Wie speichert man am besten große Mengen von Logs?

                Meine Firma betreibt eine Webseite auf der enorme Mengen von Logs anfallen. Wir können/wollen daher die Logs nicht in einer relationalen Datenbank ablegen, weil das zu langsam bzw. zu teuer (Hardware) wäre. Es sind auch keine komplizierten Abfragen geplant (eine contains-Textsuche reicht völlig aus). Wie gehen wir am besten mit den Logdaten um?
            

Themen:

07.09.09

franz

101 ● 1 ● 2

Kommentieren - Für Rückfragen oder Anmerkungen

1		Für eine "beste Lösung" wären folgende Punkte interessant: Wo kommen die Logs her, wo gehen sie hin, und was steht ungefähr drin? – MiW 09.09.09
		Eine Datenbank ist bei großen Datenmengen der bessere Speicherort. Die Tabellen werden nicht im Speicher gehalten solange nicht auf Sie lesen zugegriffen wird. Selbst dann werden nur einzelne Pages (ein Page ist ein kleiner Teil des Inhaltes einer Tabelle) geladen und im Speicher gehalten. Wenn ein Index auf den relevanten Spalten liegt, ist eine Abfrage in Millisekunden auch bei mehreren Gigabyte an Daten möglich ohne das auch nur ein Byte aus der Tabelle in den Speicher geladen werden müßte (auser natürlich die Pages diegebraucht werden um das Result zusammen zu bauen) – Floyd 27.10.09
		Als praktisches Beispiel, wir verwenden hier bei mir auf Arbeit eine Tabelle mit ~25 Millionen Einträge a ~8KB. Der Abruf auf unserem Testserver (Windows 2003-Server unterer Leistungsklasse mit 4GB Arbeitsspeicher) mit folgendem Statement "select * from tbl_MyTable where a_ID < 1000" braucht <1 Sekunde obwohl die Tabelle nicht im Speicher ist. – Floyd 27.10.09
		Auch wenn du keine Datenbank haben willst, ich würde einen zweitserver aufstellen (Hostserver eine zweite NIC einbauen) und dort via RSyslog die Daten empfangen von den Hauptservern. Somit ist das komplette Logging outsourced und es ist ein geringer Aufwand. Auf dem Webserver musst du natürlich über das Syslog System loggen, Apache macht das über Pipes, Lighttpd kann es per default und der IIS kann es über Snare. Logs auf dem Webserver zu belassen würde ich ab einer gewissen Anzahl an Kunden nicht mehr weil die IO des Hostsystems in die Knie gehen kann. – Lord_Pinhead 13.11.09

8 Antworten

                Ich würde wie meine Vorredner zu einer Textdatei greifen. Jeder Logeintrag sollte über einen Zeitstempel verfügen, sowie in seiner Meldung Aussagekräftig sein (z.B. ist eine Meldung wie "Der Kommandozeilenparameter xy ist unbekannt" ist besser  als "Achtung Fehler"), das ist klar.

Darüber hinaus würde ich, wenn ich auf kein spezielles Loggingsystem eines Drittanbieters zurückgreifen möchte, folgende Punkte berücksichtigen:

 Nur anonymisierte Daten speichern. Lieber eine User ID speichern als Username u.ä. ausgeben. Niemals Passwörter per Logdatei speichern.
 Jeden Tag eine neue Logdatei erstellen
 Die Logdateien beinhalten im Dateinamen das Datum, so dass diese sinnvoll sortiert angezeigt werden können
 Jede Tag/Woche/Monat (abhängig davon wie schnell diese größer werden) sollten die neuen Logdateien mit einem Packprogramm gezippt werden. Am besten automatisch triggern.
 Kopiere die Logdateien nach dem packen auf ein Backup-Laufwerk oder ähnliches. Ebenfalls Automatisch Triggern.
 Die automatischen Prozesse oben sollten regelmäßig kontrolliert werden, am besten einen automatischen Report generieren, der wöchentlich/monatlich per Email darüber auskunft gibt wieviele Dateien gezippt wurden und ob die gleichen Dateien im Backupordner liegen
 Last but not Least: Falls sinnvoll, regelmäßiges Löschen der Logfiles aus dem System und ggf. Backupordner. 
 Falls eine Langzeitarchivierung gefordert ist, dann den vorigen Punkt vergessen und statt dessen die Logfiles vom Backupsystem regelmäßig auf Datenträger kopieren.

            

09.09.09

Vash

364 ● 1 ● 4

Kommentieren

                Wenn ihr die Dateien nicht mit Windows betrachten wollt, würde ich ein Flatfileformat nehmen. Entsprechende Trennzeichen und ein kleines Script das alles schreibt und liest wäre schnell und einfach geschrieben.
            

