Выгрузка журнала регистрации в ElasticSearch с помощью Python

26.04.21

Данный скрипт реализован на языке python с подключаемой библиотекой ElasticSearch, что позволяет парсить и загружать файлы ЖР напрямую в ES. ВНИМАНИЕ! Данный парсер работает только со старым форматом ЖР и только, если у него периодичность день или час.

В данной статье я бы хотел затронуть проблему поиска по журналу регистрации, если нужно проанализировать данные за достаточно большой период времени и при этом база находится под высокой нагрузкой.

Входные данные:

Периодичность файла ЖР: Час

Средний размер файла: 900 Мб

Штатными средствами проанализировать даже данные за день невозможно.

Выходные данные:

Требование к системе:

Оперативность получения данных: в рамках периодичности

Хранение данных в днях: 15

Средний размер индекса за день: 10Гб

Среднее количество строк в индексе за день: 90М

В данной статье не рассматривается настройка ES, подразумевается, что пользователь достаточно опытный, чтобы найти информацию по установке и настройке. На ИС есть несколько годных статей.

Данный скрипт находится в стадии бета, код открыт всем желающим, работает на нескольких продуктовых базах и, если кто-то захочет поучаствовать в развитии - welcome.

Итак, система готова, python, ES, Kibana установлены и настроены, библиотеки для python загружены.

Вызов осуществляется из командной строки.

Пример:

Возможные аргументы:

Смещение по времени требуется, если на одном сервере обрабатываются журналы баз из различных часовых поясов.

Так же, важное замечание. В моем случае не требовалось парсить поле Данные, достаточно только представление данных.

Сам скрипт

import re
import datetime
from typing import Dict
from elasticsearch import helpers, Elasticsearch
import hashlib
import argparse

Users = {}
Apps = {}
Events = {}
Metas = {}

def ParseDict(file_path):

file = open(file_path, 'r', encoding='utf-8')
for line in file:
line = line.replace('\n','')
res = re.search('\{(1|3|4|5),.+,\d+\},', line)
if res != None:
if res.group(1) == '1':
res = re.search('\{1,.+,\"(.*)\",(\d+)\},', line)
Users[res.group(2)] = res.group(1)

if res.group(1) == '5':
res = re.search('\{5,.+,\"(.*)\",(\d+)\},', line)
Metas[res.group(2)] = res.group(1)

if res.group(1) == '3':
res = re.search('\{3,\"(.*)\",(\d+)\},', line)
Apps[res.group(2)] = res.group(1)

if res.group(1) == '4':
res = re.search('\{4,\"(.*)\",(\d+)\},', line)
Events[res.group(2)] = res.group(1)

def ParseLog(file_path):

file = open(file_path, 'r', encoding='utf-8')
text = file.read()
strEvents = re.findall('\{\d{14},.+?^\},\n', text, re.DOTALL|re.MULTILINE)
i = 0
for match in strEvents:

line = re.sub('\n', '@', match)
res = re.match('\{(\d{14}),(\w),@\{(.+?)\},(\d+),(\d+),(\d+),(\d+),(\d+),(\w),(.*?),(\d+),.+?\},(.*?),(\d+),(\d+),(\d+),(\d+),(\d+),@\{\d+\}@\},', line)

if res == None:
continue

i = i + 1
if i%10000==0:
print(file_path + ' ' + str(i))

Tran = res.group(2).replace('N', '-').replace('U', 'V').replace('R', 'InProc').replace('C', 'X')
Importance = res.group(9).replace('I', 'Информация').replace('E', 'Ошибка').replace('W', 'Предупреждение').replace('N', 'Примечание')
Usr = Users.get(res.group(4))
App = Apps.get(res.group(6))
Event = Events.get(res.group(8))
strDate = res.group(1)
Date = strDate[:4] + '-' + strDate[4:6]+ '-' + strDate[6:8] + 'T' + strDate[8:10] + ':' + strDate[10:12]+ ':' + strDate[12:14]
MetaData = Metas.get(res.group(11))
if sys_event_aliases.get(Event) != None:
Event = sys_event_aliases[Event]

