الخلاصةاجمع سجلات نظام المضيف (syslog وauth وkernel) وصوّرها بصريًا في ClickStack باستخدام مستقبِل OTel
filelog. يتضمن مجموعة بيانات تجريبية ولوحة معلومات مُعدّة مسبقًا.التكامل مع المضيفين الحاليين
syslog وauth وkernel وdaemon وسجلات التطبيقات).
إذا كنت ترغب في اختبار تكامل سجلات المضيف قبل تهيئة إعدادك الحالي، فيمكنك إجراء الاختبار باستخدام الإعداد المهيأ مسبقًا وبيانات العينة في قسم “مجموعة البيانات التجريبية”.
المتطلبات المسبقة
- مثيل ClickStack قيد التشغيل
- نظام يحتوي على ملفات syslog
- إمكانية تعديل ملفات تكوين ClickStack
تأكّد من وجود ملفات syslog
أولاً، تأكّد من أن نظامك يُنشئ ملفات syslog:- Ubuntu/Debian:
/var/log/syslog - RHEL/CentOS/Fedora:
/var/log/messages - macOS:
/var/log/system.log
إنشاء تهيئة مخصصة لـ OTel collector
يتيح لك ClickStack توسيع إعداد OpenTelemetry Collector الأساسي عن طريق ربط ملف إعداد مخصص وضبط متغير بيئة.أنشئ ملفًا باسمhost-logs-monitoring.yaml يتضمن إعدادات نظامك:- Linux الحديث (Ubuntu 24.04+)
- Linux القديم (Ubuntu 20.04, RHEL, CentOS)
- macOS
جميع الإعدادات:
- اقرأ ملفات syslog من مواقعها القياسية
- حلّل تنسيق syslog لاستخراج الحقول المنظَّمة (الطابع الزمني، اسم المضيف، الوحدة/الخدمة، PID، الرسالة)
- احتفِظ بالطوابع الزمنية الأصلية للسجلات
- أضِف السمة
source: host-logsلتسهيل التصفية في HyperDX - وجّه السجلات إلى مُصدِّر ClickHouse عبر pipeline مخصّص
- لا تُعرِّف في الإعداد المخصّص سوى
receiversوpipelinesالجديدة - إن
processors(memory_limiter,transform,batch) وexporters(clickhouse) معرّفة بالفعل في إعداد ClickStack الأساسي — ما عليك سوى الإشارة إليها بالاسم - يستخرج محلّل
regexأسماء وحدات systemd ومعرّفات PID وبيانات وصفية أخرى من تنسيق syslog - يستخدم هذا الإعداد
start_at: endلتجنّب إعادة إدخال السجلات عند إعادة تشغيلcollector. وللاختبار، غيّره إلىstart_at: beginningلعرض السجلات السابقة فورًا.
هيّئ ClickStack لتحميل إعدادات مخصصة
لتمكين إعدادات المجمّع المخصصة في نشر ClickStack الحالي لديك، يجب عليك:- ربط ملف الإعدادات المخصص في المسار
/etc/otelcol-contrib/custom.config.yaml - تعيين متغير البيئة
CUSTOM_OTELCOL_CONFIG_FILE=/etc/otelcol-contrib/custom.config.yaml - ربط دليل
syslogلديك لكي يتمكن المجمّع من قراءته
الخيار 1: Docker Compose
حدّث إعدادات نشر ClickStack لديك:الخيار 2: Docker Run (الصورة المتكاملة)
إذا كنت تستخدم الصورة المتكاملة مع docker run:تأكد من أن ClickStack collector لديه الصلاحيات المناسبة لقراءة ملفات syslog. في بيئة الإنتاج، استخدم عمليات ربط للقراءة فقط (
:ro) واتبع مبدأ أقل الصلاحيات.التحقّق من السجلات في HyperDX
بعد إتمام الإعداد، سجّل الدخول إلى HyperDX وتحقّق من أن السجلات تتدفّق:- انتقل إلى عرض البحث
- اضبط المصدر على Logs
- صفِّ باستخدام
source:host-logsلعرض السجلات الخاصة بالمضيف - ينبغي أن ترى إدخالات سجل منظَّمة تتضمن حقولًا مثل
unitوhostnameوpidوmessageوغيرها.
