下载试用

博客

按需定制Apps与正则表达式的使用 >

Posted on 2011年03月23日

Splunk作为统一的IT数据搜索平台,可以对组织内部产生的IT数据进行全面收集,统一管理和搜索分析。这些IT数据来自不同来源,如网络设备,系统主机,应用程序等,存在有不同的分析需求;另外不同来源的数据,对不同的使用者需要设置不同的访问权限等级。作为敏捷IT的代表,splunk采用在统一的平台上定制应用组件的方式完美解决定制分析和数据访问访问权限的需求。这样的部署方式有两大好处:一方面,不同IT数据可以通过定制应用,根据具体的数据内容和管理需求进行数据搜索和分析,并采用最合适的视图和报表对分析结果进行展示;另一方面,可以将定制的应用和数据索引对不同的用户灵活赋予访问权限,实现IT数据的分级安全访问和数据关联分析之间的平衡。

Splunk的网站上针对不同IT数据的分析需求,已经推出了大量定制的应用,如windows、linux等系统日志分析,思科安全设备日志分析等;这些应用由全世界的Splunk用户开发、维护和使用,因此更新的速度很快。我们只要花少量时间在splunkbase中浏览一下,就能从中找到合适的应用。值得一提的是,这些应用都是可以免费下载使用的。 (更多…)

通过Splunk监控全球地震 >

Posted on 2011年03月16日

3月11日在日本附近海底发生了9.0级的地震,造成了无数平民百姓的死伤和财物的损失,甚至进一步核电站泄露事件也造成了进一步的困难。我们深深祝愿日本人民可以度过这一难关,在这种灾难面前人类实在是非常渺小。

我们可以做点什么吗?我们拥有Splunk。 (更多…)

5分钟实现从Oracle的日志到智能运维监控 >

Posted on 2011年03月15日

主机上有不少日志,其中一个是Oracle产生的错误日志,通常这些日志只在偶尔出现意外故障的时候才有用,用以故障诊断和定位问题。一个范例的日志如以下所示

Media Recovery Waiting for thread 2 sequence 10105 (in transit)
Thu Jul 29 14:33:31 2010
Recovery of Online Redo Log: Thread 2 Group 19 Seq 10105 Reading mem 0
Mem# 0: /dev/sample0/rlvol_sredo2_11_512
Mem# 1: /dev/sample1/rlvol_sredo2_12_512
Thu Jul 29 14:33:32 2010
Primary database is in MAXIMUM AVAILABILITY mode
Standby controlfile consistent with primary
RFS[5607]: Successfully opened standby log 12: ‘/dev/sample0/rlvol_sredo1_21_512’
Thu Jul 29 14:33:35 2010
Media Recovery Waiting for thread 1 sequence 12259 (in transit)
Thu Jul 29 14:33:35 2010
Recovery of Online Redo Log: Thread 1 Group 12 Seq 12259 Reading mem 0
Mem# 0: /dev/sample0/rlvol_sredo1_21_512
Mem# 1: /dev/sample1/rlvol_sredo1_22_512
Thu Jul 29 15:00:01 2010
Errors in file /u01/app/oracle/admin/dczh/udump/rfs_25189.trc:
ORA-00600: internal error code, arguments: [kca.11], [4], [368], [], [], [], [], []

(更多…)

Splunk使用lookup时提示找不到field >

Posted on 2011年02月25日

这是一个常见的问题,有可能是的确是你在lookup文件的第一行申明的field名字和你在lookup命令中使用的不一样。另外一种可能性就是有windows的BOM造成的——这在window上使用lookup查找中文时会遇到。

Splunk只能识别utf-8编码,而window上中文的utf-8编码的文件缺省有BOM头,所以对于第一行”in_field,out_field”来说,实际在编码看来成了”BOMin_field,out_field”,splunk这段代码没有智能判断是否需要去掉BOM,因此把“BOMin_field”看成是一个整体,因此无法查到。 (更多…)

Splunk的大小写问题 >

Posted on 2011年01月22日

  • search语句中的关键字可以分为以下几种:

必须大写:AND, OR, NOT

必须小写:avg, sum, count, earliest, replace, …

可以大写也可以小写:其它情况

  • search本身是大小写不敏感的
  • 3. field的值也是不大小写不敏感的

例如:搜索关键字”foo”时,或者搜索关键词组“foo bar”都是大小写不敏感的。 (更多…)

用 Splunk 监控应用程序日志 >

Posted on 2010年12月17日

应用程序日志是系统运维人员以及开发人员特别关注的,应用日志可以全面记录应用程序的执行过程、状态以及结果,这些信息是帮助运维人员解决故障,开发人员改进程序的最有效信息。

传统的日志管理工具往往对日志的格式有要求,很难快速适应非统一、规范的日志形式,但是应用程序日志往往都是这样的。而splunk超乎想象,除了可以处理交换机、防火墙、路由器以及操作系统的日志之外,应用程序日志处理起来也得心应手。

通常情况下,应用程序的日志信息存储在指定的目录下,采用任何文件共享的方式,比如挂载的或者网络共享的目录,只要Splunk服务器能够读取,它就能够远程采集这些日志信息。任何活动的应用程序,不管是J2EE、.Net应用程序、Web访问日志等等,只要有新的日志产生,Splunk会对其进行持续的索引。 (更多…)

Splunk销售与支持

  • 联系电话:400-067-1005
  • 电子邮件:contact@10data.com


沪ICP备11017547 沪公网安备 31011502002368号 ©版权所有 2005-2017 上海天旦网络科技发展有限公司(Netis)

GO TOP

返回