strDoc = str(Date) + str(Event) + str(Usr) + str(MetaData) + str(Tran) + '(' + str(res.group(3)) + ')' + str(App) + str(res.group(10)) + str(Importance) + str(res.group(12)) + str(res.group(16))
hash_object = hashlib.md5(strDoc.encode())
idDoc = hash_object.hexdigest()

doc = {
"_id": idDoc,
"Date": Date,
"Event": Event,
"User": Usr,
"Meta": MetaData,
"Tran": Tran + '(' +res.group(3) + ')',
"App": App,
"Comment": res.group(10),
"Importance": Importance,
"Data": res.group(12),
"Session": res.group(16)

}
yield doc

def create_index(client, suff):

print("Имя индекса: events" + '_' +suff)
client.indices.create(
index="events" + '_' +suff,
body={
"settings": {"number_of_shards": 1, "lifecycle": {"name": "Events_del"}},
"mappings": {
"properties": {
"Date": {"type": "date","format": "yyyy-MM-dd'T'HH:mm:ss"},
"Event": {"type": "keyword"},
#"Day": {"type": "text"},
"User": {"type": "keyword"},
"Meta": {"type": "keyword"},
"Tran": {"type": "text"},
"App": {"type": "keyword"},
"Comment": {"type": "text"},
"Importance": {"type": "keyword"},
"Session": {"type": "text"},
"Data": {"type": "text"},

}
},
},
ignore=400,
)
client.indices.put_alias(index="events" + '_' +suff, name='events_journal')

if __name__ == '__main__':

sys_event_aliases = {"_$Session$_.Start": "Сеанс. Начало", "_$Session$_.Finish": "Сеанс. Завершение", "_$Session$_.Authentication": "Сеанс. Аутентификация",
"_$InfoBase$_.ConfigUpdate": "Информационная база. Изменение конфигурации",
"_$InfoBase$_.DBConfigUpdate": "Информационная база. Изменение конфигурации базы данных",
"_$InfoBase$_.EventLogSettingsUpdate": "Информационная база. Изменение параметров журнала регистрации",
"_$InfoBase$_.InfoBaseAdmParamsUpdate": "Информационная база. Изменение параметров информационной базы",
"_$InfoBase$_.MasterNodeUpdate": "Информационная база. Изменение главного узла",
"_$InfoBase$_.RegionalSettingsUpdate": "Информационная база. Изменение региональных установок",
"_$InfoBase$_.TARInfo": "Тестирование и исправление. Сообщение",
"_$InfoBase$_.TARMess": "Тестирование и исправление. Предупреждение",
"_$InfoBase$_.TARImportant": "Тестирование и исправление. Ошибка",
"_$Data$_.New": "Данные. Добавление", "_$Data$_.Update": "Данные. Изменение",
"_$Data$_.Delete": "Данные. Удаление",
"_$Data$_.TotalsPeriodUpdate": "Данные. Изменение периода рассчитанных итогов",
"_$Data$_.Post": "Данные. Проведение", "_$Data$_.Unpost": "Данные. Отмена проведения",
"_$User$_.New": "Пользователи. Добавление", "_$User$_.Update": "Пользователи. Изменение",
"_$User$_.Delete": "Пользователи. Удаление", "_$Job$_.Start": "Фоновое задание. Запуск",
"_$Job$_.Succeed": "Фоновое задание. Успешное завершение",
"_$Job$_.Fail": "Фоновое задание. Ошибка выполнения",
"_$Job$_.Cancel": "Фоновое задание. Отмена", "_$PerformError$_": "Ошибка выполнения",
"_$Transaction$_.Begin": "Транзакция. Начало",
"_$Transaction$_.Commit": "Транзакция. Фиксация",
"_$Transaction$_.Rollback": "Транзакция. Отмена"}

