Только что загрузил пробную версию Splunk и подумываю использовать ее для мониторинга базы сервера Windows и связанных приложений, например:
o Журналы событий Windows / запросы WMI (для Windows O / S, SQL Server, Exchange и т. д.)
o Журналы Apache / Jboss / Tomcat
o Журналы Oracle listener / db / etc
o Самостоятельные файлы журналов
Какие-нибудь короткие, но приятные советы или подводные камни?
Я начал с загрузки данных за день для одного из наших приложений и потратил несколько недель, просто задавая вопросы о данных, на которые я хотел получить ответы: сколько транзакций в секунду у конкретного клиента, насколько загружены самые загруженные времена для разных транзакций типов, как мне искать в журналах нарушения SLA и тому подобное.
Немного удивительно, насколько легко искать во многих вещах, и чем больше я искал, тем больше у меня возникало идей для новых поисков. Вскоре вы получите целый каталог сохраненных поисковых запросов.
Проблема, с которой я столкнулся вначале, - это убедиться, что время и данные имени хоста верны во время индекса. Некоторые из наших настраиваемых журналов не имеют меток времени в удобном формате, и для их правильной индексации потребовалось несколько итераций. Обязательно сначала проиндексируйте несколько небольших выборок, чтобы убедиться, что все выглядит правильно, прежде чем индексировать большую коллекцию журналов.
Но да, просто представьте себе вопросы, на которые вы хотите получить ответы о своих данных.
Как только он вам понадобится ... тогда вы должны заплатить за это: P
Это то, что меня достало ...
Однако это действительно хорошее приложение / инструмент ..
В целом, вы, вероятно, будете удивлены, сколько вы будете регистрировать (я был) ...
Splunk великолепен. НЕОБХОДИМО знать все расценки перед тем, как начать. Это действительно дорого.