在我们的应用程序中,我们将关键信息记录到日志文本文件中,以用于以后的调试目的。如果我已经有一些数据点,例如订单号或“找不到对象引用”类型的错误,使用splunk可以轻松识别问题。但是,对于使用splunk来了解问题的整体情况,这具有挑战性。为了能够确定软件中的实际问题,我必须通读可能多个日志文件或整个日志文件,以查看问题发生之前应用程序正在做什么。以人工方式读取整个日志文件有助于我在实际问题发生之前确定应用程序与其他数据点的行为。换句话说,我很难看到splunk错误的“真正根本原因”。您在软件开发 Realm 的经验是什么?
最佳答案
消除人的方面非常困难。话虽这么说,但我最近不得不领导splunk部署的开发方面,并且有一些出色的工具至少可以满足您的某些需求。使用splunk的内置警报是执行某些操作的最简单方法。不幸的是,在splunkbase或其他地方,缺少许多与splunk相关的事情的实际实用答案和示例(我是说,严重的是,请不要对每个webservice或rest api的示例都使用带有不安全标志的curl)。互联网。
无论哪种方式,我发现用于查找特定类型的日志或日志数据的一些最优雅的解决方案都是在搜索中大量使用管道“rex”命令。它将指定Perl正则表达式来帮助您从正确的字段中提取正确的信息。 splunk网站上的Here's the new-ish page on it。
当然,这是假设您知道哪些字段包含要查找的数据。不幸的是,如果索引器上的设置不正确,则这可能是Windows日志的问题。
关于logging - 使用splunk面临的挑战,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3936904/