ARP病毒曾经一度流行,各种防范手段也相应产生并得到使用。应该说如果防范手段得到恰当的部署使用,是基本可以防范ARP问题的。那为什么要搞个监控呢?
一方面是怕有漏网之鱼,从 IT 运维的角度来看,预防(preventive)、纠错(corrective)、监控(detective)是解决问题的不同角度,不管我们采用了什么管理端、技术的手段来防范ARP问题,建立有效的异常ARP流量的监控都是有价值的。不仅仅是防范ARP病毒,非法接入,异常行为等都可能在ARP上有反映。
好多年前就看到的有 ARP Watch 这个软件,如今物是人非,Google 搜索,看到的还是这个软件。不过我手里的鸟枪已经换了,自己搞一个监控系统吧。 (全文 …)
Nimish Doshi 2011年4月26日
在我写这篇报道时,NBA季后赛正如火如荼进行中,而作为NBA的fans,您可能正想了解季后赛的赛况。如果您是一位Splunk用户,您可以一边惬意地享受短暂的休息,一边在splunk网站上利用后台搜索功能了解季后赛的最新消息和排名。为了实现这一目标,我创建了一个简单的XML仪表板,此仪表板可将从NBA官方网站和ESPN上获得最新的RSS标题显示在两个不同的面板上,其网页会在iFrame中显示出来。这样,我就可以一边利用Splunk处理工作,一边跳到此篮球应用程序了解NBA的最新赛况。 (全文 …)
在日常接触的金融行业客户中,绝大部分都在生产系统中使用IBM的AIX作为业务应用服务器。由于AIX上承载业务应用对于整个公司的重要性,保障AIX系统的平稳运行和性能便成为AIX系统管理员的首要任务。虽然IT管理发展至今日,已经有众多厂商推出了各具特色的系统管理工具或者产品,这些产品经过多年的发展,架构和功能都很成熟,但大多数都是提供一些系统运行参数如CPU,内存等运行情况,一般时间精度比较低,提供的报表也是预先定制好的固定报表,无法提供进一步的深入分析的功能。这种简单,定制的监控管理方式已经无法适应当今瞬息万变的IT管理环境,也无法满足越来越高的运维管理水平的要求。为此,很多AIX的管理员都会使用更加灵活有效的管理工具来提升他们的工作效率,例如Nmon。
Nmon 工具可以帮助在一个屏幕上显示所有重要的性能优化信息,并动态地对其进行更新。这个高效的工具不会消耗大量的 CPU 周期,通常低于百分之二,可以很容易地将信息输出时间间隔更改为更长或更短的时间段,从而获得不同精度的数据。 Nmon 工具还可以将相同的数据捕获到一个文本文件,便于以后对报告进行分析和绘制图形。 (全文 …)
美国国家公共广播电台(NPR)公司开创了Splunk的新应用,即,采用Splunk日志搜索引擎分析其音频流和下载端的Web流量。
周三于纽约举行的“GigaOm数据”大会上,NPR度量分析师SondraRussell介绍了Splunk在NPR的应用。
Splunk提供了一款专门用于搜索设备数据的搜索引擎。它最初用于解析日志文件、文件程序和硬件,并记录交易、错误和其他操作信息。系统管理员可通过Splunk整合不同应用程序和硬件中的信息时间戳,从而精确找到那些难以定位的系统问题。
近几年来,用户已在Splunk的基础上开发了各种各样的应用,Splunk首席技术总监Erik Swan 表示,Web流量分析和商业智能就是Splunk的两个主要附带用途。
事实上,NPR此前一直使用标准Web流量分析软件来监控大部分的Web流量。该软件可显示每张Web网页的访问人数。此类软件一般通过使用cookies或在每张网页上嵌入一个小小的脚本来统计访问人数。当用户浏览网页时,网页上嵌入的脚本向软件发出警报,从而实现访问人数的统计。
然而,NPR发现该软件在很多方面无法对其服务进行可靠的统计。例如,NPR需要知道收听NPR音/视频节目的具体听众人数。 (全文 …)
Splunk作为统一的IT数据搜索平台,可以对组织内部产生的IT数据进行全面收集,统一管理和搜索分析。这些IT数据来自不同来源,如网络设备,系统主机,应用程序等,存在有不同的分析需求;另外不同来源的数据,对不同的使用者需要设置不同的访问权限等级。作为敏捷IT的代表,splunk采用在统一的平台上定制应用组件的方式完美解决定制分析和数据访问访问权限的需求。这样的部署方式有两大好处:一方面,不同IT数据可以通过定制应用,根据具体的数据内容和管理需求进行数据搜索和分析,并采用最合适的视图和报表对分析结果进行展示;另一方面,可以将定制的应用和数据索引对不同的用户灵活赋予访问权限,实现IT数据的分级安全访问和数据关联分析之间的平衡。
