Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Perl-Snapshot 09/2013<br />
Programmieren<br />
www.linux-magazin.de<br />
103<br />
Abbildung 1: Mit einem Suchkommando präsentiert Splunk die verzeichneten<br />
Fehler aus allen dynamisch importierten Logdateien.<br />
Abbildung 2: Die Zeilen im Accesslog eines Webservers nimmt Splunk an ihren<br />
Feldgrenzen auseinander.<br />
denn aus einer Datei kommt), und »host«<br />
den Server, der das Event erzeugt, also<br />
den Logeintrag angelegt hat.<br />
Bei mehr als 500 MByte nur<br />
gegen Dollar<br />
In der kostenlosen Version verdaut der<br />
Splunk-Indexer bis zu 500 MByte Rohdaten<br />
pro Tag; wer mehr einfüttert, verstößt<br />
gegen die Lizenzbedingungen, und das<br />
funktioniert höchstens drei Tage im Monat.<br />
Wer’s dennoch riskiert, dem dreht<br />
Splunk die Suchfunktion ab und zwingt<br />
ihn so zum Erwerb einer Enterprise-<br />
Version. Deren Preis ist beachtlich hoch,<br />
insbesondere große Datenmengen reißen<br />
auch große Löcher ins Budget. Im Silicon<br />
Valley ist zu hören, dass Splunk trotzdem<br />
viele Großfirmen als Kunden habe, da der<br />
Nutzen, Nadeln in einem absurd großen<br />
Heuhaufen effizient zu finden, für sie<br />
sehr wertvoll sei.<br />
Stetig verfeinert<br />
Für diesen Snapshot habe ich Splunk zu<br />
Hause auf meinem Ubuntu-Rechner installiert.<br />
Abbildung 1 zeigt, wie ich die<br />
Log daten von »/var/log« und per »rsync«<br />
kopierte Apache-Accesslogs mei nes Hostingproviders<br />
durchsuche. Ohne jeden<br />
Protest verspeist Splunk bei mir auch<br />
rotierte und gezipte Logs.<br />
Als erste Suchabfrage gebe ich »fail* OR<br />
error« ein. Die Volltextsuche springt auf<br />
Meldungen an, die den Begriff »error«<br />
enthalten. (Splunk unterscheidet bei<br />
den Suchstrings Groß- und Kleinschreibung<br />
nicht, erwartet Schlüsselwörter wie<br />
»OR« aber versal.) Der reguläre Ausdruck<br />
»fail*« passt auf alle Begriffe, die mit<br />
„fail“ beginnen, also auch „failed“. Ohne<br />
Schlüsselwörter verbindet Splunk die<br />
Strings mit einem logischen Und, »foo<br />
bar« findet also Logeinträge, die sowohl<br />
„foo“ also auch „bar“ enthalten.<br />
Die Treffer in Abbildung 1 kommen aus<br />
dem Zeitrahmen, der rechts oben mit<br />
»last 7 days« eingestellt ist, sie stammen<br />
allesamt aus dem extrem geschwätzigen<br />
Nagios-Debuglog »nagios.debug«. Um sie<br />
auszufiltern, definiert der Dialog in Abbildung<br />
4 den Eventtyp »nagios‐chatter«<br />
mit der Suchfunktion »source=.../nagios.<br />
debug« (zu sehen im verdunkelten Hintergrund).<br />
Dann verbindet Splunk intern<br />
Abbildung 3: Der einigermaßen intuitiv gestaltete Dialog »Add new« fügt hier<br />
alle Logdateien unter »/var/log« zum Splunk-Index hinzu.<br />
Abbildung 4: Alle Zeilen aus der Logdatei »nagios.debug« (nachzulesen im abgedunkelten<br />
Bereich) bekommen den Eventtyp »nagios‐chatter« zugeordnet.
Change language