[OpenSearch] OpenSearch로 Application Log 확인하기

OpenSearch Dashboards는 OpenSearch 기반 검색 시스템을 모니터링하고 관리하기 위한 툴입니다.

Discover 기능을 사용하여 운영중인 시스템에 대한 여러가지 Application Log를 검색 할 수 있고, 시각화하여 분석할 수 있습니다.

 

OpenSearch Dashboard 설치 후 대시보드 사이트에서 로그인을 진행해주세요.

 OpenSearch Dashboards Visualize & analyze 를 클릭해 접속해주세요.

 Application에 대한 Log를 검색할 예정이므로, Discover를 클릭해 접속해주세요.

 OpenSearch Dashboards 의 Discover 구성 화면입니다.

 

 

① 검색창에 쿼리를 입력할 수 있으며 필터 옵션을 사용하여 결과를 필터링하고, 시간 범위를 설정하여 검색 결과를 제한 할 수 있습니다.

② 검색창에서 사용가능한 필드 목록을 나타내며, 해당 필드를 이용해 query를 수행합니다.

③ 검색된 결과 창에 대한 데이터의 시작적인 표현을 보여주는 차트를 볼 수 있습니다.

④ 검색된 결과 창에 대한 데이터 테이블을 볼 수 있습니다.

 

 

 

 OpenSearch Dashboards 의 OpenSearch Query 수행하기

 

기본적으로 필드값을 사용하지 않고 단어만으로도 검색이 가능합니다.

예를 들어 error가 표시된 모든 데이터를 보고싶을 경우에 error로 검색하면  error에 해당하는 다양한 결과값이 조회됩니다.

 

로그를 상세클릭하면 Table 형태와 JSON형태로 확인 할 수 있습니다.

해당 에러는 400 토큰 에러 로그를 나타내고 있네요.

 

 

상세내역을 세부적으로 검색하고 싶을 경우에 필드를 사용해서 검색 할 수 있습니다. (와일드 카드 사용 가능)

kubernetes.container_name : base*

 

아래는 쿠버네티스 컨테이너명이 base 로 해당하는 로그에 대해서만 보여주고 있습니다.

 

AND , OR  , 부등호 연산자를 사용해서도 검색이 가능합니다.

위에서 검색했던 결과에서 추가로 log가 error이고 시간대가 2023년 05월 03이상인 것만 조회 할 수 있습니다.

kubernetes.container_name : base* and log : error and @timestamp >= "2023-05-03"

 

---

참고 사이트

https://opensearch.org/docs/1.3/dashboards/discover/dql/

Using Dashboards Query Language