Elasticsearch: Node.js ECS ロギング

Elasticsearch: Node.js ECS ロギング - Winston

2024-07-12

前回の記事「」の続きです。Elasticsearch: Node.js ECS ロギング - Pino前回の記事に引き続き、Winston パッケージを使用したターゲットについて説明します。 Node.js アプリケーションはその日に合わせて ECS を生成します。この Node.js パッケージはウィンストン・ロガーフォーマッタが提供されており、 Elastic Common Schema (ECS) のロギング互換性がある。組み合わせるファイルビート送信者は、Elastic Stack 内の 1 か所からすべてのログを監視できます。 winston 3.x バージョン >=3.3.3 をサポートします。

設定

インストール


npm install @elastic/ecs-winston-format
npm install winston

構成

ウィンストン・ロギング.js


const winston = require('winston');
const { ecsFormat } = require('@elastic/ecs-winston-format');
 
const logger = winston.createLogger({
  format: ecsFormat(/* options */),  // 1
  transports: [
    new winston.transports.Console()
  ]
});
 
logger.info('hi');
logger.error('oops there is a problem', { err: new Error('boom') });

ECS フォーマッタを winston に渡します。

上記のコードを実行した結果は次のようになります。

Filebeat を構成する

ファイルビート 7.16+

ファイルビート.yml


filebeat.inputs:
- type: filestream     # 1
  paths: /path/to/logs.json
  parsers:
    - ndjson:
      overwrite_keys: true # 2
      add_error_key: true  # 3
      expand_keys: true    # 4
 
processors: // 5
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~

ファイルストリーム入力を使用して、アクティブなログファイルから行を読み取ります。
競合が発生した場合、デコードされた JSON オブジェクトの値は、Filebeat が通常追加するフィールド (タイプ、ソース、オフセットなど) を上書きします。
JSON アンマーシャリングエラーが発生した場合、Filebeat は「error.message」キーと「error.type: json」キーを追加します。
Filebeat は、デコードされた JSON からドットキーを再帰的に取り除き、階層オブジェクト構造に展開します。
プロセッサーはデータを強化します。見るプロセッサ詳しく知ることができ。

ファイルビート < 7.16

ファイルビート.yml


filebeat.inputs:
- type: log
  paths: /path/to/logs.json
  json.keys_under_root: true
  json.overwrite_keys: true
  json.add_error_key: true
  json.expand_keys: true
 
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
- add_docker_metadata: ~
- add_kubernetes_metadata: ~

詳細については、「」を参照してください。ファイルビートリファレンス。

使い方

ウィンストン・ロギング.js


const winston = require('winston');
const { ecsFormat } = require('@elastic/ecs-winston-format');
 
const logger = winston.createLogger({
  level: 'info',
  format: ecsFormat(/* options */), // 1
  transports: [
    new winston.transports.Console()
  ]
});
 
logger.info('hi');
logger.error('oops there is a problem', { foo: 'bar' });

以下の利用可能なオプションを参照してください。

node winston-logging.js | jq .

このスクリプトを実行します (次の場所で入手可能)ここ取得したもの) は、上記と同様のログ出力を生成します。

フォーマッタはデータを JSON にシリアル化する役割を担うため、追加する必要はありません。 json フォーマッタ。さらに、フォーマッタはタイムスタンプを自動的に生成するため、追加する必要はありません。タイムスタンプフォーマッタ。

エラーログ

デフォルトでは、フォーマッタは Error インスタンスの err メタフィールドを次のように変換します。 ECSエラーフィールド。例えば例：

ウィンストン・ロギング.js


const winston = require('winston');
const { ecsFormat } = require('@elastic/ecs-winston-format');
const logger = winston.createLogger({
  format: ecsFormat(), 
  transports: [
    new winston.transports.Console()
  ]
});
 
const myErr = new Error('boom');
logger.info('oops', { err: myErr });

err メタフィールドの特別な処理は、convertErr: false オプションを使用して無効にできます。

ウィンストン・ロギング.js


const winston = require('winston');
const { ecsFormat } = require('@elastic/ecs-winston-format');
const logger = winston.createLogger({
  format: ecsFormat({convertErr: false} ), 
  transports: [
    new winston.transports.Console()
  ]
});
 
const myErr = new Error('boom');
logger.info('oops', { err: myErr });

HTTPリクエストとレスポンスのログ記録

ConvertReqRes: true オプションを使用すると、フォーマッタはそれぞれ req および res メタフィールドとして渡されたときに Node.js コアを自動的に変換します。リクエストそして応答物体。

ウィンストン・ロギング.js


const http = require('http');
const winston = require('winston');
const { ecsFormat } = require('@elastic/ecs-winston-format');
 
const logger = winston.createLogger({
  level: 'info',
  format: ecsFormat({ convertReqRes: true }), // 1
  transports: [
    new winston.transports.Console()
  ]
});
 
const server = http.createServer(handler);
server.listen(3000, () => {
  logger.info('listening at http://localhost:3000')
});
 
function handler (req, res) {
  res.setHeader('Foo', 'Bar');
  res.end('ok');
  logger.info('handled request', { req, res }); // 2
}

ConvertReqRes オプションを使用する
レコード req および/または res メタフィールド

これは使用します ECS HTTP フィールドリクエストとレスポンスの情報を含むログを生成します。例えば例：

上記にアクセスする必要があります http://ローカルホスト:3000 そうすることでのみ、上記の日の情報を確認できます。

ログの関連付けに APM を使用する

これ ECCS ログフォーマッタ付きエラスティックAPM 統合された。Node アプリケーションが使用している場合Node.js エラスティック APM エージェント、APM サービスまたはトレースデータとログデータを関連付けるために、いくつかのフィールドがログレコードに追加されます。

