26.04.21 15:30

Обновление 26.04.21 15:30

Статистика:

Просмотры 3828

Загрузки 0

Рейтинг 12

Комментарии 2

Характеристики:

Код открыт Да

Рубрики Журнал регистрации

Кому Программист

Тип файла Нет файла

Платформа Не имеет значения

Конфигурация Не имеет значения

Операционная система Windows

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)