Выгрузка журнала регистрации в ElasticSearch с помощью Python

26.04.21

Данный скрипт реализован на языке python с подключаемой библиотекой ElasticSearch, что позволяет парсить и загружать файлы ЖР напрямую в ES. ВНИМАНИЕ! Данный парсер работает только со старым форматом ЖР и только, если у него периодичность день или час.

В данной статье я бы хотел затронуть проблему поиска по журналу регистрации, если нужно проанализировать данные за достаточно большой период времени и при этом база находится под высокой нагрузкой.

Входные данные:

Периодичность файла ЖР: Час

Средний размер файла: 900 Мб

Штатными средствами проанализировать даже данные за день невозможно.

Выходные данные:

Требование к системе:

Оперативность получения данных: в рамках периодичности

Хранение данных в днях: 15

Средний размер индекса за день: 10Гб

Среднее количество строк в индексе за день: 90М

В данной статье не рассматривается настройка ES, подразумевается, что пользователь достаточно опытный, чтобы найти информацию по установке и настройке. На ИС есть несколько годных статей.

Данный скрипт находится в стадии бета, код открыт всем желающим, работает на нескольких продуктовых базах и, если кто-то захочет поучаствовать в развитии - welcome.

Итак, система готова, python, ES, Kibana установлены и настроены, библиотеки для python загружены.

Вызов осуществляется из командной строки.

Пример:

Возможные аргументы:

Смещение по времени требуется, если на одном сервере обрабатываются журналы баз из различных часовых поясов.

Так же, важное замечание. В моем случае не требовалось парсить поле Данные, достаточно только представление данных.

Сам скрипт

import re
import datetime
from typing import Dict
from elasticsearch import helpers, Elasticsearch
import hashlib
import argparse

Users = {}
Apps = {}
Events = {}
Metas = {}

def ParseDict(file_path):

file = open(file_path, 'r', encoding='utf-8')
for line in file:
line = line.replace('\n','')
res = re.search('\{(1|3|4|5),.+,\d+\},', line)
if res != None:
if res.group(1) == '1':
res = re.search('\{1,.+,\"(.*)\",(\d+)\},', line)
Users[res.group(2)] = res.group(1)

if res.group(1) == '5':
res = re.search('\{5,.+,\"(.*)\",(\d+)\},', line)
Metas[res.group(2)] = res.group(1)

if res.group(1) == '3':
res = re.search('\{3,\"(.*)\",(\d+)\},', line)
Apps[res.group(2)] = res.group(1)

if res.group(1) == '4':
res = re.search('\{4,\"(.*)\",(\d+)\},', line)
Events[res.group(2)] = res.group(1)

def ParseLog(file_path):

file = open(file_path, 'r', encoding='utf-8')
text = file.read()
strEvents = re.findall('\{\d{14},.+?^\},\n', text, re.DOTALL|re.MULTILINE)
i = 0
for match in strEvents:

line = re.sub('\n', '@', match)
res = re.match('\{(\d{14}),(\w),@\{(.+?)\},(\d+),(\d+),(\d+),(\d+),(\d+),(\w),(.*?),(\d+),.+?\},(.*?),(\d+),(\d+),(\d+),(\d+),(\d+),@\{\d+\}@\},', line)

if res == None:
continue

i = i + 1
if i%10000==0:
print(file_path + ' ' + str(i))

