Die erste logstash Schulung bei Netways ist durch. Das Feedback war durchweg positiv aber auch konstruktiv. Auch wenn für den (Teilzeit) Franken ein „Passt scho'“ als die positivste Gefühlsregung gilt, zu der er fähig ist und damit ausreichend wäre, so ist es für einen Trainer doch immer viel hilfreicher, wenn auch Verbesserungsvorschläge unter den Rückmeldungen sind.
Für’s nächste Mal gibt es deshalb mehr vorgefertigte Übungsbeispiele, um die Zeit möglichst produktiv zu nutzen, falls die nächsten Teilnehmer wieder so gut sind, aber noch keine eigenen Logs haben sollten, die sie von logstash zerlegen lassen wollen.
Auch als Trainer lernt man nie aus, vor allem, wenn es so seltsame Effekte gibt wie den folgenden: Eine Logdatei voller Beispieldaten wird schön von grok
und date
Filtern abgearbeitet. Sobald aber Events aus dem letzten Oktober kommen, schreibt logstash Fehler und bearbeitet diese Events nicht. Auch ein Ändern der Beispieldaten bringt keine Erleuchtung. Immer, wenn das Log mit „Oct“ beginnt, bricht der dat
e Filter die Verarbeitung ab. Tauscht man es gegen „Okt“ aus, streikt der grok
. Suche in den offenen Issues von logstash bringt vorerst nichts, Anfrage im IRC Channel auch nicht. Des Rätsels Lösung war dann die „locale“ des Systems. grok
erwartet sich für Syslog Nachrichten die englische Schreibweise, aber der date
Filter will das Datum in einem Datumsformat, das zu den Spracheinstellungen des Systems passt. Die locale Einstellung des date
Filters löst dieses Problem.
Aber nicht nur knackige Probleme gilt es in der Schulung zu lösen. Auch den oft beschworenen „Boah, ey!“ Effekt gibt es dort zu erleben. So waren alle Teilnehmer inkl. Trainer verblüfft, dass sich die Elasticsearch Instanzen auf den Schulungsnotebooks dank der hervorragenden Default Einstellungen gleich zu einem Cluster verbinden. An sich ist das zu erwarten, aber wenn man die Schulung an einem einzelnen Notebook vorbereitet, auf dem heftig virtualisiert wird und die multicast cluster node discovery nicht ganz so reibungslos funktioniert, rechnet man ehrlich gesagt nicht damit, dass sich die Notebooks im Schulungslan so problemlos zu einem Elasticsearch Cluster zusammenfinden.
Auf jeden Fall hat mir die Schulung viel Spass gemacht und ich hoffe, den Teilnehmern erging es ebenso. Das Feedback und einige neue Erkenntnisse werden sicher in die kommenden Schulungen einfliessen. Nur für den Fall, dass jemand noch mehr Motivation braucht, sich dieses wunderbare Tool näher bringen zu lassen und zu erfahren, was es mit date
und grok
auf sich hat.
Wann die nächste Schulung stattfindet und wie man sich dafür anmelden kann, erfährt man auf der Seite zu unseren logstash Schulungen.
Setze Deine Reise fort mit unseren Monitoring und Automation Trainings
In der sich ständig wandelnden Welt der IT-Landschaft sind Monitoring- und Automation-Technologien heute unerlässlich. Umso wichtiger ist es, sein Wissen und seine Fähigkeiten regelmäßig zu updaten. Hier präsentieren wir Dir eine Auswahl unserer Trainings, die Dich...
0 Kommentare