Heute gibt es mal einen Tip direkt aus der Praxis. Wer sich schon länger mit logstash beschäftigt, wird bemerkt haben, dass sich das Format der Konfigurationsdateien mit der Version 1.3 etwas verändert hat, wobei die alte Form nach wie vor gültig ist. Geändert hat sich vor allem der Weg, wie tags und types zum Festlegen der Filter und Outputs verwendet werden, die ein Event durchläuft.

Dass es durchaus seine Tücken haben kann, dass das alte Format weiterhin seine Gültigkeit hat, habe ich kürzlich in einer Schulung am eigenen Leib erfahren müssen. Das hat allerdings auch sein Gutes. Erstens wird mir das ganz sicher nicht mehr passieren und zweitens habe ich so ein Thema, über das ich bloggen kann.

Auch wenn neuere User sicherlich inzwischen das neue Format verwenden, so stösst man doch immer wieder online auf Beispiele im alten Format und wenn man die per copy&paste übernimmt, passieren ganz leicht Dinge, die man so nicht vorhergesagt hätte.
logstash 01 Get up and meet those pretty tags, tags, tags
Zum Vergleich erstmal, wie sich tags im alten Format verhalten. In input Blöcken bedeutet die Option tags, dass Tags zum Event hinzugefügt werden. In filter und output Blöcken, dass der Filter oder der Output nur auf Events angewendet wird, die dieses Tag bereits haben. Seit logstash 1.3 verwendet man stattdessen if Verzweigungen. Um tags in Filtern und Outputs hinzuzufügen, verwendet man übrigens add_tag

Mit Types verhält es sich ganz ähnlich, auch wenn man den nur im ersten logstash Input, den das Event durchläuft, setzen und nicht mehr verändern kann.
Also wird der erste noop Filter im folgenden Beispiel nur auf Events aus dem ersten Input angewendet, der zweite noop nur auf Events aus dem zweiten Input.

input {
  stdin {
    tags => stdin
    type => debuglog
  }
  tcp {
    port => 5514
    tags => tcp
    type => syslog
  }
}
filter {
  noop {
    tags => stdin
    add_tag => noop1
  }
  noop {
    type => syslog
    add_tag => noop2
}

Also merke: tags ist nicht gleich tags
In der neueren und aktuellen Form würde man das Beispiel von oben übrigens folgendermassen schreiben.

input {
  stdin {
    tags => stdin
    type => debuglog
  }
  tcp {
    port => 5514
    tags => tcp
    type => syslog
  }
}
filter {
  if ¨stdin¨ in [tags] {
    noop {
      add_tag => noop1
    }
  }
  if [type] == ¨syslog¨ {
    noop {
      add_tag => noop2
    }
  }
}

Das Beispiel soll möglichst deutlich zeigen, was das Verwirrende an dem Unterschied der beiden Schreibweisen ist und ist deshalb selbst bewusst nicht verwirrend gehalten.

Was dadurch regelmässig passiert ist, dass jemand die Option tags in einem Filter oder Output sieht und davon ausgeht, dass dadurch ein weiterer Tag gesetzt wird, nicht, dass dies eine Einschränkung auf gewisse Events darstellt. Will ich fälschlicherweise ein bisher nicht vorhandenes Tag mit tags in einem Filter setzen, wird dieser Filter natürlich nie angewandt, da ja nie ein Event mit diesem Tag kommen wird, da ich ihn ja erst setzen möchte. Für Neulinge ist das ein Stolperstein, bis diese Möglichkeit aus dem Format entfernt wird, aber auch Leuten, die intensiv mit logstash arbeiten, kann sowas als Flüchtigkeitsfehler passieren, wie ich mir eben vor kurzem selbst bewiesen habe.

76.thumbnail Get up and meet those pretty tags, tags, tags

Autor: Thomas Widhalm

Thomas war Systemadministrator an einer österreichischen Universität und da besonders für Linux und Unix zuständig. Seit 2013 möchte er aber lieber die große weite Welt sehen und hat sich deshalb dem Netways Consulting Team angeschlossen. Er möchte ausserdem möglichst weit verbreiten, wie und wie einfach man persönliche Kommunikation sicher verschlüsseln kann, damit nicht dauernd über fehlenden Datenschutz gejammert, sondern endlich was dagegen unternommen wird. Mittlerweile wird er zum logstash - Guy bei Netways und hält Schulungen und erstellt Schulungsunterlagen zu diesem faszinierenden Tool.

