1 votes

Mikhail T. avatar

Comment traiter les core-dumps avec Splunk ?

Demandé el 29 de Janvier, 2018
Quand la question a-t-elle été
821 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Nous gérons une application qui, de temps en temps, plante et abandonne le noyau. Nous avons un script, qui sort la pile de l'application à partir du noyau -- et quelques autres détails utiles pour le débogage.

Splunk peut-il être configuré pour invoquer un script à la rencontre d'un core-dump frais dans un répertoire -- et stocker la sortie du script sur le serveur centralisé ?

Je sais, nous pouvons le faire nous-mêmes - invoquer le script, stocker sa sortie dans le journal, et faire surveiller ce journal par Splunk. Mais il serait plus pratique (pour des raisons non techniques) dans notre situation, que Splunk fasse la surveillance tout seul...

Demandé el 29 de Janvier, 2018 par Mikhail T.

0 votes

Avatar de Chopper3

Splunk peut surveiller un répertoire à la recherche de nouveaux fichiers et les enregistrer, ou bien saisir les nouvelles données ajoutées à des fichiers existants - c'est ce que vous voulez dire ?

Commenté el 29 de Janvier, 2018 par Chopper3

0 votes

Avatar de Mikhail T.

Mais peut-il exécuter un script personnalisé -- et saisir sa sortie -- au lieu de de l'ensemble du fichier de base ? Afin de n'enregistrer que la pile de l'application au moment du crash, au lieu de l'ensemble du core-dump ?

Commenté el 29 de Janvier, 2018 par Mikhail T.

0 votes

Avatar de hmallett

Un cas d'utilisation intéressant - je n'y avais jamais pensé auparavant.

Commenté el 1 de Février, 2018 par hmallett

Réponse

Trop de publicités?

1voto

hmallett avatar
hmallett Points 2375

Splunk peut le faire. Ce que vous recherchez, c'est une entrée scriptée.

Splunk dispose d'une documentation à ce sujet à l'adresse suivante http://docs.splunk.com/Documentation/Splunk/7.0.2/AdvancedDev/ScriptedInputsIntro

Plutôt que d'attendre un core dump, je pense qu'il serait plus efficace de faire exécuter le script périodiquement, de traiter tous les core dumps, puis de les déplacer dans un autre répertoire (ou de les supprimer) afin que les mêmes core dumps ne soient pas traités de manière répétée.

Répondu el 1 de Février, 2018 par hmallett (2375 Points )

0 votes

Avatar de Mikhail T.

Merci pour l'indication. Avec les "entrées scriptées", ce n'est pas vraiment Splunk qui le fait, cependant - mon propre script/daemon traiterait les core-dumps et sortirait le texte dans un fichier, que Splunk regarderait ensuite... Je savais que c'était une option, mais j'aurais préféré que Splunk exécute le script lorsqu'il rencontre un nouveau core-dump à la place -- en raison de la façon dont les rôles de gestion des applications et de gestion des systèmes d'exploitation sont répartis dans notre organisation :-( Et, ciel, pas de script "périodique" -- un core-dump est déjà un "core-dump". événement et peut déclencher une action immédiatement, sans avoir besoin d'attendre...

Commenté el 2 de Février, 2018 par Mikhail T.

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X