現在スパンをトレースしているときに呼び出されるログステートメント (logger.info(...) など) には次のものが含まれます。追跡フィールド— trace.id、transaction.id、span.id。
APM エージェントによって決定または構成された複数のサービス識別子フィールド (service.name、service.version、service.environment、service.node.name) により、Kibana のサービスとログ間の相互リンクが可能になります。
event.dataset は Elastic Observability アプリケーションで有効になりますログレート異常検出。

たとえば、実行します例/http-with-elastic-apm.js そしてカール -i ローカルホスト:3000/ 次の内容を含むログレコードが生成されます。


% node examples/http-with-elastic-apm.js | jq .
...
  "service.name": "http-with-elastic-apm",
  "service.version": "1.4.0",
  "service.environment": "development",
  "event.dataset": "http-with-elastic-apm"
  "trace.id": "7fd75f0f33ff49aba85d060b46dcad7e",
  "transaction.id": "6c97c7c1b468fa05"
}

これらの ID は、APM エージェントによって報告された追跡データと一致します。

Elastic APM との統合は、apmIntegration: false オプションを使用して明示的に無効にすることができます。次に例を示します。


const logger = winston.createLogger({
  format: ecsFormat({ apmIntegration: false }),
  // ...
})

制限事項と注意事項

ecs-logging の仕様ログレコードの最初の 3 つのフィールドは、@timestamp、log.level、および message にすることをお勧めします。バージョン 1.5.0 以降、このフォーマッタはこの推奨事項に従っていません。これは可能ですが、ログレコードごとに ecsFields に新しいオブジェクトを作成する必要があります。 ecs-logging フィールドの順序は読みやすさを目的としたものであり、相互運用性に影響を与えないことを考慮して、パフォーマンスを優先することが決定されました。

参照する

ecsFormat([オプション])

options {type-object} は次のオプションをサポートしています。
- ConvertErr {type-boolean} レコードの err フィールドを ECS エラーフィールドに変換するかどうか。デフォルト値：真実。
- ConvertReqRes {type-boolean} req および res HTTP リクエストおよびレスポンスフィールドを ECS HTTP、User-Agent、および URL フィールドに記録するかどうか。デフォルト値：間違い。
- apmIntegration {type-boolean} APM エージェント統合を有効にするかどうか。デフォルト値：真実。
- serviceName {type-string} 「service.name」の値。指定した場合、アクティブな APM エージェントの値をオーバーライドします。
- serviceVersion {type-string} 「service.version」の値。指定した場合、アクティブな APM エージェントの値をオーバーライドします。
- serviceEnvironment {type-string} 「service.environment」の値。指定した場合、アクティブな APM エージェントの値をオーバーライドします。
- serviceNodeName {type-string} 「service.node.name」の値。指定した場合、アクティブな APM エージェントの値はすべて上書きされます。
- eventDataset {type-string} 「event.dataset」の値。指定した場合、${serviceVersion} を使用するデフォルト値はオーバーライドされます。

ECS ログ形式を出力する winston 用のフォーマッタを作成します。これは治療法ですecsFields([オプション]) そしてecsStringify([オプション]) シングルフォーマット。次の 2 つは同等です。


const { ecsFormat, ecsFields, ecsStringify } = require('@elastic/ecs-winston-format');
const winston = require('winston');
 
const logger = winston.createLogger({
  format: ecsFormat(/* options */),
  // ...
});
 
const logger = winston.createLogger({
  format: winston.format.combine(
    ecsFields(/* options */),
    ecsStringify()
  ),
  // ...
});

ecsFields([オプション])

options {type-object} は次のオプションをサポートしています。
- ConvertErr {type-boolean} レコードの err フィールドを ECS エラーフィールドに変換するかどうか。デフォルト値：真実。
- ConvertReqRes {type-boolean} req および res HTTP リクエストおよびレスポンスフィールドを ECS HTTP、User-Agent、および URL フィールドに記録するかどうか。デフォルト値：間違い。
- apmIntegration {type-boolean} APM エージェント統合を有効にするかどうか。デフォルト値：真実。
- serviceName {type-string} 「service.name」の値。指定した場合、アクティブな APM エージェントの値をオーバーライドします。
- serviceVersion {type-string} 「service.version」の値。指定した場合、アクティブな APM エージェントの値をオーバーライドします。
- serviceEnvironment {type-string} 「service.environment」の値。指定した場合、アクティブな APM エージェントの値をオーバーライドします。
- serviceNodeName {type-string} 「service.node.name」の値。指定した場合、アクティブな APM エージェントの値はすべて上書きされます。
- eventDataset {type-string} 「event.dataset」の値。指定した場合、${serviceVersion} を使用するデフォルト設定はオーバーライドされます。

ログ情報オブジェクトのフィールドを ECS ログ形式に変換する winston 用のフォーマッタを作成します。

ecsStringify([オプション])

ログレコードを JSON に文字列化/シリアル化するための winston 用のフォーマッタを作成します。

これは logform.json() に似ています。どちらも、safe-stable-stringify パッケージを使用して JSON を生成します。いくつかの違い:

この文字列指定子は、ECS フィールドではないため、レベルフィールドのシリアル化をスキップします。
Winston は、bigint を文字列に変換する置換機能を提供します。その理由は、JavaScript JSON パーサーが bigint を解析するときに精度が失われるためです。反対意見は、BigInt が型を数値ではなく文字列に変更することです。現在、この文字列化子は BitInt を文字列に変換しません。

技術共有