OSMC Logo Date 500 invers 300x126 More config magic   OSMC 2014   Tag 2

Die Abendveranstaltung im Terminal 90 war wieder mal ein voller Erfolg. Neben gutem Essen und Getränken gab es interessante Fachgespräche und Erfahrungsaustausch. Die Teilnehmer waren so heiß auf die Abendveranstaltung, dass wir sogar einen kleinen Ausfall der öffentlichen Verkehrsmittel zu verantworten hatten. Wir hätten wohl doch Hilfe aus Hong Kong benötigt um alle Teilnehmer schnell genug in die U-Bahn zu bekommen. Natürlich war auch dieses Jahr mit der Abendveranstaltung für viele noch nicht Schluss, sondern es ging noch weiter in die Late Lounge.

Trotz des späten Abends oder auch in manchen Fällen des frühen Morgens war der erste Vortrag “Using ElasticSearch, Logstash & Kibana in system administration” von Alexander Reelsen mehr als gut besucht. Es war wie immer eine Freude zu hören wie sehr ElasticSearch sich um einfache Benutzbarkeit bemüht. Und scheinbar können nicht nur unsere Konferenzteilnehmer inklusive mir nicht genug vom ELK-Stack bekommen, den auch die verschiedenen Case Studies waren beeindruckend. Bei uns klassisch genutzt für Logfilemanagement machen viele Inputs und Outputs plötzlich Sinn wenn man die entsprechende Case Study hört, beispielsweise lassen sich die Wikipedia-Updates in IRC mitverfolgen oder es gibt mit Sysdig ein interessantes Werkzeug zur Überwachung der eigenen IT-Systeme.

Pall Sigurdsson zeigte “Pynag & Friends: Configuration APIs for rest, python and shell”. Pynag ist hierbei eine Art Schweizer Armeemesser mit Funktionen von Konfigurationsparser bis Library zur Plugin-Entwicklung für Nagios und seine “jüngeren und hübscheren Schwestern” Naemon, Icinga und Shinken. Und wiedermal beweisen die Case Studies wie Adagios und Monitoring Iceland sowie die Use Cases wie das Ändern von Schwellwerten in einer unbekannten Konfigurationsstruktur die Mächtigkeit des Tools.

“MonitoringLove with Sensu” von Jochen Lillich gab einen tiefen Einblick in die Infrastruktur und Funktionsweise von Sensu. Ich kann die Liebe für Monitoring verstehen die Sensu erzeugt, auch wenn viele Ansätze wie eine Message-Queue völlig konträr zu den Ansätzen von Icinga sind. Werkzeuge wie eine CLI und ein Bot als interaktive Schnittstelle zur Kommunikation mit dem Monitoring sowie ein einfacher Scale Out und natürlich eine große aktive Community sind einfach schön. Aber so ganz hat mich Amor dann auch nicht mit seinem Pfeil getroffen und ich bleibe dann doch bei Icinga. icon wink More config magic   OSMC 2014   Tag 2

Nach den informativen Vorträgen des Vormittags hatten sich alle Teilnehmer sowohl eine Mittagspause (wie immer mit einem Übermaß an Delikatessen) als auch gegebenenfalls eine entspannende Massage verdient.

Nach der Mittagspause ging es frisch gestärkt Bernd Ahlers und Michael Friedrich weiter, die in ihrem gemeinsamen Vortrag zum Thema “Log Monitoring simplified – Get the best out of Graylog2 & Icinga 2″ gezeigt haben was herauskommt wenn sich die Entwickler zweier Open Source Projekte zusammentun. Ein Ergebnis davon sieht man bereits im GELF-Writer für Icinga 2. Weitere zukünftige Früchte haben die beiden auch angedeutet die alle sehr spannend klingen und eine sehr gute Integration der beiden Lösungen ergeben wird.

