刚刚下载了 Splunk 试用版,正在考虑使用它来监控 Windows 服务器群以及相关应用程序,例如:
o Windows 事件日志/WMI 查询(适用于 Windows O/S、SQL Server、Exchange 等)
o Apache/Jboss/Tomcat 日志
o Oracle 监听器/db/等日志
o 自行生成的日志文件
有什么简短但实用的建议或陷阱吗?
答案1
一旦你需要它..那么你就必须为它付费:P
这就是我所期望的..
但它确实是一个好的应用程序/工具。
总的来说,您可能会对自己记录的内容数量感到惊讶(我就是这样的)...
答案2
我首先为我们的某个应用程序加载了一天的数据,然后花了几周时间才提出我想要回答的数据问题:特定客户每秒有多少笔交易,不同交易类型的最繁忙时间是多少,我如何在日志中搜索 SLA 违规行为,诸如此类。
很多东西搜索起来都很简单,这有点令人惊讶,而且我搜索得越多,就有了更多新搜索的想法。不久之后,您就会获得大量已保存的搜索目录。
一开始困扰我的问题是确保索引时的时间和主机名数据正确。我们的一些自定义日志没有以友好格式加盖时间戳,需要多次迭代才能正确索引。在索引大量日志之前,请务必先索引一些小样本,以确保一切看起来都正确。
但是,是的,想象一下您想要回答的有关数据的问题。
答案3
Splunk 很棒。在使用它之前一定要了解所有价格。它真的很贵。