Splunk for Sitecore Logs

Was ist Splunk?

Splunk ist ein Log-, Monitoring- und Reporting-Tool. Es kann verschiedenste Textdateien, wie Log-Dateien oder andere Daten von Applikationen oder Servern, einlesen und in einem durchsuchbaren Speicher ablegen. Splunk bietet ein komfortables Web-Interface, mit dem die indexierten Daten durchsucht werden können sowie Warnmeldungen und grafisch ansprechende Diagramme generiert werden können.

Sitecore Log Source Type

Splunk liest die einzelnen Files nach einem vordefinierten Muster ein und versucht so, die einzelnen Events zu erkennen. Diese Muster werden Source Types genannt und sind essentiell wichtig, damit die Analyse von Log-Files überhaupt funktionieren kann. Leider existiert für Sitecore bzw. log4net kein Source Type. So haben wir selber einen solchen erstellt und können nun die Sitecore Logs sauber indexieren. In der Datei etc/system/local/props.conf des Splunk-Programm-Verzeichnisses muss dazu folgender Eintrag gemacht werden:

[Sitecore Log]
BREAK_ONLY_BEFORE = \S+\s\d{2}:\d{2}:\d{2}
NO_BINARY_CHECK = 1
SHOULD_LINEMERGE = true
pulldown_type = 1

Sobald die Konfigurationsdatei angepasst und Splunk neu gestartet wurde, kann beim Hinzufügen von neuen Datenquellen der Source Type „Sitecore Log“ ausgewählt werden:

Splunk ist ein nützliches Tool, um viele Log-Files komfortabel zu durchsuchen und zu analysieren. Die zusätzlichen Funktionen wie beispielweise das automatische Alarmieren bei gewissen Events, machen den Einsatz in einer Produktivumgebung mit grossem Datenvolumen interessant. Zu erwähnen ist ausserdem Splunk Storm, welches die cloud-basierte Version von Splunk darstellt.

Ein Gedanke zu “Splunk for Sitecore Logs

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>