[Golang] winlogbeat二次開發

原創 愛夕 2020-07-05 01:12

入口函數
beats/winlogbeat/beater/winlogbeat.go

func New(b *beat.Beat, _ *common.Config) (beat.Beater, error) {
	// Read configuration.
	config := config.DefaultSettings
	err := b.BeatConfig.Unpack(&config)
	if err != nil {
		return nil, fmt.Errorf("Error reading configuration file. %v", err)
	}

	// resolve registry file path
	config.RegistryFile = paths.Resolve(paths.Data, config.RegistryFile)
	logp.Info("State will be read from and persisted to %s",
		config.RegistryFile)

	eb := &Winlogbeat{
		beat:   b,
		config: config,
		done:   make(chan struct{}),
	}

	if err := eb.init(b); err != nil {   //初始化配置文件 查看取的日誌名稱是否存在
		return nil, err
	}

	return eb, nil
}

beats/libbeat/cmd/run.go

func genRunCmd(settings instance.Settings, beatCreator beat.Creator) *cobra.Command {
	name := settings.Name
	runCmd := cobra.Command{
		Use:   "run",
		Short: "Run " + name,
		Run: func(cmd *cobra.Command, args []string) {
			err := instance.Run(settings, beatCreator)  // 下一個運行點調用run
			if err != nil {
				os.Exit(1)
			}
		},
	}

	// Run subcommand flags, only available to *beat run
	runCmd.Flags().AddGoFlag(flag.CommandLine.Lookup("N"))
	runCmd.Flags().AddGoFlag(flag.CommandLine.Lookup("httpprof"))
	runCmd.Flags().AddGoFlag(flag.CommandLine.Lookup("cpuprofile"))
	runCmd.Flags().AddGoFlag(flag.CommandLine.Lookup("memprofile"))

	if settings.RunFlags != nil {
		runCmd.Flags().AddFlagSet(settings.RunFlags)
	}

	return &runCmd
}

beats/libbeat/cmd/instance/beat.go

func Run(settings Settings, bt beat.Creator) error {
	err := setUmaskWithSettings(settings)
	if err != nil && err != errNotImplemented {
		return errw.Wrap(err, "could not set umask")
	}

	......

		return b.launch(settings, bt)  // 下一個點
	}())
}

beats/libbeat/cmd/instance/beat.go

func (b *Beat) launch(settings Settings, bt beat.Creator) error {
	defer logp.Sync()
	......
	return beater.Run(&b.Beat) // 運行入口點
}

beats/winlogbeat/beater/winlogbeat.go 根據採集的日誌類型會創建相應的協程。

// Run is used within the beats interface to execute the Winlogbeat workers.
func (eb *Winlogbeat) Run(b *beat.Beat) error {
	if err := eb.setup(b); err != nil {
		return err
	}

	acker := newEventACKer(eb.checkpoint)
	persistedState := eb.checkpoint.States()

	// Initialize metrics.
	initMetrics("total")

	// setup global event ACK handler
	err := eb.pipeline.SetACKHandler(beat.PipelineACKHandler{
		ACKEvents: acker.ACKEvents,
	})
	if err != nil {
		return err
	}

	var wg sync.WaitGroup
	for _, log := range eb.eventLogs {
		state, _ := persistedState[log.source.Name()]

		// Start a goroutine for each event log.
		wg.Add(1)
		go eb.processEventLog(&wg, log, state, acker)  // 主要採集函數
	}

	wg.Wait()
	defer eb.checkpoint.Shutdown()

	if eb.config.ShutdownTimeout > 0 {
		logp.Info("Shutdown will wait max %v for the remaining %v events to publish.",
			eb.config.ShutdownTimeout, acker.Active())
		ctx, cancel := context.WithTimeout(context.Background(), eb.config.ShutdownTimeout)
		defer cancel()
		acker.Wait(ctx)
	}

	return nil
}

beats/winlogbeat/beater/winlogbeat.go

func (eb *Winlogbeat) processEventLog(
	wg *sync.WaitGroup,
	logger *eventLogger,
	state checkpoint.EventLogState,
	acker *eventACKer,
) {
	defer wg.Done()
	logger.run(eb.done, eb.pipeline, state, acker)
}

連接獲取日誌並Publish
winlogbeat/beater/eventlogger.go

func (e *eventLogger) run(
	done <-chan struct{},
	pipeline beat.Pipeline,
	state checkpoint.EventLogState,
	acker *eventACKer,
) {
	api := e.source

	// Initialize per event log metrics.
	initMetrics(api.Name())

	client, err := e.connect(pipeline)
	if err != nil {
		logp.Warn("EventLog[%s] Pipeline error. Failed to connect to publisher pipeline",
			api.Name())
		return
	}

	// close client on function return or when `done` is triggered (unblock client)
	defer client.Close()
	go func() {
		<-done
		client.Close()
	}()

	err = api.Open(state)
	if err != nil {
		logp.Warn("EventLog[%s] Open() error. No events will be read from "+
			"this source. %v", api.Name(), err)
		return
	}
	defer func() {
		logp.Info("EventLog[%s] Stop processing.", api.Name())

		if err := api.Close(); err != nil {
			logp.Warn("EventLog[%s] Close() error. %v", api.Name(), err)
			return
		}
	}()

	debugf("EventLog[%s] opened successfully", api.Name())

	for stop := false; !stop; {
		select {
		case <-done:
			return
		default:
		}

		// Read from the event.
		records, err := api.Read()
		switch err {
		case nil:
		case io.EOF:
			// Graceful stop.
			stop = true
		default:
			logp.Warn("EventLog[%s] Read() error: %v", api.Name(), err)
			return
		}

		debugf("EventLog[%s] Read() returned %d records", api.Name(), len(records))
		if len(records) == 0 {
			time.Sleep(time.Second)
			continue
		}

		acker.Add(len(records))
		for _, lr := range records {
			client.Publish(lr.ToEvent())
		}
	}
}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Golang爬蟲代理接入的技術與實踐