مجموعة بيانات تجريبية
تنزيل مجموعة البيانات النموذجية
نزّل ملف السجل النموذجي:- تسلسل إقلاع النظام
- نشاط تسجيل الدخول عبر SSH (محاولات ناجحة وفاشلة)
- حادثة أمنية (هجوم brute force مع استجابة fail2ban)
- صيانة مجدولة (مهام cron وanacron)
- عمليات إعادة تشغيل الخدمات (rsyslog)
- رسائل النواة ونشاط الجدار الناري
- مزيج من العمليات العادية والأحداث البارزة
شغّل ClickStack باستخدام التهيئة التجريبية
شغّل ClickStack باستخدام السجلات التجريبية وهذه التهيئة:يؤدي هذا إلى ربط ملف السجل مباشرةً داخل الحاوية. ويتم ذلك لأغراض الاختبار باستخدام بيانات تجريبية ثابتة.
تحقّق من السجلات في HyperDX
بعد تشغيل ClickStack:- افتح HyperDX وسجّل الدخول إلى حسابك (قد تحتاج إلى إنشاء حساب أولًا)
- انتقل إلى Search view واضبط المصدر على
Logs - اضبط النطاق الزمني على 2025-11-10 00:00:00 - 2025-11-13 00:00:00
عرض المنطقة الزمنيةيعرض HyperDX الطوابع الزمنية وفقًا للمنطقة الزمنية المحلية في متصفحك. تمتد البيانات التجريبية عبر 2025-11-11 00:00:00 - 2025-11-12 00:00:00 (UTC). يضمن النطاق الزمني الواسع ظهور السجلات التجريبية بغض النظر عن موقعك. وبعد ظهور السجلات، يمكنك تضييق النطاق إلى فترة 24 ساعة للحصول على تصورات أكثر وضوحًا.
لوحات المعلومات والتصورات
إعداد لوحة المعلومات
استورد لوحة المعلومات الجاهزة
- افتح HyperDX وانتقل إلى قسم لوحات المعلومات
- انقر على استيراد لوحة معلومات في الزاوية العلوية اليمنى ضمن قائمة النقاط الثلاث
- ارفع الملف
host-logs-dashboard.jsonوانقر على إتمام الاستيراد
اعرض لوحة المعلومات
ستُنشأ لوحة المعلومات مع تهيئة جميع التصورات مسبقًا:تشمل التصورات الرئيسية ما يلي:- حجم السجلات بمرور الوقت حسب مستوى الخطورة
- أكثر وحدات systemd توليدًا للسجلات
- نشاط تسجيل الدخول عبر SSH (الناجح مقابل الفاشل)
- نشاط جدار الحماية (المحظور مقابل المسموح)
- الأحداث الأمنية (عمليات تسجيل الدخول الفاشلة، والحظر، والحجب)
- نشاط إعادة تشغيل الخدمة
بالنسبة إلى مجموعة البيانات التجريبية، اضبط النطاق الزمني على 2025-11-11 00:00:00 - 2025-11-12 00:00:00 (UTC) (عدّله وفقًا لمنطقتك الزمنية المحلية). لن يكون للوحة المعلومات المستوردة نطاق زمني محدد افتراضيًا.
استكشاف الأخطاء وإصلاحها
تعذّر تحميل ملف الإعدادات المخصّص
عدم ظهور السجلات في HyperDX
عدم تحليل السجلات بصورة صحيحة
الخطوات التالية
- أعدّ التنبيهات لأحداث النظام الحرجة (تعطّل الخدمات، فشل المصادقة، تحذيرات القرص)
- رشّح حسب وحدات محددة لمراقبة خدمات بعينها
- اربط بين سجلات المضيف وسجلات التطبيق لاستكشاف الأخطاء وإصلاحها على نحو شامل
- أنشئ لوحات معلومات مخصصة لمراقبة الأمان (محاولات SSH، استخدام sudo، عمليات حظر جدار الحماية)