Tran = res.group(2).replace('N', '-').replace('U', 'V').replace('R', 'InProc').replace('C', 'X')
Importance = res.group(9).replace('I', 'Информация').replace('E', 'Ошибка').replace('W', 'Предупреждение').replace('N', 'Примечание')
Usr = Users.get(res.group(4))
App = Apps.get(res.group(6))
Event = Events.get(res.group(8))
strDate = res.group(1)
Date = strDate[:4] + '-' + strDate[4:6]+ '-' + strDate[6:8] + 'T' + strDate[8:10] + ':' + strDate[10:12]+ ':' + strDate[12:14]
MetaData = Metas.get(res.group(11))
if sys_event_aliases.get(Event) != None:
Event = sys_event_aliases[Event]

strDoc = str(Date) + str(Event) + str(Usr) + str(MetaData) + str(Tran) + '(' + str(res.group(3)) + ')' + str(App) + str(res.group(10)) + str(Importance) + str(res.group(12)) + str(res.group(16))
hash_object = hashlib.md5(strDoc.encode())
idDoc = hash_object.hexdigest()

doc = {
"_id": idDoc,
"Date": Date,
"Event": Event,
"User": Usr,
"Meta": MetaData,
"Tran": Tran + '(' +res.group(3) + ')',
"App": App,
"Comment": res.group(10),
"Importance": Importance,
"Data": res.group(12),
"Session": res.group(16)

}
yield doc

def create_index(client, suff):

print("Имя индекса: events" + '_' +suff)
client.indices.create(
index="events" + '_' +suff,
body={
"settings": {"number_of_shards": 1, "lifecycle": {"name": "Events_del"}},
"mappings": {
"properties": {
"Date": {"type": "date","format": "yyyy-MM-dd'T'HH:mm:ss"},
"Event": {"type": "keyword"},
#"Day": {"type": "text"},
"User": {"type": "keyword"},
"Meta": {"type": "keyword"},
"Tran": {"type": "text"},
"App": {"type": "keyword"},
"Comment": {"type": "text"},
"Importance": {"type": "keyword"},
"Session": {"type": "text"},
"Data": {"type": "text"},

}
},
},
ignore=400,
)
client.indices.put_alias(index="events" + '_' +suff, name='events_journal')

if __name__ == '__main__':

sys_event_aliases = {"_$Session$_.Start": "Сеанс. Начало", "_$Session$_.Finish": "Сеанс. Завершение", "_$Session$_.Authentication": "Сеанс. Аутентификация",
"_$InfoBase$_.ConfigUpdate": "Информационная база. Изменение конфигурации",
"_$InfoBase$_.DBConfigUpdate": "Информационная база. Изменение конфигурации базы данных",
"_$InfoBase$_.EventLogSettingsUpdate": "Информационная база. Изменение параметров журнала регистрации",
"_$InfoBase$_.InfoBaseAdmParamsUpdate": "Информационная база. Изменение параметров информационной базы",
"_$InfoBase$_.MasterNodeUpdate": "Информационная база. Изменение главного узла",
"_$InfoBase$_.RegionalSettingsUpdate": "Информационная база. Изменение региональных установок",
"_$InfoBase$_.TARInfo": "Тестирование и исправление. Сообщение",
"_$InfoBase$_.TARMess": "Тестирование и исправление. Предупреждение",
"_$InfoBase$_.TARImportant": "Тестирование и исправление. Ошибка",
"_$Data$_.New": "Данные. Добавление", "_$Data$_.Update": "Данные. Изменение",
"_$Data$_.Delete": "Данные. Удаление",
"_$Data$_.TotalsPeriodUpdate": "Данные. Изменение периода рассчитанных итогов",
"_$Data$_.Post": "Данные. Проведение", "_$Data$_.Unpost": "Данные. Отмена проведения",
"_$User$_.New": "Пользователи. Добавление", "_$User$_.Update": "Пользователи. Изменение",
"_$User$_.Delete": "Пользователи. Удаление", "_$Job$_.Start": "Фоновое задание. Запуск",
"_$Job$_.Succeed": "Фоновое задание. Успешное завершение",
"_$Job$_.Fail": "Фоновое задание. Ошибка выполнения",
"_$Job$_.Cancel": "Фоновое задание. Отмена", "_$PerformError$_": "Ошибка выполнения",
"_$Transaction$_.Begin": "Транзакция. Начало",
"_$Transaction$_.Commit": "Транзакция. Фиксация",
"_$Transaction$_.Rollback": "Транзакция. Отмена"}

