This entry is part 4 of 11 in the series logstash

Die erste logstash Schulung bei Netways ist durch. Das Feedback war durchweg positiv aber auch konstruktiv. Auch wenn für den (Teilzeit) Franken ein “Passt scho'” als die positivste Gefühlsregung gilt, zu der er fähig ist und damit ausreichend wäre, so ist es für einen Trainer doch immer viel hilfreicher, wenn auch Verbesserungsvorschläge unter den Rückmeldungen sind.logstash_01

Für’s nächste Mal gibt es deshalb mehr vorgefertigte Übungsbeispiele, um die Zeit möglichst produktiv zu nutzen, falls die nächsten Teilnehmer wieder so gut sind, aber noch keine eigenen Logs haben sollten, die sie von logstash zerlegen lassen wollen.

Auch als Trainer lernt man nie aus, vor allem, wenn es so seltsame Effekte gibt wie den folgenden: Eine Logdatei voller Beispieldaten wird schön von grok und date Filtern abgearbeitet. Sobald aber Events aus dem letzten Oktober kommen, schreibt logstash Fehler und bearbeitet diese Events nicht. Auch ein Ändern der Beispieldaten bringt keine Erleuchtung. Immer, wenn das Log mit “Oct” beginnt, bricht der date Filter die Verarbeitung ab. Tauscht man es gegen “Okt” aus, streikt der grok. Suche in den offenen Issues von logstash bringt vorerst nichts, Anfrage im IRC Channel auch nicht. Des Rätsels Lösung war dann die “locale” des Systems. grok erwartet sich für Syslog Nachrichten die englische Schreibweise, aber der date Filter will das Datum in einem Datumsformat, das zu den Spracheinstellungen des Systems passt. Die locale Einstellung des date Filters löst dieses Problem.

Aber nicht nur knackige Probleme gilt es in der Schulung zu lösen. Auch den oft beschworenen “Boah, ey!” Effekt gibt es dort zu erleben. So waren alle Teilnehmer inkl. Trainer verblüfft, dass sich die Elasticsearch Instanzen auf den Schulungsnotebooks dank der hervorragenden Default Einstellungen gleich zu einem Cluster verbinden. An sich ist das zu erwarten, aber wenn man die Schulung an einem einzelnen Notebook vorbereitet, auf dem heftig virtualisiert wird und die multicast cluster node discovery nicht ganz so reibungslos funktioniert, rechnet man ehrlich gesagt nicht damit, dass sich die Notebooks im Schulungslan so problemlos zu einem Elasticsearch Cluster zusammenfinden.

Auf jeden Fall hat mir die Schulung viel Spass gemacht und ich hoffe, den Teilnehmern erging es ebenso. Das Feedback und einige neue Erkenntnisse werden sicher in die kommenden Schulungen einfliessen. Nur für den Fall, dass jemand noch mehr Motivation braucht, sich dieses wunderbare Tool näher bringen zu lassen und zu erfahren, was es mit date und grok auf sich hat.

Wann die nächste Schulung stattfindet und wie man sich dafür anmelden kann, erfährt man auf der Seite zu unseren logstash Schulungen.

Thomas Widhalm

Autor: Thomas Widhalm

Thomas war Systemadministrator an einer österreichischen Universität und da besonders für Linux und Unix zuständig. Seit 2013 möchte er aber lieber die große weite Welt sehen und hat sich deshalb dem Netways Consulting Team angeschlossen.
Er möchte ausserdem möglichst weit verbreiten, wie und wie einfach man persönliche Kommunikation sicher verschlüsseln kann, damit nicht dauernd über fehlenden Datenschutz gejammert, sondern endlich was dagegen unternommen wird.
Mittlerweile wird er zum logstash – Guy bei Netways und hält Schulungen und erstellt Schulungsunterlagen zu diesem faszinierenden Tool.
Seit 2017 stellt er sich neuen Herausforderungen als Lead Support Engineer und versucht sein Wissen aus den vorgenannten Tätigkeiten im Produktsupport umzusetzen.