Splunk: put the fun back into log analysis
Email bị thất lạc là một trong những vấn đề mà tôi thường gặp nhất trong công tác sysadmin của mình. Ví dụ như hôm trước, một khách hàng gọi điện phàn nàn sao mà cô ấy không nhận được email của một đối tác gửi từ ngoài vào. Cách duy nhất để giải quyết những vấn đề như thế này là xem thông tin log của hệ thống email bao gồm máy chủ chuyển phát email đến từng khách hàng cũng như máy chủ chống spam và virus.
Thế là tôi mở console lên, ssh vào máy chủ log, tìm thư mục của hệ thống email, grep một hồi thì tìm được nguyên nhân là email đã bị hệ thống chống spam chặn lại vì máy chủ email của bên đối tác không tuân thủ theo RFC. Mất toi gần 5', chưa kể thời gian để quay lại công việc đang bỏ dở. Có cách nào ít mất thời gian hơn không? Hay tốt hơn, có cách nào để đội ngũ helpdesk giải quyết vụ này thay tôi? Hay tốt nhất, có cách nào để tôi dễ dàng thấy được bức tranh toàn cảnh những gì đã và đang diễn ra trên hệ thống của mình? Có ngay Splunk.
Câu hỏi tiếp theo của bạn chắc hẳn là: Splunk là cái quái quỷ gì vậy?:
Tôi sẽ viết về cách thức triển khai Splunk nếu có ai đó yêu cầu.
-Thái.
Thế là tôi mở console lên, ssh vào máy chủ log, tìm thư mục của hệ thống email, grep một hồi thì tìm được nguyên nhân là email đã bị hệ thống chống spam chặn lại vì máy chủ email của bên đối tác không tuân thủ theo RFC. Mất toi gần 5', chưa kể thời gian để quay lại công việc đang bỏ dở. Có cách nào ít mất thời gian hơn không? Hay tốt hơn, có cách nào để đội ngũ helpdesk giải quyết vụ này thay tôi? Hay tốt nhất, có cách nào để tôi dễ dàng thấy được bức tranh toàn cảnh những gì đã và đang diễn ra trên hệ thống của mình? Có ngay Splunk.
Câu hỏi tiếp theo của bạn chắc hẳn là: Splunk là cái quái quỷ gì vậy?:
To put it simply, Splunk sucks up every type of log you care to feed it, indexes them, and then makes them easily searchable via a nifty AJAX-enabled web interface. The most common usage would be to aggrigate a centralize syslog server, but you can feed it all sorts of logs including Apache, Microsoft IIS, JBoss, Windows Event Logs, Sendmail/Postfix/Qmail, OpenLDAP, Active Directory, etc, etc, etc.Có thể nói Splunk chính là "Google for log files". Splunk có thể index bất kể loại log nào mà hệ thống của bạn sẽ tạo ra. Điều đó có nghĩa rằng bạn có thể sử dụng Splunk vào rất nhiều công tác khác nhau, từ theo dõi tình trạng của ứng dụng, quản lí máy chủ cho đến quản lí thiết bị mạng như router, firewall, IDS...Bạn sẽ thấy được từng chi tiết trong bức tranh toàn cảnh những sự kiện đã và đang xảy ra trên hệ thống của mình. Phân tích log lại trở thành một công việc hết sức thú vị.The real beauty of Splunk is that its the first real solution I've seen that makes centralized syslog seem like a good and interesting idea. All to often centralizing syslog just means that instead of having logs on 100 servers you've got 100 more junk to dig through on a single system. Syslog-NG can help divide and conquer, but you've still got a lot of stuff to dig through. With Splunk you search your logs as though you were searching with Yahoo! or Google. Enter "full" into the search box and all log messages with the words "full" show up.
Tôi sẽ viết về cách thức triển khai Splunk nếu có ai đó yêu cầu.
-Thái.
Comments
Mong tin
Thanks
Chơi Noel xong mình sẽ viết một bài về cách thức triển khai Splunk kết hợp với syslog-ng.
-Thái
ai có nhu cầu vui lòng pm em nhé. sr đã spam
Thanks a