parser = argparse.ArgumentParser()
parser.add_argument("--i", required=True, type=str, help="Идентификатор индекса")
parser.add_argument("--c", required=True, type=str, help="Каталог с файлами журнала")
parser.add_argument("--t", default=1, type=int,
help="Временное смещение файлов. Например, когда на одном сервере обрабатываются логи разных временных зон")
parser.add_argument("--p", default='h', choices=["h", "d"], required=True, type=str,
help="Периодичность журнала. h - почасовой; d - подневной")
parser.add_argument("--f", default='', help="Имя Файла журнала, если требуется загрузить конктретный")
parser.add_argument("--es", required=True, default='', help="ES server")

args = parser.parse_args()
path_log = args.c
index_id = args.i
hour_delta = args.t
periodicity = args.p
file_name = args.f
ServerPort = args.es

print('Args:')
print(args)
print('*')
print('Каталог: ' + path_log)
file_dict = path_log + '/1Cv8.lgf'

now_date = datetime.datetime.now()
if file_name == '':
if periodicity == 'h':
last_date = now_date - datetime.timedelta(hours=hour_delta)
file_name = last_date.strftime("%Y%m%d%H0000.lgp")
else:
last_date = now_date - datetime.timedelta(days=1)
file_name = last_date.strftime("%Y%m%d000000.lgp")
file_exec = path_log + '/' + file_name

print('Обрабатывается: ' + file_exec)
daySuff = file_name[0:8]

print('DaySuff ' + daySuff)
print('Start parse dict')
ParseDict(file_dict)
print('End parse dict')

es = Elasticsearch(ServerPort)

print('Create index ' + index_id + '_' + daySuff)
create_index(es, index_id + '_' + daySuff)
print('Create index end')
print('Начало загрузки данных:')
failed = 0
success = 0
for ok, action in helpers.streaming_bulk(
client=es, index="events_" + index_id + '_' + daySuff, actions=ParseLog(file_exec),
):
if not ok:
failed += 1
else:
success += 1
print('Загрузка завершена')
print('success: ' + str(success))
print('failed: ' + str(failed))

Пример поиска конкретного документа и расследование действий с ним

Тестировалось на платформе 8.2.19 в ОС Windows

В разработке использовалась статья про формат ЖР //infostart.ru/1c/articles/182061/

ElasticSearch python журнал регистрации

+12 –

См. также

Версионирование справочников, документов и регистров сведений на SQL-сервере

Журнал регистрации Системный администратор Платформа 1С v8.3 Управляемые формы 1C:Бухгалтерия Россия Платные (руб)

История изменений реквизитов и табличных частей справочников, документов, независимых регистров сведений, возможность отката изменения, восстановление удаленных объектов, сбор статистики использования базы 1С. Альтернативный журнал регистрации.

22800 руб.

22.02.2018 35947 59 54

LogiCH - хранение и анализ журнала регистрации в сверхбыстрой СУБД ClickHouse

Журнал регистрации Системный администратор Платформа 1С v8.3 1C:Бухгалтерия Платные (руб)

Конфигурация LogiCH эффективно решает проблему хранения и анализа записей журналов регистрации. Разработка использует столбцовую СУБД ClickHouse, одну из самых быстрых Big Data OLAP СУБД. Любой анализ журнала можно выполнить в одном отчете, в котором доступны все возможности СКД с учетом ограничений RLS. Количество подключаемых баз не ограничено и не влияет на скорость построения анализа.

6000 руб.

28.11.2018 21320 18 7

Журнал регистрации получения работниками расчетных листков

Зарплата Журнал регистрации Бухгалтер Платформа 1С v8.3 1С:Зарплата и Управление Персоналом 2.5 1С:Зарплата и кадры бюджетного учреждения 1С:Зарплата и кадры государственного учреждения 3 1С:Зарплата и Управление Персоналом 3.x Бухгалтерский учет Бюджетный учет Платные (руб)

Журнал регистрации получения работниками расчетных листков (реестр получения расчетных листков), позволяющий подтвердить при проверке факт выдачи расчетного листка в соответствии со ст.136 ТК РФ.

