Seite wählen

logstash – Die erste Schulung ist durch.

von | Feb 6, 2014 | Trainings, Elastic Stack

Die erste logstash Schulung bei Netways ist durch. Das Feedback war durchweg positiv aber auch konstruktiv. Auch wenn für den (Teilzeit) Franken ein „Passt scho'“ als die positivste Gefühlsregung gilt, zu der er fähig ist und damit ausreichend wäre, so ist es für einen Trainer doch immer viel hilfreicher, wenn auch Verbesserungsvorschläge unter den Rückmeldungen sind.logstash_01
Für’s nächste Mal gibt es deshalb mehr vorgefertigte Übungsbeispiele, um die Zeit möglichst produktiv zu nutzen, falls die nächsten Teilnehmer wieder so gut sind, aber noch keine eigenen Logs haben sollten, die sie von logstash zerlegen lassen wollen.
Auch als Trainer lernt man nie aus, vor allem, wenn es so seltsame Effekte gibt wie den folgenden: Eine Logdatei voller Beispieldaten wird schön von grok und date Filtern abgearbeitet. Sobald aber Events aus dem letzten Oktober kommen, schreibt logstash Fehler und bearbeitet diese Events nicht. Auch ein Ändern der Beispieldaten bringt keine Erleuchtung. Immer, wenn das Log mit „Oct“ beginnt, bricht der date Filter die Verarbeitung ab. Tauscht man es gegen „Okt“ aus, streikt der grok. Suche in den offenen Issues von logstash bringt vorerst nichts, Anfrage im IRC Channel auch nicht. Des Rätsels Lösung war dann die „locale“ des Systems. grok erwartet sich für Syslog Nachrichten die englische Schreibweise, aber der date Filter will das Datum in einem Datumsformat, das zu den Spracheinstellungen des Systems passt. Die locale Einstellung des date Filters löst dieses Problem.
Aber nicht nur knackige Probleme gilt es in der Schulung zu lösen. Auch den oft beschworenen „Boah, ey!“ Effekt gibt es dort zu erleben. So waren alle Teilnehmer inkl. Trainer verblüfft, dass sich die Elasticsearch Instanzen auf den Schulungsnotebooks dank der hervorragenden Default Einstellungen gleich zu einem Cluster verbinden. An sich ist das zu erwarten, aber wenn man die Schulung an einem einzelnen Notebook vorbereitet, auf dem heftig virtualisiert wird und die multicast cluster node discovery nicht ganz so reibungslos funktioniert, rechnet man ehrlich gesagt nicht damit, dass sich die Notebooks im Schulungslan so problemlos zu einem Elasticsearch Cluster zusammenfinden.
Auf jeden Fall hat mir die Schulung viel Spass gemacht und ich hoffe, den Teilnehmern erging es ebenso. Das Feedback und einige neue Erkenntnisse werden sicher in die kommenden Schulungen einfliessen. Nur für den Fall, dass jemand noch mehr Motivation braucht, sich dieses wunderbare Tool näher bringen zu lassen und zu erfahren, was es mit date und grok auf sich hat.
Wann die nächste Schulung stattfindet und wie man sich dafür anmelden kann, erfährt man auf der Seite zu unseren logstash Schulungen.

Thomas Widhalm
Thomas Widhalm
Manager Operations

Pronomina: er/ihm. Anrede: "Hey, Du" oder wenn's ganz förmlich sein muss "Herr". Thomas war Systemadministrator an einer österreichischen Universität und da besonders für Linux und Unix zuständig. Seit 2013 ist er bei der NETWAYS. Zuerst als Consultant, jetzt als Leiter vom Operations Team der NETWAYS Professional Services, das unter anderem zuständig ist für Support und Betriebsunterstützung. Nebenbei hat er sich noch auf alles mögliche rund um den Elastic Stack spezialisiert, schreibt und hält Schulungen und macht auch noch das eine oder andere Consulting zum Thema. Privat begeistert er sich für Outdoorausrüstung und Tarnmuster, was ihm schon mal schiefe Blicke einbringt...

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mehr Beiträge zum Thema Trainings | Elastic Stack

Kibana Sicherheits-Updates: CVSS:Critical

Und täglich grüßt das Murmeltier. Nein nicht ganz. Heute ist es  aus der Elastic Stack Werkzeugkiste Kibana, für das es ein wichtiges Sicherheits-Update gibt. Es besteht auf jeden Fall Handlungsbedarf! IMHO auch wenn ihr die "Reporting" Funktion deaktiviert habt. Der...