Als vorletztes gab uns Falk Stern einen sehr tiefen Einblick in das “Monitoring mit Graphite” bei Xing, was vor allem gute Hinweise zum Thema Scaling gab, da man bei 18000 Metriken in der Sekunde doch so einiges an Arbeit investieren muss. Zu guter Letzt warf Sebastian Damm in seinem Vortrag “Monitoring VOIP Systems” eine Blick auf die Kernsysteme von Sipgate und wie dort sogar Themen wie Probleme in der Sprachqualität anhand von Kenngrößen automatisiert erkannt werden.

Zusammengefasst lässt sich sagen es war wieder eine erfolgreiche Konferenz mit informativen Vorträgen und interessanten Unterhaltungen und ich freu mich schon aufs nächste Jahr vom 16. bis 18. November 2015!

64.thumbnail More config magic   OSMC 2014   Tag 2

Autor: Dirk Götz

Dirk ist Red Hat Spezialist und arbeitet bei NETWAYS im Bereich Consulting für Icinga, Nagios, Puppet und andere Systems Management Lösungen. Früher war er bei einem Träger der gesetzlichen Rentenversicherung als Senior Administrator beschäftigt und auch für die Ausbildung der Azubis verantwortlich.

OSMC Logo Date 500 invers 300x126 More config magic   OSMC 2014   Tag 1

Frisch und munter begann der Tag 1 wie immer mit Bernd und der Keynote. Wobei ich die Diskussion vom Vorabend sehr interessant fand, ob man bereits zur Keynote da sein muss, die auch ohne meine Einmischung zum Ergebnis kam: “Zur Keynote vielleicht nicht, aber wegen Bernd schon”. Die Teilnehmer wurden auf alles vorbereitet: den Twitter-Hashtag #OSMC, den Movember, die führerlose U-Bahn zur Abendveranstaltung, die Hardware-Verlosung unseres Sponsors Thomas Krenn, …

Der Vortrag “From monitoringsucks to monitoringlove, and back” von Kris Buytaert beschäftigte sich mit der Devops-Bewegung monitoringsucks, die aus Aussagen entstand die mir als Consultant nur zu bekannt sind. Beispielsweise die aufwendige Konfiguration, der Gewöhnungseffekt an offene Probleme, die fehlende End2End-Überwachung, … Und quasi die Gegenbewegung monitoringlove, die auf Automatisierung und Messwerte setzt und von Werkzeugen wie Sensu, Puppet, Collectd und Graphite unterstützt wird. Natürlich abgerundet durch Logmanagement mit beispielsweise Graylog2 und dem ELK-Stack. Neben vielen weiteren Tools machte auch seine Vortragsweise die Präsentation interessant und damit meine ich nicht nur die Aussage “It’s illegal in Germany to think about Nagios”.

Michael Medin präsentierte nicht nur seinen NSClient++ sondern der Vortrag “Why we do monitoring wrong” zeigt auf lustige Weise wo aktuelle Monitoring-Konzepte und -Technik oft kranken. Kernaussagen bzw. Fragen, die er aufgebracht haben wollte, waren: Statt der Überwachung von Werten wie der Festplattenauslastung ist es sinnvoller die Veränderung in diesen Werten zu überwachen, diese in einen Kontext zu setzen und dabei zu alarmieren wenn dies zu Auswirkungen führen kann. Ebenfalls sollten Werte in Korrelation gesetzt werden, beispielsweise ist eine hohe Auslastung der CPU nur kritisch wenn der eigentliche gewünschte Workload nicht der Grund dafür ist. Auch sollte hinterfragt werden was warum überwacht wird, die treibende Kraft sollte nicht sein, dass etwas technisch möglich ist sondern weil es etwas über Geschäftsprozesse aussagt.
Und es ging weiter mit zitierenswerten Aussagen: “It’s like the really old dinosaur that nobody knows how to kill (do note the Trademark)”.

Im Vortrag “Naemon 1, 2, 3, N” von Andreas Ericsson gab es für das Publikum erst mal einen Abriss zur IT-Geschichte aus der Andreas Rückschlüsse für die Naemon-Roadmap gezogen hat. Interessanterweise fand sich mit dem Check Result Transformer und seinen adaptiven Schwellwerten sogar eine Lösung für eine der von Michael Medin kurz zuvor aufgeworfenen Fragen. Mit aktiven Agenten dreht Naemon auch die gewohnte Richtung der Überwachung im Nagios-Umfeld bei Bedarf um, wobei hier das Rad nicht neu erfunden wird sondern wiedermal Collectd zum Einsatz kommen kann.
Diesmal leider keine zitierfähigen Sätze, da Andreas als Beispiel gewählt hat die Internet-Moral anhand der Rate Porn/No-Porn in Torrent-Netzwerken zu überwachen! icon wink More config magic   OSMC 2014   Tag 1

Mit dem Ende des dritten Vortrags war es dann Zeit für das übliche ausgiebige Mittagessen und interessante Gespräche in den verschiedenen Grüppchen.