引言 隨着互聯網的迅猛發展,數據已經成爲現代社會的重要資源之一。而網絡爬蟲作爲一種數據採集工具,扮演着至關重要的角色。在Golang語言的生態系統中,開發者們可以藉助其強大的併發特性和豐富的標準庫,輕鬆構建高效穩健的網絡爬蟲。然而,面對

原創 2024-04-26 23:26:42

golang 表格

go get github.com/xuri/excelize/v2   package main import ( "fmt" "github.com/xuri/excelize/v2"

原創 2024-04-24 12:41:26

流水線 YAML 高級用法來了!大幅降低重複代碼、靈活編排多任務

作者:木煙 在 YAML 化配置流水線時,你是否會遇到以下問題? 單流水線中批量執行類似任務場景時,YAML 中需要定義多個類似邏輯的 Job,Job 越多,流水線 YAML 配置的越長,YAML 中的重複代碼越多,代碼複用性低,可讀性差

原創 2024-05-16 21:13:44

通義千問 2.5 “客串” ChatGPT4,你分的清嗎?

作者:張添翼、董藝荃 引子 OpenAI 發佈了最新的 GPT-4o 模型,通義千問也在前不久剛發佈通義千問 2.5,已經和 GPT-4-Turbo 不分伯仲: 既然目前還沒有和 GPT-4o 文本生成能力的對比數據,就讓我們來和大模型一

原創 2024-05-16 21:13:41

`iris.context`獲取參數的具體代碼是什麼?

獲取URL路徑參數: go 複製 package main import ( "github.com/kataras/iris/v12" ) func main() {

原創 2024-05-16 01:55:00

OSS_PIPE:Rust編寫的大規模文件遷移工具

‍ 隨着業務的發展,文件數量和文件大小會急劇增加,文件遷移的數量和難度不斷攀升。oss_pipe 是rust編寫的文件遷移工具,旨在支撐大規模的文件遷移場景。 編寫 oss_pipe 的初衷 •同類產品面臨的問題 •rust 語

京東雲開發者 2024-05-15 23:59:27

使用NPS自建內網穿透服務器教程,帶WEB管理

自帶WEB管理的輕量級內網穿透工具NPS的各種搭建方式和使用教程,支持X86、ARM、MIPS平臺。 NPS介紹 nps是一款輕量級、高性能、功能強大的內網穿透代理服務器。目前支持TCP、UDP流量轉發,可支持任何tcp、udp上層協議(訪

Darren_Leo 2024-05-13 02:05:53

go := 運算符

1、常量不能用:=語法聲明 2、:=結構不能在函數外使用

原創 2024-05-12 21:22:42

雲效 Pipeline as Code 來了!這些場景,用好它效率翻倍!

從可視化編排到支持 YAML 編排 雲效流水線 Flow 是開箱即用的企業級持續集成和持續交付工具,支持豐富的代碼源、構建、自動化測試工具、多種部署類型和部署方式,與阿里雲深度集成,還提供多種企業級特性,助力企業高效完成從開發到上線 CIC

原創 2024-05-11 21:15:05

通義靈碼企業版正式發佈,滿足企業私域知識檢索、數據合規、統一管理等需求

5 月 9 日阿里雲 AI 峯會,阿里雲智能集團首席技術官周靖人宣佈,通義靈碼企業版正式發佈,滿足企業用戶的定製化需求,幫助企業提升研發效率。 通義靈碼是國內用戶規模第一的智能編碼助手,基於 SOTA 水準的通義千問代碼模型 Code-Qw

原創 2024-05-11 21:15:01

git 將其中一個文件恢復到之前的版本

要將Git中的一個文件恢復到之前的版本,你可以使用git checkout命令結合特定的提交哈希值(commit hash)或引用(如HEAD~1)來檢出該文件的特定版本。 以下是如何操作的步驟: 查看文件的歷史: 首先,你可以使用gi

原創 2024-05-08 12:43:22

「Java開發指南」如何用MyEclipse搭建GWT 2.1和Spring?(一)

本教程將指導您如何生成一個可運行的Google Web Toolkit (GWT) 2.1和Spring應用程序,該應用程序爲域模型實現了CRUD應用程序模式。在本教程中,您將學習如何: 安裝Google Eclipse插件 爲GWT配置

原創 2024-05-08 11:36:35

我們團隊來了一位新同事,主動要求幫忙敲代碼!歡迎 AI 001號

通義靈碼|7X24的AI智能編程助手 工號:AI001 他叫通義靈碼,一個硅基生命。出生在0101星球,沒有性別,但有人格類型。 他是INTJ,建築師型人格,艾薩克·牛頓和甘道夫同款。 他會寫一點代碼,但不如我們會得多。我看了下他的簡歷,

原創 2024-05-07 21:12:06

雲原生週刊:Terraform 1.8 發佈 | 2024.5.6

開源項目推薦 xlskubectl 用於控制 Kubernetes 集羣的電子表格。xlskubectl 將 Google Spreadsheet 與 Kubernetes 集成。你可以通過用於跟蹤費用的同一電子表格來管理集羣。 git-

原創 2024-05-06 22:46:37

三十分鐘入門基礎Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43