07.09.09

ralf

61 ● 1 ● 2

Kommentieren

                Mit Log4Net ist es auch möglich, die Logereignisse über das Netzwerk an einen anderen zentralen Rechner zu schicken, um dort alle Logs gemeinsam zu sammeln. Das könnte dann in Form einer XML Datei geschehen.

Diese kann man dann auch sehr komfortable mit Log4View betrachten (ist allerdings kostenpflichtig)

07.09.09

time_bandit

41 ● 1 ● 1

Kommentieren

Wenn es wirklich sehr große Logs sind, würde ich XML aber nicht empfehlen, da hier pro Logeintrag u.U. sehr viel redundante Daten anfallen. Beispiel:
<log type="error">Errormessage</log>
kann man sehr viel kürzer als:
ERROR Errormessage
speichern

– arj 07.09.09

                Ich schließe mich den Vorrednern an. Noch zwei Tips aus eigener Erfahung:

1. Am schnellsten Text in Dateien bekommt man mit file_put_contents().
2. Überlegt Euch ob Ihr Loglevels und/oder Tracelevels einführt, dann kann man einfacher über die Logfiles greppen. Bsp.:
WARNING This is a warning log message.
TRACE-4711 A log message from the component with trace level 4711.
...
            

07.09.09

Weltraumschaf

41 ● 1 ● 1

Kommentieren

Über das Loglevel lässt sich dann auch die Log-Aktivität einstellen. Bei neuen Systemen logge ich immer alles mit, wenn sie sich bewährt haben schalte ich das Loglevel runter und es werden nur noch reine Exceptions ausgegeben.

– Whiskyfire 07.09.09

                Mein Empfehlung wäre, schau dir mal die syslog Kommandos an. Der Dienst ist in  fast jedem Linux / Unix System vorhanden und sehr mächtig. Zudem gibt es auch schon viele Tools die große Log Files packen und archivieren. Was ich nicht hundertprozentig weiß, ist wie der Dienst mit
euer Datenflut zu recht kommt
            

07.09.09

Karlchen

21 ● 1 ● 1

Kommentieren

Wenns eine Unix-Maschine ist, dann Logrotate
(Creating logfile archives with logrotate)

Die Logfiles werden ggf. nach Datum in Verzeichnissen archiviert
und können mit einfachen gunzip/grep-Kommandos durchsucht werden.

Billig, fehlertolerant und schnell.

Viele Grüße

09.09.09

357 ● 1 ● 5

357 ● 1 ● 5

                ihr könntet einfach eine textlog ala

ZEITSTEMPEL LOGMELDUNG
ZEITSTEMPEL LOGMELDUNG
.
.
.

nutzen, das lässt sich manuell sehr schnell auswerten+schreiben und ist auch noch mit einem Texteditor recht gut lesbar.
            

07.09.09

psychoschlumpf

77 ● 1 ● 2

Kommentieren

                ...enorme Mengen von Logs anfallen. Wir können/wollen daher die Logs nicht in einer relationalen Datenbank ablegen, weil das zu langsam...

Sorry, aber für mich widerspricht sich dies alles.
- Bei "enormen" Daten-Mengen eine Textdatei zu nehmen
- ist eine Riesen-Datenbank langsamer als eine Text Datei?
            

27.10.09

9 ● 2

9 ● 2

Deine Antwort

Entweder einloggen...			...oder ohne Wartezeit registrieren
Name Passwort			Name Passwort Passwort wiederholen E-Mail Geworben von

Login mit OpenID

Mit einem OpenID-Account kannst Du dich auf allen Webseiten anmelden, die OpenID unterstützen. Du hast bereits ein Benutzerkonto bei einem der folgenden Provider? Dann kannst Du dich direkt bei codekicker damit registrieren.

OpenID-Provider anklicken:

Wie antworte ich?

Deine Antwort sollte dem Fragenden weiterhelfen - sonst ist es keine Antwort.

Rückfragen oder Anmerkungen zur Frage selbst sollten als Kommentare unter die Frage geschrieben werden. Nimmst du Bezug auf eine andere Antwort? Vielleicht willst du dann einen Kommentar dazu schreiben.

codekicker ist kein normales Forum: Antworten sind weder Diskussion noch Rückfragen. Bitte nutze dazu die Kommentarfunktion.

Wie erhalte ich Reputation?

Deine Antworten können von Anderen positiv oder negativ bewertet werden.

Jede positive Bewertung bringt 10 Reputation und jede negative -2 Reputation.

Reputation bringt Verantwortung: Du kannst Beiträge von Anderen editieren. Verbessere Fragen und korrigiere Antworten, damit unser Wiki stets aktuell bleibt.

FAQ »

FAQ | Impressum | Blog | Kontaktmail | Feedback

Alle Rechte für Design und Code von codekicker.de vorbehalten. Fragen und Antworten stehen unter der CC-Wiki-Lizenz.