Nach der Mittagspause ging es für mich weiter mit NeDi im Vortrag “Network Discovery Update” von Remo Rickli, wie den ganzen Tag war es eine harte Entscheidung zwischen beiden parallel laufenden Vorträgen. Wie viele im Publikum bin ich mehr der System- als der Netzwerkadministrator und Netzwerkkomponenten sind Boxen, für die andere Tools und Befehle benötigt werden. NeDi springt hier in die Presche mit einem spezialisierten Werkzeug um ein Netzwerk mit seinen Komponenten zu erkennen und zu Überwachen. Integration solcher Spezialwerkzeuge in ein übergeordnetes zentrales Monitoring ist für mich dann immer wichtig und auch hier kann NeDi mit einer Integration in Icinga und ähnliche Lösungen punkten. Besonders begeistert hat mich die graphische Aufbereitung, die selbst bei komplexen Netzwerken noch übersichtlich erscheint.

In der Präsentation “Time to say goodbye to your Nagios based setup?” erklärte Olivier Jan einem großen und gespannten Publikum mit welchen Werkzeugen aus der Open Source Community eine Monitoringumgebung bestehen kann nun da seiner Aussage nach der “godfather of open source monitoring” tot ist. Neben den “4 Musketieren” Naemon, Icinga 2, Shinken und Centreon stellte er viele weitere spezialisierte Lösungen vor, die sich in die Liste der monitoringlove von Kris Buytaert einreihten. Was den Vortrag hörenswert machte war, dass es nicht nur eine Vorstellung der Lösungen war, sondern schaffte auch ein Gesamtbild zu zeichnen.

Traditionsgemäß beschloss den ersten Tag der Vortrag “Current state of icinga” von Bernd. Interessant war den Community-Wachstum mal in Zahlen und Graphen präsentiert zu bekommen, der sich auch in den “Icinga Camps” niederschlägt. Wichtig für viele ist wohl auch das Icinga 1 weiterlebt, auch wenn es wohl keine neuen Majorfeatures mehr geben wird. Ein Großteil der Präsentation drehte sich somit um Icinga2, seine neue CLI, Konfigurations-MagieSyntax, den Agent und alles andere was mit dem Release 2.2 neu dazu kam. Es war schon soviel neues zum Core, dass der neue (morgige) Release Icinga Web 2 erst nach der eigentlichen Sprechzeit zum Thema wurde. Dieses stellt ein schönes leicht gewichtiges Framework für Module dar, von denen die ersten Monitoring (ja, Monitoring ist auch optional icon wink More config magic   OSMC 2014   Tag 1 ), Dokumentation und Übersetzung, Business Process Addon, PNP4Nagios und Graphite sein werden. Diese profitieren dann von Responsive Design, Filtern, Dashboarding, Export in verschiedene Formate, … Wer wissen möchte wohin die Reise weitergeht wirft am besten einen Blick auf die Roadmap von Icinga 2 und Icinga Web 2

Und zum Schluss des Tages die größte Herausforderung alle Teilnehmer und Kollegen in die U-Bahn treiben und auf zur Abendveranstaltung! Zu dieser und dem zweiten Tag dann morgen mehr an gleicher Stelle.

64.thumbnail More config magic   OSMC 2014   Tag 1

Autor: Dirk Götz

Dirk ist Red Hat Spezialist und arbeitet bei NETWAYS im Bereich Consulting für Icinga, Nagios, Puppet und andere Systems Management Lösungen. Früher war er bei einem Träger der gesetzlichen Rentenversicherung als Senior Administrator beschäftigt und auch für die Ausbildung der Azubis verantwortlich.