Splunk的网站上针对不同IT数据的分析需求,已经推出了大量定制的应用,如windows、linux等系统日志分析,思科安全设备日志分析等;这些应用由全世界的Splunk用户开发、维护和使用,因此更新的速度很快。我们只要花少量时间在splunkbase中浏览一下,就能从中找到合适的应用。值得一提的是,这些应用都是可以免费下载使用的。 (全文 …)
3月11日在日本附近海底发生了9.0级的地震,造成了无数平民百姓的死伤和财物的损失,甚至进一步核电站泄露事件也造成了进一步的困难。我们深深祝愿日本人民可以度过这一难关,在这种灾难面前人类实在是非常渺小。
我们可以做点什么吗?我们拥有Splunk。 (全文 …)
主机上有不少日志,其中一个是Oracle产生的错误日志,通常这些日志只在偶尔出现意外故障的时候才有用,用以故障诊断和定位问题。一个范例的日志如以下所示
Media Recovery Waiting for thread 2 sequence 10105 (in transit)
Thu Jul 29 14:33:31 2010
Recovery of Online Redo Log: Thread 2 Group 19 Seq 10105 Reading mem 0
Mem# 0: /dev/sample0/rlvol_sredo2_11_512
Mem# 1: /dev/sample1/rlvol_sredo2_12_512
Thu Jul 29 14:33:32 2010
Primary database is in MAXIMUM AVAILABILITY mode
Standby controlfile consistent with primary
RFS[5607]: Successfully opened standby log 12: ‘/dev/sample0/rlvol_sredo1_21_512′
Thu Jul 29 14:33:35 2010
Media Recovery Waiting for thread 1 sequence 12259 (in transit)
Thu Jul 29 14:33:35 2010
Recovery of Online Redo Log: Thread 1 Group 12 Seq 12259 Reading mem 0
Mem# 0: /dev/sample0/rlvol_sredo1_21_512
Mem# 1: /dev/sample1/rlvol_sredo1_22_512
Thu Jul 29 15:00:01 2010
Errors in file /u01/app/oracle/admin/dczh/udump/rfs_25189.trc:
ORA-00600: internal error code, arguments: [kca.11], [4], [368], [], [], [], [], []
这是一个常见的问题,有可能是的确是你在lookup文件的第一行申明的field名字和你在lookup命令中使用的不一样。另外一种可能性就是有windows的BOM造成的——这在window上使用lookup查找中文时会遇到。
Splunk只能识别utf-8编码,而window上中文的utf-8编码的文件缺省有BOM头,所以对于第一行”in_field,out_field”来说,实际在编码看来成了”BOMin_field,out_field”,splunk这段代码没有智能判断是否需要去掉BOM,因此把“BOMin_field”看成是一个整体,因此无法查到。 (全文 …)
必须大写:AND, OR, NOT
必须小写:avg, sum, count, earliest, replace, …
可以大写也可以小写:其它情况
例如:搜索关键字”foo”时,或者搜索关键词组“foo bar”都是大小写不敏感的。 (全文 …)
应用程序日志是系统运维人员以及开发人员特别关注的,应用日志可以全面记录应用程序的执行过程、状态以及结果,这些信息是帮助运维人员解决故障,开发人员改进程序的最有效信息。
传统的日志管理工具往往对日志的格式有要求,很难快速适应非统一、规范的日志形式,但是应用程序日志往往都是这样的。而splunk超乎想象,除了可以处理交换机、防火墙、路由器以及操作系统的日志之外,应用程序日志处理起来也得心应手。
通常情况下,应用程序的日志信息存储在指定的目录下,采用任何文件共享的方式,比如挂载的或者网络共享的目录,只要Splunk服务器能够读取,它就能够远程采集这些日志信息。任何活动的应用程序,不管是J2EE、.Net应用程序、Web访问日志等等,只要有新的日志产生,Splunk会对其进行持续的索引。 (全文 …)