1200 руб.

30.09.2013 76888 58 12

Сравнение парсера журнала регистрации Vector и ibcmd

Журнал регистрации Программист Россия Бесплатно (free)

В материале рассматривается сравнение двух инструментов для работы с журналом регистрации 1С: утилиты ibcmd и платформы Vector. Описаны их функциональные возможности, тестирование производительности и практическое применение для преобразования логов в формат JSON.

20.11.2024 1940 user1913000 13

Логирование в приложениях

Журнал регистрации Тестирование QA Программист Бесплатно (free)

Поговорим про логирование в приложениях на базе 1С, рассмотрим проблемы, которые возникают при сборе информации из этих систем, и обсудим практический опыт применения внутренних и внешних инструментов для анализа логов.

21.10.2024 3978 leemuar 8

Регламентное сокращение журнала регистрации

Инструменты администратора БД Журнал регистрации Системный администратор Платформа 1С v8.3 1С:Управление торговлей 11 Абонемент ($m)

Внешняя обработка для регламентного сокращения журнала регистрации для конфигураций на базе БСП и платформы 8.3.20+

1 стартмани

29.12.2023 2630 42 dima_gsv 3

Магия преобразований Vector, часть 3: журнал регистрации + прямой экспорт ошибок в Sentry

Журнал регистрации Мониторинг Системный администратор Программист Абонемент ($m)

Как легко и быстро с помощью специализированных решений собирать, парсить и передавать логи и метрики.

1 стартмани

19.11.2023 1829 6 AlexSTAL 0

Магия преобразований: ЖР, ТЖ, RAS/RAC, логи - универсальное решение Vector

Мониторинг Журнал регистрации Технологический журнал Системный администратор Программист Абонемент ($m)

Как легко и быстро с помощью специализированных решений собирать, парсить и передавать логи и метрики.

1 стартмани

13.11.2023 5625 11 AlexSTAL 0

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. itmind 309 05.05.21 05:42 Сейчас в теме

Почему только с периодичностью час или день?

2. bugagashenka 203 05.05.21 09:03 Сейчас в теме

(1) потому что делал для себя, а более крупной нету, ибо пришлось бы наращивать оперативную память для обработки таких файлов, в тексте я указал, что даже за час набегает около гигабайта. В принципе, текст скрипта открыт, в этом куске

if periodicity == 'h':
            last_date = now_date - datetime.timedelta(hours=hour_delta)
            file_name = last_date.strftime("%Y%m%d%H0000.lgp")
        else:
            last_date = now_date - datetime.timedelta(days=1)
            file_name = last_date.strftime("%Y%m%d000000.lgp")

можете добавить свой в аргумент --p и обработать его.

Например, для месяца будет что то, вроде

parser.add_argument("--p", default='h', choices=["h", "d", "m"], required=True, type=str,
                        help="Периодичность журнала. h - почасовой; d - подневной; m - помесячный")

 last_date = now_date - datetime.timedelta(months=1)
            file_name = last_date.strftime("%Y%m00000000.lgp")

Опять же, отвечая на вопрос, я не могу представить сценария расследования, когда нужно посмотреть месяц назад, либо перелопачивать регулярно одни и те же данные и загружать в эластик

Оставьте свое сообщение

E-mail:

Автор:

Линк СпасательЗельды (bugagashenka)

Рейтинг: 203

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 1432598

Создание 26.04.21 15:30

Обновление 26.04.21 15:30

Статистика:

Просмотры 3968

Загрузки 0

Рейтинг 12

Комментарии 2

Характеристики:

Код открыт Да

Рубрики Журнал регистрации

Кому Программист

Тип файла Нет файла

Платформа Не имеет значения

Конфигурация Универсальные

Операционная система Windows

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)