parser = argparse.ArgumentParser()
parser.add_argument("--i", required=True, type=str, help="Идентификатор индекса")
parser.add_argument("--c", required=True, type=str, help="Каталог с файлами журнала")
parser.add_argument("--t", default=1, type=int,
help="Временное смещение файлов. Например, когда на одном сервере обрабатываются логи разных временных зон")
parser.add_argument("--p", default='h', choices=["h", "d"], required=True, type=str,
help="Периодичность журнала. h - почасовой; d - подневной")
parser.add_argument("--f", default='', help="Имя Файла журнала, если требуется загрузить конктретный")
parser.add_argument("--es", required=True, default='', help="ES server")

args = parser.parse_args()
path_log = args.c
index_id = args.i
hour_delta = args.t
periodicity = args.p
file_name = args.f
ServerPort = args.es

print('Args:')
print(args)
print('*')
print('Каталог: ' + path_log)
file_dict = path_log + '/1Cv8.lgf'

now_date = datetime.datetime.now()
if file_name == '':
if periodicity == 'h':
last_date = now_date - datetime.timedelta(hours=hour_delta)
file_name = last_date.strftime("%Y%m%d%H0000.lgp")
else:
last_date = now_date - datetime.timedelta(days=1)
file_name = last_date.strftime("%Y%m%d000000.lgp")
file_exec = path_log + '/' + file_name

print('Обрабатывается: ' + file_exec)
daySuff = file_name[0:8]

print('DaySuff ' + daySuff)
print('Start parse dict')
ParseDict(file_dict)
print('End parse dict')

es = Elasticsearch(ServerPort)

print('Create index ' + index_id + '_' + daySuff)
create_index(es, index_id + '_' + daySuff)
print('Create index end')
print('Начало загрузки данных:')
failed = 0
success = 0
for ok, action in helpers.streaming_bulk(
client=es, index="events_" + index_id + '_' + daySuff, actions=ParseLog(file_exec),
):
if not ok:
failed += 1
else:
success += 1
print('Загрузка завершена')
print('success: ' + str(success))
print('failed: ' + str(failed))

Пример поиска конкретного документа и расследование действий с ним

Тестировалось на платформе 8.2.19 в ОС Windows

В разработке использовалась статья про формат ЖР //infostart.ru/1c/articles/182061/

Вступайте в нашу телеграмм-группу Инфостарт

ElasticSearch python журнал регистрации

+13 –

См. также

Версионирование справочников, документов и регистров сведений на SQL-сервере

Журнал регистрации Системный администратор 1С:Предприятие 8 1C:Бухгалтерия Россия Платные (руб)

История изменений реквизитов и табличных частей справочников, документов, независимых регистров сведений, возможность отката изменения, восстановление удаленных объектов, сбор статистики использования базы 1С. Альтернативный журнал регистрации.

22800 руб.

22.02.2018 37563 61 55

LogManager - Внешний журнал регистрации в 1С SQL

Журнал регистрации Системный администратор Программист 1С:Предприятие 8 1C:Бухгалтерия Платные (руб)

Журнал регистрации платформы 1С в SQL. Общая база хранения всех журналов. Через com-подключение регламентным заданием периодически догружает журналы регистраций из рабочих баз. Предоставляет настраиваемый доступ к журналам по правам подразделений. Формирует отчеты по пользователям и данным.

12000 руб.

23.05.2014 58317 53 17

LogiCH - хранение и анализ журнала регистрации в сверхбыстрой СУБД ClickHouse

Журнал регистрации Системный администратор 1С:Предприятие 8 1C:Бухгалтерия Платные (руб)

Конфигурация LogiCH эффективно решает проблему хранения и анализа записей журналов регистрации. Разработка использует столбцовую СУБД ClickHouse, одну из самых быстрых Big Data OLAP СУБД. Любой анализ журнала можно выполнить в одном отчете, в котором доступны все возможности СКД с учетом ограничений RLS. Количество подключаемых баз не ограничено и не влияет на скорость построения анализа.

6000 руб.

