Linux-Magazin Clean Linux (Vorschau)

Programmieren
www.linux-magazin.de Perl-Snapshot 09/2013
106
Splunk-SDK Client-Libraries für Python,
Java, Javascript, PHP, Ruby und C# beiliegen,
fehlt ihm ein Perl-Kit. Auf dem
CPAN lagert zwar ein Modul, es arbeitet
jedoch nicht mit der Splunk-Version 5 zusammen.
REST-Abfragen sind zum Glück
einfach zu programmieren, deshalb setzt
Listing 1 auf dieser Schicht auf.
Suchen mit Fernbedienung
Die »post()«-Methode in Zeile 41 setzt
eine Suche beim Splunk-Server ab. Im
Gegensatz zum Web-GUI leitet »search«
hier das Kommando an den Server ein.
Neben dem schon erläuterten Filter »NOT
eventtype=chatter« definiert es die Einschränkung
»earliest=‐24h«, fragt also
nur nach Events der letzten 24 Stunden.
Das Ergebnis möge Splunk dem Parameter
»output_mode« gemäß im Json-
Format liefern. Wer ellenlange E-Mails
vermeiden will, sollte die Zahl der Treffer
mit »limit=« auf 50 begrenzen.
Die Funktion »from_json()« aus dem
CPAN-Modul JSON wandelt in Zeile 58
die Ergebnisse zeilenweise in Perl-Datenstrukturen
um. Für die auszusendende
Mail sind drei Felder zentral: Der Zeitstempel
des Logeintrags mit dem Schlüssel
»_time«, die Logdatei unter »source«
und die ursprüngliche Logzeile in »_raw«.
Das CPAN-Modul Net::SMTP schickt die
Mail mit dem Suchergebnis an den unter
»$to_email« eingetragenen Empfänger.
Den SMTP-Server »$smtp_server« hat
Zeile 20 vorher gesetzt.
Für Dinosaurier und Hipster
Aufwändige HTML-Nachrichten verärgern
alte Zausel wie mich, die einen
Abbildung 7: Textbasierte Formatierung für einen ehrwürdigen Mailer wie Alpine.
textbasierten E-Mail-Reader wie Pine verwenden.
Umgekehrt ist für jung-dynamische
Outlook- und Thunderbird-Klicker
eine Plaintext-E-Mail alte Schule.
Um zwischen beiden Welten zu vermitteln,
formatiert Listing 1 das tabellenartige
Ergebnis der Suchanfrage mit Hilfe
des CPAN-Moduls Text::ASCIITable als
Ascii-Text. Damit die Zeitstempel-Spalte
nicht ausufert, sondern umbrochen wird,
begrenzt Zeile 53 ihre Breite auf maximal
zehn Zeichen. Ähnliches gilt für die
Spalte mit dem gefundenen Logeintrag,
die bei einer Zeilenlänge von 34 umbricht,
damit die Nachrichten auf Mobiltelefonen
gut lesbar bleiben.
Moderne Mailmänner und ‐frauen bevorzugen
dagegen HTML, und um sie zu befriedigen,
ruft Zeile 68 das CPAN-Modul
Email::MIME zu Hilfe. Es verpackt den
vorhandenen Ascii-Text als Inline-HTML,
umrankt von einfachen »pre«-Tags. So
sieht das Ergebnis sowohl unter Pine
(Abbildung 7) als auch mit Gmail (Abbildung
8) passabel aus.
Das Skript lässt sich leicht um einige Vergleiche
erweitern, die gefundene Werte
mit dem eingestellten Limit vergleichen
und nur dann eine Mail senden, wenn
der Grenzwert überschritten ist. Das
kann einmal pro Tag als Zusammenfassung
passieren oder im Fünf-Minuten-
Takt für zügige Alarm-E-Mails.
Zu Splunk gibt es einige Open-Source-
Alternativen wie Logstash ([7], [8]) und
Graylog [9], die jedoch in puncto Bedienfreundlichkeit
und Skalierbarkeit bislang
nicht an Splunk heranreichen. (jk) n
Infos
[1] Listings zu diesem Artikel:
[ftp:// www. linux‐magazin. de/ pub/ listings/​
magazin/ 2013/ 09/ Perl]
[2] Splunk: [http:// www. splunk. com]
[3] Konstantin Agouros, „Nicht suchen, finden!“:
Linux-Magazin 03/​13, S. 60
[4] Hadoop: [http:// hadoop. apache. org]
[5] A. Schätzle, Thomas Hornung, M. Przyjaciel-Zablocki,
„Große Datenmengen mit
Map Reduce und Hadoop verwalten“:
Linux-Magazin 04/​12, S. 38
[6] „Splunk: Intro REST API Tutorial“:
[http:// dev. splunk. com/ view/ SP‐CAAADQT]
[7] Logstash: [http:// logstash. net]
[8] Martin Loschwitz, „Alle Systeme im Blick“:
Linux-Magazin 05/​13, S. 68
[9] Graylog2: [http:// graylog2. org]
Abbildung 8: HTML-Formatierung für moderne Mail-Leser, hier dargestellt in Gmail.
Der Autor
Michael Schilli arbeitet
als Software-Engineer bei
Yahoo in Sunnyvale, Kalifornien.
In seiner seit 1997
laufenden Kolumne forscht
er jeden Monat nach praktischen
Anwendungen der Skriptsprache Perl.
Unter [mschilli@perlmeister. com] beantwortet
er gerne Fragen.