 

OSMC Logo Date 500 invers 300x126 More config magic   OSMC 2014   Tag 0Auch diesmal ist mir die Rolle des Liveberichterstatters für unsere Open Source Monitoring Conference in Nürnberg zu gefallen, also liebe Leser freut euch auf einen Blogpost jeden Tag mit dem aktuellen Konferenzgeschehen.

Ich möchte den Kollegen Widhalm zitieren mit “Ich fühl mich holzig”, nachdem ich heute sein Wissen im Logstash-Workshop versucht habe abzuziehen. Es ging den ganzen Tag um die verschiedenen Komponenten des ELK-Stack (Elasticsearch – Logstash – Kibana) sowie weitere hilfreiche Werkzeuge wie Redis. Einigen Teilnehmer mag bei den vielen neuen Begriffen wie Shipper, Central, Grok, Snare und Lumberjack der Kopf am Ende geraucht haben, aber am Ende war auch jeder von der Lösung begeistert. Besonders spannend war es wie einfach sich unsere Systeme zu einem Elasticsearch-Cluster zusammengefunden haben und auch nach einem kleinen Netzwerkausfall auch alle wiedergefunden haben. Auch die Mächtigkeit der Filter, die schiere Zahl der Inputs und Outputs und die Flexibilität des Webinterfaces haben begeistert. Dazu kamen die vom Kollegen gezeigten Szenarien in denen sich auch jede Frage beantwortet fand. Auch die Fragen zum Thema Sicherheit, welche wohl mit den nächsten Version und dem entsprechenden Plugin endlich zufriedenstellend zu beantworten ist.

Neben der guten Verpflegung waren die Pausen auch schön um sich mit den Teilnehmern der anderen Workshops zu unterhalten, so saßen in den Workshops zu Puppet vom Kollegen Waldmüller, Windows-Monitoring von Michael Medin und Icinga Web 2 vom Kollegen Gelf auch eine gute Mischung von Konferenzneulingen und alten Hasen.

Mit dem Abendessen in geselliger Runde und weiterem Erfahrungsaustausch (nicht nur zum Thema Monitoring) lasse ich den Tag 0 ausklingen. Morgen geht es dann richtig weiter mit der ersten Runde Vorträge.

64.thumbnail More config magic   OSMC 2014   Tag 0

Autor: Dirk Götz

Dirk ist Red Hat Spezialist und arbeitet bei NETWAYS im Bereich Consulting für Icinga, Nagios, Puppet und andere Systems Management Lösungen. Früher war er bei einem Träger der gesetzlichen Rentenversicherung als Senior Administrator beschäftigt und auch für die Ausbildung der Azubis verantwortlich.

Nur noch ein Mal nicht schlafen, dann ist endlich wieder OSMC! Fernando Hönig läutet die schönste Zeit des Konferenzjahres mit Distributed Monitoring and Cloud Scaling for Web Apps ein.

OSMC? Was soll das denn sein und wer sind die netten Menschen in diesen Videos?Die Open Source Monitoring Conference (kurz: OSMC) ist die internationale Plattform für alle an Open Source Monitoring Lösungen Interessierten, speziell Nagios und Icinga. Jedes Jahr gibt es hier die Möglichkeit sein Wissen über freie Monitoringsysteme zu erweitern und sich mit anderen Anwendern auszutauschen. Die Konferenz richtet sich besonders an IT-Verantwortliche aus den Bereichen System- und Netzwerkadministration, Entwicklung und IT-Management. Und die netten Menschen, die Ihr in unseren Videos zur OSMC seht, gehören dazu. 2014 wird die OSMC zum 9. Mal in Nürnberg stattfinden.

51.thumbnail OSMC 2014: Der Countdown läuft – nur noch 1 Tag

Autor: Eva Häusler

Eva ist bei NETWAYS für das Marketing zuständig. Gerüchten zufolge wurde sie vor etwa einem Jahrzehnt in einer Kiste Braunschweiger Honigkuchen von Niedersachsen nach Franken geschmuggelt und wird seitdem hier in Geiselhaft gehalten. Nach einem Germanistikstudium mit begleitenden Ausflügen in die Nürnberger Literaturszene, hat sie bei NETWAYS in der Eventabteilung angefangen. Inzwischen kommt ihre geballte Wortgewalt im Marketing nutzbringend zum Einsatz.

Page 1 of 5031234...10...>>