28.11.2018 23088 21 8

Версионирование объектов для Альфа-авто, ред 4 и 5.

Оптовая торговля Розничная торговля Журнал регистрации Системный администратор Пользователь Руководитель проекта 1С:Предприятие 8 1C:Бухгалтерия Автомобили, автосервисы Управленческий учет Платные (руб)

Подсистема версионирования объектов для конфигураций Рарус: Альфа-авто на базе типовой подсистемы от 1С. Позволяет хранить историю изменений документов и справочников, кто, что, когда и какие данные изменял, а так же вернуться к предыдущим версиям объекта.

4800 руб.

03.09.2016 44079 34 24

Сравнение парсера журнала регистрации Vector и ibcmd

Журнал регистрации Программист Россия Бесплатно (free)

В материале рассматривается сравнение двух инструментов для работы с журналом регистрации 1С: утилиты ibcmd и платформы Vector. Описаны их функциональные возможности, тестирование производительности и практическое применение для преобразования логов в формат JSON.

20.11.2024 5179 user1913000 13

Логирование в приложениях

Журнал регистрации Тестирование QA Программист Бесплатно (free)

Поговорим про логирование в приложениях на базе 1С, рассмотрим проблемы, которые возникают при сборе информации из этих систем, и обсудим практический опыт применения внутренних и внешних инструментов для анализа логов.

21.10.2024 6687 leemuar 8

Регламентное сокращение журнала регистрации

Инструменты администратора БД Журнал регистрации Системный администратор 1С:Предприятие 8 1С:Управление торговлей 11 Абонемент ($m)

Внешняя обработка для регламентного сокращения журнала регистрации для конфигураций на базе БСП и платформы 8.3.20+

1 стартмани

29.12.2023 4210 53 dima_gsv 4

Магия преобразований Vector, часть 3: журнал регистрации + прямой экспорт ошибок в Sentry

Журнал регистрации Мониторинг Системный администратор Программист Абонемент ($m)

Как легко и быстро с помощью специализированных решений собирать, парсить и передавать логи и метрики.

1 стартмани

19.11.2023 3313 9 AlexSTAL 0

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. itmind 304 05.05.21 05:42 Сейчас в теме

Почему только с периодичностью час или день?

2. bugagashenka 205 05.05.21 09:03 Сейчас в теме

(1) потому что делал для себя, а более крупной нету, ибо пришлось бы наращивать оперативную память для обработки таких файлов, в тексте я указал, что даже за час набегает около гигабайта. В принципе, текст скрипта открыт, в этом куске

if periodicity == 'h':
            last_date = now_date - datetime.timedelta(hours=hour_delta)
            file_name = last_date.strftime("%Y%m%d%H0000.lgp")
        else:
            last_date = now_date - datetime.timedelta(days=1)
            file_name = last_date.strftime("%Y%m%d000000.lgp")

можете добавить свой в аргумент --p и обработать его.

Например, для месяца будет что то, вроде

parser.add_argument("--p", default='h', choices=["h", "d", "m"], required=True, type=str,
                        help="Периодичность журнала. h - почасовой; d - подневной; m - помесячный")

 last_date = now_date - datetime.timedelta(months=1)
            file_name = last_date.strftime("%Y%m00000000.lgp")

Опять же, отвечая на вопрос, я не могу представить сценария расследования, когда нужно посмотреть месяц назад, либо перелопачивать регулярно одни и те же данные и загружать в эластик

Для отправки сообщения требуется регистрация/авторизация

Автор:

Линк СпасательЗельды (bugagashenka)

Рейтинг: 205

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 1432598

Создание 26.04.21 15:30

Обновление 26.04.21 15:30

Статистика:

Просмотры 4816

Загрузки 0

Рейтинг 13

Комментарии 2

Характеристики:

Код открыт Да

Рубрики Журнал регистрации

Кому Программист

Тип файла Нет файла

Платформа Не имеет значения

Конфигурация Универсальные

Операционная система Windows

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)