Thursday, December 21, 2006

Splunk: put the fun back into log analysis

Email bị thất lạc là một trong những vấn đề mà tôi thường gặp nhất trong công tác sysadmin của mình. Ví dụ như hôm trước, một khách hàng gọi điện phàn nàn sao mà cô ấy không nhận được email của một đối tác gửi từ ngoài vào. Cách duy nhất để giải quyết những vấn đề như thế này là xem thông tin log của hệ thống email bao gồm máy chủ chuyển phát email đến từng khách hàng cũng như máy chủ chống spam và virus.

Thế là tôi mở console lên, ssh vào máy chủ log, tìm thư mục của hệ thống email, grep một hồi thì tìm được nguyên nhân là email đã bị hệ thống chống spam chặn lại vì máy chủ email của bên đối tác không tuân thủ theo RFC. Mất toi gần 5', chưa kể thời gian để quay lại công việc đang bỏ dở. Có cách nào ít mất thời gi
an hơn không? Hay tốt hơn, có cách nào để đội ngũ helpdesk giải quyết vụ này thay tôi? Hay tốt nhất, có cách nào để tôi dễ dàng thấy được bức tranh toàn cảnh những gì đã và đang diễn ra trên hệ thống của mình? Có ngay Splunk.


Câu hỏi tiếp theo của bạn chắc hẳn là: Splunk là cái quái quỷ gì vậy?:
To put it simply, Splunk sucks up every type of log you care to feed it, indexes them, and then makes them easily searchable via a nifty AJAX-enabled web interface. The most common usage would be to aggrigate a centralize syslog server, but you can feed it all sorts of logs including Apache, Microsoft IIS, JBoss, Windows Event Logs, Sendmail/Postfix/Qmail, OpenLDAP, Active Directory, etc, etc, etc.

The real beauty of Splunk is that its the first real solution I've seen that makes centralized syslog seem like a good and interesting idea. All to often centralizing syslog just means that instead of having logs on 100 servers you've got 100 more junk to dig through on a single system. Syslog-NG can help divide and conquer, but you've still got a lot of stuff to dig through. With Splunk you search your logs as though you were searching with Yahoo! or Google. Enter "full" into the search box and all log messages with the words "full" show up.

Có thể nói Splunk chính là "Google for log files". Splunk có thể index bất kể loại log nào mà hệ thống của bạn sẽ tạo ra. Điều đó có nghĩa rằng bạn có thể sử dụng Splunk vào rất nhiều công tác khác nhau, từ theo dõi tình trạng của ứng dụng, quản lí máy chủ cho đến quản lí thiết bị mạng như router, firewall, IDS...Bạn sẽ thấy được từng chi tiết trong bức tranh toàn cảnh những sự kiện đã và đang xảy ra trên hệ thống của mình. Phân tích log lại trở thành một công việc hết sức thú vị.

Tôi sẽ viết về cách thức triển khai Splunk nếu có ai đó yêu cầu.

-Thái.

5 comments:

Anonymous said...

Mong anh Thái viết bài về cách thức triển khai Splunk, em rất có hứng thú với tool này vì em đang làm việc trong 1 cty về Hosting Provider nên việc phân tích log để fix các problem về mail server, host ... là chuyện rất hay thường xảy ra

Mong tin
Thanks

thaidn said...

Chào bạn,

Chơi Noel xong mình sẽ viết một bài về cách thức triển khai Splunk kết hợp với syslog-ng.

-Thái

changbietgi said...

Anh Thái đã có bài viết về triển khai Splunk với syslog-ng chưa ah ? Mọi người đang rất mong chờ !

..::Nhân::.. said...

Splunk phải mất tiền mua bản quyền, nếu mình dùng lâu dài thì có bất tiện không anh ?:D

Truong Pham Xuan said...

Bên em chuyên bán vé máy bay đi trung quốc và dịch vụ làm hộ chiếu nhanh
ai có nhu cầu vui lòng pm em nhé. sr đã spam